周鸿祎:没有攻不破的系统,只有不努力的黑客

首页 · 2022-09-16

互联网已经进入下半场,对互联网发展的认识,主导了中国数字经济的发展方向。无论是传统的制造企业,还是ICT、电商企业,都基于自身优势迅速切入企业服务市场。

在安全领域,早已由个人信息安全、网络安全时代升级,进入数字安全时代,政企安全正成为最热门、增长最快的市场。作为个人安全产品免费的首倡者,对于周鸿祎来说,从C端切入B端,是一个很大的挑战,也是一个不得不做的决定。

8月27日下午,嘉宾派・北京站访学走进360集团,360创始人周鸿祎为校友们带来了《构建以服务为核心的数字安全中国方案》的授课,从数字时代带来的本质变化和安全挑战、360集团自身的战略方法论和在安全领域的探索实践与案例等几个方面,生动幽默地讲解了360的战略转型历程,并向学员企业提出了数字化时代的安全建议。

以下为周鸿祎授课精编版,enjoy~


我这个人最近不太讲话了,怕讲错话。


讲什么内容呢?我其实比较纠结,第一,鸡汤肯定是没有的,因为大家都是做企业的,知道每个企业的成功其实都是偶然。第二,可能很多人关心八卦,3Q大战发生了什么?对吧?后来想想,还是想介绍安全行业新的发展。我觉得安全不只是安全行业的人才关心,在座的各位其实都应该保证安全。


未来所有的行业都是数字行业,你不可能离开数字化的时代,再过5到10年,不转型数字化的企业会消失的。我觉得中国未来最大的机会就是产业互联网或产业数字化,在座的诸位以后都是数字企业。既然是数字企业,安全就是你不可回避的一个噩梦和挑战。

360创始人周鸿祎在嘉宾派授课


(正式讲安全之前)我还是先自我介绍一下。


很多人不理解,我为什么老爱穿红衣服?有人认为红色代表暴力、革命,说我是革命青年,其实想多了。因为我的名字老被念错,很多场合领导一叫我的名字就是周鸿伟,我还不得不纠正,所以就穿一件红衣服,暗示领导我叫“鸿祎”。以前也老有人叫我“红衣教主”,大家不要再这样叫了,这个名字我肯定不敢当,我现在就是个“红衣大叔”。


也有很多人问我们,360是什么意思?这个意思可多了,大概有四五个版本。最早我们的初衷是做360度安全、全面无死角,这是一个版本;有的领导说古文中一周叫360度,也算一个版本。


我最喜欢的版本是什么呢?是我们当年做免费杀毒,让安全同行极其痛恨,这属于典型的损人不利己,自己不赚钱,还不让同行赚钱。他们觉得周鸿祎一个250想干110的事,后来我掐指一算,250+110正好等于360。


我把企业家分为三类,伟大优秀企业家、文艺企业家、普通企业家,这三类我都不属于,我属于2B企业家。我的Slogan叫不端、不装,有点“二”,我觉得企业家得有点二的精神,循规蹈矩不一定能干成事。


互联网下半场,To G、To B流量会超过To C


(言归正传)数字化大家都很熟了,我最近有一个感觉,一提数字化就感觉自己倍儿高端,过去一提玩电脑的就感觉是维修技师,最近网络这个词也备受打压,但数字化不一样,有时候提起来会特别高大上。


仔细研究一下,我认为中国政府现在谈的高质量发展、新旧动能转换,真正比较靠谱的抓手就是数字化。所以数字经济和原来大家理解的网络经济还不一样,所有用了数字化以后的经济,都叫数字经济,这块我觉得中国还是挺有优势的。


为什么呢?就跟消费互联网很大的优势是因为我们人口众多,当传统行业都在转型数字化,整个产业链的应用场景是比较多的,虽然在核心技术上现在有所欠缺,但只要应用场景足够复杂,市场就足够大,那最后的一些技术总是能赶上来。


现在我们提了一句话叫“上山下海”,这个海就是数字化蓝海,是产业数字化,我觉得这个是大家应该真正去关注的。


我觉得未来到了互联网的下半场,到了产业互联网,主要流量将来自政府和传统产业,To G、To B的流量会超过To C的流量,传统企业和政府可能会成为大数据的真正玩家。把一个城市装满的各种各样的传感器、水电气、危险品等所有信息都数字化后,构造一个数字孪生的城市,这个数据量可能不会亚于淘宝一天的交易量。


我今天讲的也可以理解成是一个科普,讲安全行业怎么样、应该怎么样、未来会怎么样、怎么应对,也就是讲公司的战略。其实讲战略的时候,我们非常推崇华为的一个方法,就是“五看三定”。当你定战略的时候,先不要急着看自己,应该先去看行业和趋势,一定要站在现在看未来、站在未来看现在。


你就想,如果未来发生了,很多行业会发生颠覆性的变化,行业洗牌,你才有机会。如果行业不洗牌,比如我们还是汽油车的时代,就是出现10个马斯克,他也干不过福特干不过丰田。所以很多时候人们的成功,我觉得还是赶上了机遇。这个机遇怎么捕捉?就是去看未来的趋势。不用看太远,三五年就可以。


其实华为很难学,因为他整个是一个体系。这套体系我们内部也一直在用,一是看趋势、二是看市场、三是看客户、四是看对手、五是看自己。无论做营销、做产品、做战略,最重要的定位,最后要回到Why Me身上找。有句话叫Think Different,就是考虑我跟别人有什么不一样,自己的优势的核心竞争力。

嘉宾派学员在授课现场


没有攻不破的系统,只有不努力的黑客


回到数字化的内容。我们考虑,数字化未来带来了本质的变化。我总结了四句话:一切皆可编程,万物均要互联,大数据驱动业务,软件重新定义世界。


一切皆可编程就意味着漏洞无处不在,只要是人写的软件就一定会有漏洞。很多网络攻击都是通过漏洞神不知鬼不觉地渗透进来。比如我发给你一张图片或是一个word文档,它看似是一张正常的图片文档,但是只要你打开,我的代码就能在你的电脑里运行。


所以漏洞是非常可怕的一件事情,没有攻不破的系统,只有不努力的黑客。无论你是做什么产业的,都不要抱着一个侥幸心理,说我的系统别人攻不进来。一定能攻进来,只是你知不知道的问题。我们要做的就是在被攻进来之后,如何快速发现、快速阻断、快速处置。


万物互联之后,你的系统保护得再好,我也可以通过周边渗透进来。这里举两个例子,工厂联网后,这两年对工厂的攻击多了起来,对发电站的攻击也变得很成熟。委内瑞拉大停电、乌克兰大停电,就是因为电站都能远程控制,中控机房被渗透后,可以被自动关闭。


比如智能网联车,你买了,车就是你的吗?其实不是的,因为今天的智能网联车不仅要实时把车里的数据反馈给车厂,还要接受车厂的很多远程指令,正常情况下它只是更新软件,但只要把车厂的服务器拿下,那么你的车马上就变成待宰的羔羊。有一年车展,我们发现了奔驰19个漏洞,我们可以远程开门关门、打开天窗、闪灯鸣笛。


物联网还有一个很重要的攻击手法叫供应链攻击。很多人会说,我这样的小企业,黑客怎么会看得上我?事实并非这样。如果我要攻击某汽车企业,比较难攻进去,但它肯定有很多供应商,某个软硬件功能是跟它联网的。我可以先攻击缺乏防护能力的小厂,得手之后再顺着网络攻击大厂的产品。


所以如果你是个大企业,不要总觉得保护自己的企业就够了,你的供应链中的很多小企业,都可能会成为脆弱的一环。过去我们经常讲边界防护,但边界防护基本是无效的。未来只要你给消费者提供业务,你跟其他的供应链要充分的联网,这种边界也都可以不存在。


为什么现在国家强调“党管数据”?因为数据是重要的战略资源,数据是生产资料。大数据之所以越来越重要,本质是因为以后无论是国家、政府,还是社会、行业,包括在座的各位,你们所有的业务一定都是数据驱动的。


在企业内部,只有把不同维度、不同来源的数据汇总在一起,才有真正的效果,数据集中有利于共享和及时的信息沟通。所以对于数据的打击,可以做到比物联网攻击更为简单,对数据的打击可以直接影响你的业务。


去年美国最大的一个油管公司遭受了勒索软件攻击。最早我们以为是遭受了工业互联网攻击,后来发现想复杂了,黑客就是把它的财务系统给干掉,导致没法记账,被迫把所有业务都停下来。中国最著名的至少五家制造商都在过去两三年里遭受勒索攻击,攻击者要干的就是把业务数据加密,导致工厂停工停产。


我们这些年接到好多医院的报警,你们可能想象不到,一些县级人民医院遭到勒索,把医院的中心数据库给封死了,导致挂不了号、取不了药。中国很多勒索金额基本是几百万人民币,美国是几百万到1000万美金,这比我们出门服务一次的服务费要高太多了。


所以勒索软件就形成一种非常“蓬勃向上”的商业模式。攻击者不偷你的数据,也不想了解你的数据,只把你的数据再加密一遍。就像我到你家,我打不开你的保险柜,就把你的保险柜再加上一把锁,想要就得找我拿钥匙。这个商业模式非常简单粗暴。


从技术原理上来说,只要对方的软件做得不要太烂,如果提前跟我们合作建立防御体系,是有机会防御得住的。一旦数据被加密了,神仙也救不回来,能干的就是帮他去换比特币,报警也没用,因为比特币不可追踪。所以我今天重点讲下,对各位企业家来说,将来勒索攻击可能是一个很重要的威胁。


360创始人周鸿祎在嘉宾派授课


网络战时代是不宣而战


按照我刚才的描述,未来五年,当中国和世界充分数字化了之后,这个世界是更安全还是更不安全?实际上是越来越危险,所以未来安全会变得非常重要。如果不重视安全,只是一味地搞数字化,那么这个国家就像裸奔一样。


我认为未来已经进入到“网络战时代”。今年的俄乌战争大家可能关注到对吧?俄乌战争在物理作战开打之前,前面半年双方的网络互相攻击就已经大打出手,所以俄乌战争是人类历史上第一次数字化战争。


过去有句话叫“邪不压正”,但实际上,现在不是邪和正的问题,是专业级和国家级的对手入场。据我们统计,全世界现在已经有112个国家成立了网络站部队,美国就有122支作战分队。当国家级的资源、国家级的对手、国家级的能量入场之后,就彻底改变了网络安全的游戏规则。传统战争是要宣战才会发生,而网络战是不宣而战。


所以有时候我也讲到,在网络战时代,你要对付的不再是杀毒时代的那些小病毒、小木马、小黑客、小毛贼,对付他们,不需要什么大变革,你装个免费的杀毒软件就能应付。你主要对付的是国家级别的攻击。


国家级别的攻击,它不是让你中病毒勒索你一次,它是长期地通过一个漫长的杀伤链,最后逐渐地从外围渗透到你的核心网络里,潜伏下来,偷取情报、偷取数据或者等待指令,对你发起致命一击。它是一个长期持续的攻击过程。在过去,中国和全世界每天都在发生这种国家级攻击。


知战才能止战,所以在网络安全问题上,我们一定要重视起来。有人老讽刺我说是“心忧炭贱愿天寒”,但我陈述的都是客观事实。即使你不喜欢我,你也可以看看我是怎么做战略的。


当我们看到巨大的市场和赛道,依然要想Why Me,到底我能形成什么压倒性优势、形成独特的东西。所以我认为永远要找客户的痛点和刚需,360原来是一个互联网公司,装了15亿客户端,每天有560亿次的云查杀,实际上就跟百度、腾讯、阿里一样,建立了很强的一套基于互联网的安全服务能力。


全球最伟大的安全公司都是To C出身的,因为做To C才能有足够数据和分析能力支撑去做To N,To N是我们的发明,叫To National,就是面向国家提供服务。


除了为国家服务,我们现在主要面向政企,就是政府和企业部门,也向城市提供安全服务。最近又推出了面向中小企业的安全云,面向中小企业提供免费的服务。有做To N的专业级,才能输出To B的SaaS软件,降维服务B端。


最后我提一点,就是关于中小企业。其实我觉得对中小企业来说,数字化、信息化要注重 SaaS 化服务。其实很多企业根本也不会去买云,也不会买 PaaS 服务,它也没有这样的开发能力。美国这几年 SaaS 服务起来得非常快,SaaS服务这些中小企业正合适。




相关推荐