人民想念的周鴻祎回來了 ISC通氣會罕見發表萬字長言
作者:星期四, 六月 20, 20190

今天下午,360 集團在總部大廈召開第七屆互聯網安全大會 (ISC 2019) 媒體通氣會,集團董事長兼 CEO 周鴻祎到場,并現場做了長達 1 個多小時的發言。其中,不乏妙言警句、精彩觀點,以及對網絡安全行業的戰略思想和深遠看法,安全牛第一時間將發言內容編輯整理如下。為了便于閱讀,內容上加了一些小標題,以及一些盡量不更改原意的刪減和改動。

很多生態實質上是產業鏈通吃

本次 ISC 大會,其實我覺得最大的一個變化不是換了會場,而是 360 對安全有了新的思考,想把會辦得跟以往不一樣。不知道在座的有多少人去過 RSA,我去看過幾次,給我最大的震撼,不是會場有多么漂亮,展臺有多么牛掰,而是非常多的安全行業的小公司,創新公司。因為安全行業的問題是比較碎片化,而這些公司在安全的某個領域做的非常深入和創新。所以,當你參加完 RSA 之后,你才會真正理解什么叫生態。不像我們國家有些人天天把生態掛在嘴上,所謂的生態化反(對不起,我又開始吐槽了)。但實際這種事叫 “產業鏈通吃”,恨不得幾十種產品都是我一家公司來提供。這樣的東西不叫生態,叫產業鏈通吃。

ISC要成為中國的RSA

我們現在都在關注中美貿易摩擦,但我經常有一個觀點,盡管美國現在可能給我們帶來很多麻煩,也把我們當然成未來對手。即使這樣,我也非常贊同任正非老先生講的一句話,我們要認真學習美國好的創新機制。中國要變得更加的開放,要有更好的創新土壤。我們中國人一點都不笨,我們有很多年輕才俊,有很多年輕的創業公司、年輕的創業者,如果碰上合適的土壤,我覺得我們應該會有很多成果。所以我一直的一個夢想就是,要把 ISC 辦成中國的 RSA,甚至超越美國的 RSA。最重要的是,通過這個會讓很多安全行業的同行,讓很多安全行業的小公司,在某個領域有創新的公司,讓這個會成為他們嶄露頭角的舞臺。

最早的時候我就有這個想法,但 360 在辦第一屆的時候,坦率的說那時候比較弱,可以看成是一個 360 的產品宣講會,后來第二屆、第三屆慢慢變成了給政企客戶提供服務的客戶會。但是如果都做到第六屆了,規模已經做的這么大了,但是和 RSA 比,我們其實少了三點,這也是我最大的遺憾。第一,RSA 論壇可以看到友商們雖然在競爭,但是你可以看到他們都在一個會上講自己的安全理念。其實大家的目標是一致的。因為網絡安全這個行業非常特殊,如果大家不能攜手對抗網上的黑產和犯罪,最后所有的人都是輸家,沒有人會是幸存者。

ISC 是什么意思?中國互聯網安全大會,而不是 360 安全大會,就是說在會上能夠看到安全行業里很多同行。比如歷史比較悠久的一些前輩公司,如啟明星辰天融信綠盟,以及一些新秀公司,像杭州的安恒、防火墻的新秀山石網科,以及一些跨界公司,像華為和做手機的公司。還有我們的老朋友們像 BAT,騰訊阿里他們今天的業務模式也足夠復雜,也都有很強大的安全團隊在捍衛自身業務的安全。如果今天我們這個會都辦到第七屆了,依然還是360為主的獨角戲,那干脆改名字好了,應該叫360安全用戶大會或叫 360 客戶銷售大會,我覺得這個不是我的理想。

我的想法就是我們花了七年的時間搭了一個舞臺,希望今年這個會有一個最大的不一樣,才能有資格叫做中國的RSA,或者亞洲的 RSA。雖然我們可能有些產品競爭,但是在這一刻我們能不能坐下來,大家一起來討論,整個國家的網絡安全實力如何提升,怎么在網絡戰時代提高整個中國的網絡防御能力。我覺得這才是最重要的。

要以創新論英雄

第二,我在看 RSA 的時候,很少去看大公司的展臺,他們產品線很長東西很全,但缺少亮點。我更愿意看新秀公司,有的連融資都沒有完成就是一個產品的原型,有的剛剛融資,還是一個幾十人的小團隊。他們的產品也許以后不一定成功,但也可能變成新時代的獨角獸。幾年前我在硅谷看過一家叫 CrowdStrike 的初創公司,跟 360 的模式很像。最近它在美國上市,雖然收入只有賽門鐵克的 5%,但市值卻超過了賽門鐵克。我就喜歡這樣的公司。不以成敗論英雄,而是以創新和創意前瞻性來論英雄。

一個產業要發展,必須要有生態的多樣性,大樹之下不能寸草不生。有大樹有灌木,有小草有花朵,這個花園才可能變得更加的繁榮。所以今年的 ISC 我們會免費,幫助很多沒有更多宣傳資金的創業公司,有志于在安全行業創新的公司,歡迎他們來做展示。往年在介紹 ISC 展會上的公司,一家又一家都是 360 投資的,這樣下去就成了 360 全家桶,而且我們也不可能把所有優秀的公司都投了。所以,ISC 要成為中國互聯網安全公司的展示平臺,不管是阿里還是騰訊的投資,還是其他什么VC投資,只要你是創新的公司,我都歡迎你,ISC 的舞臺會免費提供給你一個展示的空間。

很多企業的客戶來到一個展會,也不是希望只聽到一家公司的理念,一家公司的理念再好,也永遠是一面之詞。創新有一個最大的特點就是多樣性,不同的理論不同的觀點碰撞,而小公司如果給我一個靈感,我就覺得沒有白來。往年 ISA 的論壇多展位少,今年要打破門戶之見,廣灑英雄貼。

獨角獸不應以市值為標準

說到這里我忍不住要講一個事情,曾經有一度互聯網的一個概念被 VC 和媒體玩壞了,叫什么獨角獸。一夜之間中國滿大街都是獨角獸,到處橫行直撞。獨角獸是因為罕見才叫獨角獸,大家都是就不稀罕了。所以我一直不喜歡獨角獸的概念,我覺得弄錯了價值觀。獨角獸最早是 1 億美金,后來通貨膨脹變成了 10 億美金,考慮到 CPI 的增長,將來這個門檻可能會漲到 100 億美金。即便 10 億美金,安全行業這么多老牌公司可能都剛剛過獨角獸的標準。

網絡安全行業的用戶需求一直都有點弱,所以市場一直沒有那么大,一年的銷售額整個加起來就三四百億,所以很多公司市值都不高。但其實網絡安全的意義很大,所以我借ISC大會的這個機會講一個觀點,我們重新建立一個獨角獸的理念。不以銷售額為標準,不以市值為標準,因為對安全行業來說,我們解決問題的戰略意義很大。十九大最為關注大家追求幸福生活的動力,而新技術的發展最擔心的就是安全。如果不能解決安全問題,整個社會的技術進步都會受到影響。在這種情況下,安全公司做出有創新的安全產品,前瞻性是非常重要的。

目前,在短期內連一些老牌公司的收入都做不到太高,這是由于行業的發展不均衡導致的,我認為未來會得到改善。所以我們以后評價獨角獸,不應該再用市值和收入來衡量。我很氣憤的是,安全行業的很多評比、象限、矩陣的找不到 360 的影子,一問市場部,說是他們認為 360 不是安全公司。所以我在此呼吁,我們不用去跟游戲公司比收入,因為全中國所有做安全的公司收入加起來還比不上一款游戲的收入。我們也不要去跟短視頻公司比視頻,一天刷兩個小時的安全視頻。但我們安全是在在背后悄悄解決問題,用戶沒有感知,但會讓用戶覺得歲月靜好。我們在負重前行,我們不用去比,而應該建立這個行業自己的價值觀,自己的標準。所以 ISC 大會要成為一個這樣的新平臺。

所以第三點,每年去 RSA 我必然要看創新沙盒,這里邊的主角全部是新公司,評委是 VC、行業專家、安全老鳥、知名黑客,不評收入、不評利潤、不評融資額、市值,就看誰的產品最創新。如果你做了一個防火墻、統一威脅、安全認證,這個是最遭鄙視的。我覺得只有這樣一種價值觀才能真正帶來我們中國網絡安全產業很多創新小公司的爆發。

如果我們永遠在以銷售和利潤為驅動,就會導致很多公司的產品是同質化的、陳舊的,僅僅是符合了等保合規的要求。我對等保合規完全支持,但合規只是解決安全的基本性,不能解決安全的向上、創新、升級的問題。所以今年我會親自來當評委,也會邀請行業內很多著名黑客、安全專家來當評委,邀請 IT 創新媒體自媒體來做評委,邀請一些 VC 老朋友來做評委。我們要搞的不是 360 創新沙盒,而是中國的創新競賽,我們評出來的獨角獸是真正有創意、有前瞻性、能夠指出未來幾年安全問題的解決思路和方向的企業。

所以今年我們的 ISC 表面上看只是換了一個地點,而且品牌也延續下來,但不一定是過去熟悉的味道了,我們要創新要升級。如果我們僅僅滿足于挖來了更多的專家、更多的學者、更多的客戶,之后又賣了更多的盒子、更多的軟件,對一家公司來說也許是個好事,但是對于我們的夢想來說,永遠不可能誕生亞洲或者中國的 RSA。在未來,在科技上跟美國的長期較量過程,我一直有一個觀點,要虛心學習他們促進科技創新的機制、方法和策略,并與我們廣大的優秀年輕人才和創業公司緊密的結合在一起。

完全開放 歡迎碰撞

我們很希望在 ISC 會上,能夠聽聽老牌安全公司如啟明星辰的嚴總是怎么講的,綠盟的沈總怎么講的,還有華為、新華三、紫光、同方或浪潮,他們都在做安全,還有騰訊的兄弟、阿里的兄弟,聽聽他們如何保衛電子商務、支付的安全。

所以我們今年會是一個充分開放的會,甚至有人來砸場子,說周鴻祎的觀點不對,也沒問題。我歡迎這樣的碰撞,因為真理越辯越明。通過這種辯論和討論,讓大家真正意識到中國的網絡安全行業到底有什么問題,未來的路到底在哪里,從某一個角度談談我們對網絡安全的思考,而不是來看大佬來了。

創新要自下而上

而大家看到的新公司,可能未來幾年就會在科創板上出現,科創板就是國家為這些創新的新秀公司打造的。如果中國互聯網里永遠是幾個老面孔,是沒有太多好玩樂趣的,所以今年在 ISC 上可能你會見到很多新面孔,見到很多新公司。我們中國人有時候對新的東西 “求全責備”,對成功的公司往往 “委曲求全”。但其實我覺得應該把它顛倒過來,對新的公司應該多給予鼓勵和激勵,給予認可。所以我希望未來,無論是安全牛還是極客公園這樣的媒體,我們在報道的時候,不一定要多報道大公司,我們要多去關注一些創新小公司。

今年的(指創新比賽)名字還沒有起好,暫時叫×××吧,也可以叫獨角獸創新大賽,希望在我們安全行業樹立創新的獨角獸標準,評出 Top10 的優秀安全創業公司,從而使得中國網絡安全行業形成一種自下而上的創新,一種分布式的創新,哪怕是碎片式的創新。創新很難自上而下的籌劃,否則喬布斯都培養好幾百個公司了。創新一定是通過不斷的自下而上,自發的創造,通過市場的驗證,甚至是十死九生這種非常高的失敗率來產生的。在這個過程中,我們才能不斷的發掘和培養網絡安全創新的力量。

不一樣的ISC

所以這是今年我對大會的期望,今年跟往年不太一樣,也希望得到大家的理解,請大家多支持多包涵。我希望 ISC 未來辦下去,不再是屬于 360 公司或者 360 集團的資產,如果今年之個思路和嘗試可行,我們會把 ISC 大會拿出來成立一個中立的會務公司,如同 RSA,我會把它捐給這個行業,歡迎行業的同行們一起打造 ISC,把 ISC 變成我們中國乃至亞洲的安全會議。

網絡戰時代已來

為什么我最近的思想境界有這么大的提升呢?最近大家有沒有關注到光明日報、新華社、還有人民日報都發了一系列要應對網絡戰的文章。而且,最近伊朗的核設施又被攻擊了一次,再加上委內瑞拉大停電和最近阿根廷、烏拉圭的南美洲大停電,所以越來越多的人士都感覺到,其實網絡戰離我們并不遙遠。過去的幾年里,我一直在說網絡戰已經來到,很多人對此非常不理解,覺得我在破壞國際關系、甚至有人覺得我就是一個戰爭販子,唯恐天下不亂,就是為了多賣東西。但是我想講的是,最近這些形勢已經驗證了我的前瞻性。網絡戰時代已來。

網絡戰并不是說我們要去打別人,我們是一個愛好和平的國家,但技術的進步,網絡戰的發生,是不以我們的意志為轉移的。比如說世界各國現在已經有 122 個國家成立了網絡戰部隊,許多西方大國紛紛通過了自己的國家網絡戰略,包括某大國 (You know who) 自己旗下就有 133 只相當于網絡戰部隊的黑客團隊,包括大幅度提升網絡攻擊方面的預算,以及在遭受攻擊或者認為有必要的時候可以不經國會授權直接進行反擊的法案。

網絡戰不分戰時與平時

Wannacry 在席卷全球的時候,很多人認為這是小毛賊的惡作劇,但在給很多行業包括政府領導做匯報的時候,我認為這就是一次網絡戰的預演。我們不用去看它表面的形式,它是誰做得不重要,重要的是美國

NSA 不小心泄露出來一個過時的武器,就席卷了全球,席卷了中國,這其實是給我們敲響了警鐘。再結合我們這幾年發現的 40 起 APT 攻擊,以國家級黑客為背景的國與國的攻擊,攻擊的目的就是潛伏和滲透,要么竊取你的情報,要么潛伏下來等待指令,在某一天接受指令的時候,給你致命一擊。

最近有一篇報道,不知道大家注意到沒有,就驗證了我的觀點,說美國自己的官員承認在俄羅斯的電網里面有他們已經埋伏好代碼。我一直在講一個觀點,網絡戰不分戰時和平時,不是等到哪一天宣傳開戰別人才開始攻擊你。事實上,別人都是在和平時期入侵你的基礎設施,潛伏在里面,然后等到哪一天覺得要教訓你的時候,再下令分分鐘給你沉重一擊。所以我就問一個問題,在我們很多基礎設施里面到底安不安全,這實際上是一個大非常大的問題。

網絡安全 人人有責

另外,許多人老覺得網絡戰和自己沒關系,都是國家領導人才關心的,但這是錯誤的。網絡戰之所以被稱為戰,不是網絡黑產、不是釣魚網站、掛馬、肉雞、偷游戲賬號、勒索比特幣,而是國家級的網絡攻擊都是攻擊的電站、交通樞紐、能源等基礎設施。前兩天在某省市出現了網絡基站通信服務問題,大家打不了車、訂不了餐、看不到新聞、什么都支付不了,在不用手機都很難做到的今天,如果突然大面積停電停了五個小時,你想想這個社會會亂到什么程度?如果發生網絡戰跟在座的各位有沒有關系?

我經常講,網絡戰不分軍用目標、國家目標和平民目標,因為大家的網都連在一起。而且,網絡戰一般要通過一個漫長的攻擊鏈,從某個人再到某個領導,從領導的電腦再滲透到辦公內網,從辦公內網逐漸滲透到業務網,比如工控網,在這個漫長過程中每個安全環節都有可能出問題,從而導致整個網絡的問題。大家都知道 “國家興亡,匹夫有責” 這句話,今天我們把這句話改一下,“國家網絡安全,每個人、每個單位都有責任” 。

經過這幾年的研究和實戰,360的思考不在于如何編一個概念、造一個軟硬件的盒子,然后急急忙忙的賣給國家、企業,賣給用戶,以贏得銷售額。我們考慮的是到底今天我們面臨什么樣的困境,什么樣的挑戰,我們又該如何解決這個問題。很坦率的說,APT 攻擊我們一般的部門機構和企事業單位根本看不見。過去安裝個免費殺毒軟件個人可以高枕無憂了,單位裝個防火墻,對付小毛賊也不會有太大問題。但是今天,當國家力量開始利用國家級的黑客技術,有組織有計劃有系統有充足的資金支持的時候,還停留在過去的認識上,就很可怕了。

全身心打造 “看見” 的能力

攻擊的關鍵在于漏洞,黑客能夠神不知鬼不覺的進入就是利用漏洞。因為有了漏洞,沒有攻不破的網絡,吃了一幅 “靈丹妙藥” 就能保證我的網絡固若金湯的故事已經是神話。因為只要是人做的系統,人寫的軟件、做的硬件,就一定有漏洞。所以,360 的目標退而求其次,不奢求 100% 的安全,而是要在別的國家對我們的網絡進行滲透和攻擊的時候,第一時間知道,第一時間看見。前幾年有一次 ISA 大會上我們就提出了這個觀點。

網絡戰就像真實的物理作戰,不管是空戰海戰陸戰,最重要的是雷達。否則,你都不知道敵人在哪里,如何排兵布陣?你再有再多的坦克、火炮、軍艦飛機,不知道敵人在哪里,怎么打?這就是我們現在的網絡安全現狀。

我不相信一個公司能解決所有問題,而是應該傾其所有集中精力解決一件事,就非常了不起。所以 360 在前幾年就定位要解決看得見的問題,這就是 360 的安全大腦。今天不做產品宣傳,我只說一個結論,基于 360 這幾年積累的網絡安全大數據,安全知識庫,挖掘的大量漏洞和剖析了大量漏洞利用,再加上我們擁有東半球數量最多的白帽子黑客,構成了安全大腦的核心。

所以,我剛才為什么要吐槽現在對安全公司的評價標準。如果只是津津樂道一味的強調企業安全銷售額、利潤,而不能解決網絡空間里面臨的國家級力量的的攻擊,當貿易戰金融戰科技戰之后網絡戰來臨的時候,我們如果看不見,這就是這個行業的恥辱。我們要有底線思維,就是說我們希望不要打仗,但是我們要做好準備才能不怕打仗。

不與友商競爭 全面開展合作

除了發現 40 起 APT 以外,我再舉個漏洞數目的例子。今年微軟在中國開的藍帽子安全會上,挖到漏洞最多的公司是 360。挖了 300 多個漏洞,僅零頭就等于所有其他友商挖漏洞之和。這些技術和數據能力,充分證明了 360 面對國家級網絡攻擊的偵測能力。擁有這種核心能力之后,我們決定不想再去做跟友商和同行去做全面競爭,因為我們意識到 360 即使窮盡自己所有的能力,能把偵測能夠做好已經很不容易。要得到更多的數據,和更多的支持,我們需要跟整個行業去建立全面的合作。

To B 和 To C 是不一樣的,后者經常就是贏家通吃,想要一家壟斷。坦率的說每個做 To C 的互聯網公司,一有機會都會追求壟斷。但是To B /To G,就要有所不為才能有所為。必須要打造生態,日后真的在應對其他國家對中國展開網絡戰的過程中,360 也僅僅提供了雷達。但雷達偵測了之后如何反制,如何止損,如何分析、封堵、清理等等,還需要很多同行,無論是老牌的安全公司還是安全公司的創業新秀,需要大家共同的努力。

所以,借此 ISC 的機會,我們再次向行業聲明,360 決不會去做我們投資的一些公司去做的事情,我們會聚焦在自己最擅長的領域,即基于大數據和安全知識庫、安全專家,來做 APT 攻擊的發現和感知。除此之外,我們會和行業其他公司,無論是天融信、啟明星辰、綠盟,還是 BAT、華為,都會全面的合作。

最近習總書記提過一個詞叫 “新型舉國體制”,我的理解是,在新時代下的舉國體制不是計劃經濟,也不是某個國企、某個研究所就能叫舉國體制。在今天,很多核心技術和數據掌握在民企手里,我們大家在國家網絡安全這樣一個大背景下,在應對其他國家可能對我們網絡戰進攻的大前提下,就像當年中華民族面臨外敵入侵,大家無論什么政見、什么觀點,不論商業上有不同的看法,都應該一起協作一起攜手。網絡安全走到今天,越來越需要數據的打通,需要不同公司的協作,需要頂層的設計。如果我們各自為戰,不能互通有無打通信息,就無法把網絡空間里的碎片信息還原,就永遠無法知道攻擊的來源。

如果我們這個行業不能夠共建一個大的生態,不能在面對國家網絡安全威脅的情況下攜手,而是斤斤計較于公司之間的小恩小怨、商業利益得失,一旦整個國家的網絡基礎設施被攻擊而出現重大的社會安全問題,我覺得每個做網絡安全的人都應該在人民面前,在社會面前謝罪。這就是360對網絡安全這個行業的觀點和看法。

360 給自己定位的非常清楚,我們不想把自己定位成全產品線,而是定位成非常鮮明的打造網絡戰時代的雷達和網絡安全大腦。所以我們會投資一系列的公司,也會跟一系列的公司結盟,把 360 的大數據和威脅情報對同行開放。未來,不管是誰賣的產品、用誰的品牌,只要我們的產品互相之間數據是通氣的,能夠偵測到安全的每個微小蹤跡,能夠迅速地在全網查找進攻者的蹤跡,并把它捕捉出來,這就是 360 真正的夢想。如果能實現這一步,就能夠讓我們現在的防守能力提高 1 到 2 個數量級,這就是我今年接手 360 政企安全新業務的策略和思路。

希望未來 3 到 5 年,我們能夠眾志成城,整個行業里不是只有一家獨大,而是有很多安全的創業公司也都活得很好,有的賣產品,有的提供咨詢服務,比如像四大會計事務所,光靠安全咨詢服務掙的錢就比中國安全公司掙得還多。這樣才能夠創新源源不斷,整個產業蓬勃發展。相信再給我們幾年時間,中國整個國家級的網絡安全能力,會有一個巨大的提升。在面對網絡戰的時候,不像今天這么擔憂,不懼怕任何人發動網絡戰攻擊,因為我們已經有一整套應對的技術、團隊和體系。這是比 360 要辦中國、亞洲 RSA 更大的一個夢想!

注:如需觀看現場視頻,請關注 “安全牛” 抖音平臺(打開抖音,搜索“安全牛” 即可)。

 

 

分享:
0

相關文章

寫一條評論

 

 

0條評論