首页 密码要闻 动态要闻 人民想念的周鸿祎回来了 ISC通气会罕见发表万字长言

人民想念的周鸿祎回来了 ISC通气会罕见发表万字长言

时间:2019-05-28 15:21:31            来源:            责任编辑:

人民想念的周鸿祎回来了 ISC通气会罕见发表万字长言

今天下午,360 集团在总部大厦召开第七届互联网安全大会 (ISC 2019) 媒体通气会,集团董事长兼 CEO 周鸿祎到场,并现场做了长达 1 个多小时的发言。其中,不乏妙言警句、精彩观点,以及对网络安全行业的战略思想和深远看法,安全牛第一时间将发言内容编辑整理如下。为了便于阅读,内容上加了一些小标题,以及一些尽量不更改原意的删减和改动。

很多生态实质上是产业链通吃

本次 ISC 大会,其实我觉得最大的一个变化不是换了会场,而是 360 对安全有了新的思考,想把会办得跟以往不一样。不知道在座的有多少人去过 RSA,我去看过几次,给我最大的震撼,不是会场有多么漂亮,展台有多么牛掰,而是非常多的安全行业的小公司,创新公司。因为安全行业的问题是比较碎片化,而这些公司在安全的某个领域做的非常深入和创新。所以,当你参加完 RSA 之后,你才会真正理解什么叫生态。不像我们国家有些人天天把生态挂在嘴上,所谓的生态化反(对不起,我又开始吐槽了)。但实际这种事叫 “产业链通吃”,恨不得几十种产品都是我一家公司来提供。这样的东西不叫生态,叫产业链通吃。

ISC要成为中国的RSA

我们现在都在关注中美贸易摩擦,但我经常有一个观点,尽管美国现在可能给我们带来很多麻烦,也把我们当然成未来对手。即使这样,我也非常赞同任正非老先生讲的一句话,我们要认真学习美国好的创新机制。中国要变得更加的开放,要有更好的创新土壤。我们中国人一点都不笨,我们有很多年轻才俊,有很多年轻的创业公司、年轻的创业者,如果碰上合适的土壤,我觉得我们应该会有很多成果。所以我一直的一个梦想就是,要把 ISC 办成中国的 RSA,甚至超越美国的 RSA。最重要的是,通过这个会让很多安全行业的同行,让很多安全行业的小公司,在某个领域有创新的公司,让这个会成为他们崭露头角的舞台。

最早的时候我就有这个想法,但 360 在办第一届的时候,坦率的说那时候比较弱,可以看成是一个 360 的产品宣讲会,后来第二届、第三届慢慢变成了给政企客户提供服务的客户会。但是如果都做到第六届了,规模已经做的这么大了,但是和 RSA 比,我们其实少了三点,这也是我最大的遗憾。第一,RSA 论坛可以看到友商们虽然在竞争,但是你可以看到他们都在一个会上讲自己的安全理念。其实大家的目标是一致的。因为网络安全这个行业非常特殊,如果大家不能携手对抗网上的黑产和犯罪,最后所有的人都是输家,没有人会是幸存者。

ISC 是什么意思?中国互联网安全大会,而不是 360 安全大会,就是说在会上能够看到安全行业里很多同行。比如历史比较悠久的一些前辈公司,如启明星辰天融信绿盟,以及一些新秀公司,像杭州的安恒、防火墙的新秀山石网科,以及一些跨界公司,像华为和做手机的公司。还有我们的老朋友们像 BAT,腾讯阿里他们今天的业务模式也足够复杂,也都有很强大的安全团队在捍卫自身业务的安全。如果今天我们这个会都办到第七届了,依然还是360为主的独角戏,那干脆改名字好了,应该叫360安全用户大会或叫 360 客户销售大会,我觉得这个不是我的理想。

我的想法就是我们花了七年的时间搭了一个舞台,希望今年这个会有一个最大的不一样,才能有资格叫做中国的RSA,或者亚洲的 RSA。虽然我们可能有些产品竞争,但是在这一刻我们能不能坐下来,大家一起来讨论,整个国家的网络安全实力如何提升,怎么在网络战时代提高整个中国的网络防御能力。我觉得这才是最重要的。

要以创新论英雄

第二,我在看 RSA 的时候,很少去看大公司的展台,他们产品线很长东西很全,但缺少亮点。我更愿意看新秀公司,有的连融资都没有完成就是一个产品的原型,有的刚刚融资,还是一个几十人的小团队。他们的产品也许以后不一定成功,但也可能变成新时代的独角兽。几年前我在硅谷看过一家叫 CrowdStrike 的初创公司,跟 360 的模式很像。最近它在美国上市,虽然收入只有赛门铁克的 5%,但市值却超过了赛门铁克。我就喜欢这样的公司。不以成败论英雄,而是以创新和创意前瞻性来论英雄。

一个产业要发展,必须要有生态的多样性,大树之下不能寸草不生。有大树有灌木,有小草有花朵,这个花园才可能变得更加的繁荣。所以今年的 ISC 我们会免费,帮助很多没有更多宣传资金的创业公司,有志于在安全行业创新的公司,欢迎他们来做展示。往年在介绍 ISC 展会上的公司,一家又一家都是 360 投资的,这样下去就成了 360 全家桶,而且我们也不可能把所有优秀的公司都投了。所以,ISC 要成为中国互联网安全公司的展示平台,不管是阿里还是腾讯的投资,还是其他什么VC投资,只要你是创新的公司,我都欢迎你,ISC 的舞台会免费提供给你一个展示的空间。

很多企业的客户来到一个展会,也不是希望只听到一家公司的理念,一家公司的理念再好,也永远是一面之词。创新有一个最大的特点就是多样性,不同的理论不同的观点碰撞,而小公司如果给我一个灵感,我就觉得没有白来。往年 ISA 的论坛多展位少,今年要打破门户之见,广洒英雄贴。

独角兽不应以市值为标准

说到这里我忍不住要讲一个事情,曾经有一度互联网的一个概念被 VC 和媒体玩坏了,叫什么独角兽。一夜之间中国满大街都是独角兽,到处横行直撞。独角兽是因为罕见才叫独角兽,大家都是就不稀罕了。所以我一直不喜欢独角兽的概念,我觉得弄错了价值观。独角兽最早是 1 亿美金,后来通货膨胀变成了 10 亿美金,考虑到 CPI 的增长,将来这个门槛可能会涨到 100 亿美金。即便 10 亿美金,安全行业这么多老牌公司可能都刚刚过独角兽的标准。

网络安全行业的用户需求一直都有点弱,所以市场一直没有那么大,一年的销售额整个加起来就三四百亿,所以很多公司市值都不高。但其实网络安全的意义很大,所以我借ISC大会的这个机会讲一个观点,我们重新建立一个独角兽的理念。不以销售额为标准,不以市值为标准,因为对安全行业来说,我们解决问题的战略意义很大。十九大最为关注大家追求幸福生活的动力,而新技术的发展最担心的就是安全。如果不能解决安全问题,整个社会的技术进步都会受到影响。在这种情况下,安全公司做出有创新的安全产品,前瞻性是非常重要的。

目前,在短期内连一些老牌公司的收入都做不到太高,这是由于行业的发展不均衡导致的,我认为未来会得到改善。所以我们以后评价独角兽,不应该再用市值和收入来衡量。我很气愤的是,安全行业的很多评比、象限、矩阵的找不到 360 的影子,一问市场部,说是他们认为 360 不是安全公司。所以我在此呼吁,我们不用去跟游戏公司比收入,因为全中国所有做安全的公司收入加起来还比不上一款游戏的收入。我们也不要去跟短视频公司比视频,一天刷两个小时的安全视频。但我们安全是在在背后悄悄解决问题,用户没有感知,但会让用户觉得岁月静好。我们在负重前行,我们不用去比,而应该建立这个行业自己的价值观,自己的标准。所以 ISC 大会要成为一个这样的新平台。

所以第三点,每年去 RSA 我必然要看创新沙盒,这里边的主角全部是新公司,评委是 VC、行业专家、安全老鸟、知名黑客,不评收入、不评利润、不评融资额、市值,就看谁的产品最创新。如果你做了一个防火墙、统一威胁、安全认证,这个是最遭鄙视的。我觉得只有这样一种价值观才能真正带来我们中国网络安全产业很多创新小公司的爆发。

如果我们永远在以销售和利润为驱动,就会导致很多公司的产品是同质化的、陈旧的,仅仅是符合了等保合规的要求。我对等保合规完全支持,但合规只是解决安全的基本性,不能解决安全的向上、创新、升级的问题。所以今年我会亲自来当评委,也会邀请行业内很多著名黑客、安全专家来当评委,邀请 IT 创新媒体自媒体来做评委,邀请一些 VC 老朋友来做评委。我们要搞的不是 360 创新沙盒,而是中国的创新竞赛,我们评出来的独角兽是真正有创意、有前瞻性、能够指出未来几年安全问题的解决思路和方向的企业。

所以今年我们的 ISC 表面上看只是换了一个地点,而且品牌也延续下来,但不一定是过去熟悉的味道了,我们要创新要升级。如果我们仅仅满足于挖来了更多的专家、更多的学者、更多的客户,之后又卖了更多的盒子、更多的软件,对一家公司来说也许是个好事,但是对于我们的梦想来说,永远不可能诞生亚洲或者中国的 RSA。在未来,在科技上跟美国的长期较量过程,我一直有一个观点,要虚心学习他们促进科技创新的机制、方法和策略,并与我们广大的优秀年轻人才和创业公司紧密的结合在一起。

完全开放 欢迎碰撞

我们很希望在 ISC 会上,能够听听老牌安全公司如启明星辰的严总是怎么讲的,绿盟的沈总怎么讲的,还有华为、新华三、紫光、同方或浪潮,他们都在做安全,还有腾讯的兄弟、阿里的兄弟,听听他们如何保卫电子商务、支付的安全。

所以我们今年会是一个充分开放的会,甚至有人来砸场子,说周鸿祎的观点不对,也没问题。我欢迎这样的碰撞,因为真理越辩越明。通过这种辩论和讨论,让大家真正意识到中国的网络安全行业到底有什么问题,未来的路到底在哪里,从某一个角度谈谈我们对网络安全的思考,而不是来看大佬来了。

创新要自下而上

而大家看到的新公司,可能未来几年就会在科创板上出现,科创板就是国家为这些创新的新秀公司打造的。如果中国互联网里永远是几个老面孔,是没有太多好玩乐趣的,所以今年在 ISC 上可能你会见到很多新面孔,见到很多新公司。我们中国人有时候对新的东西 “求全责备”,对成功的公司往往 “委曲求全”。但其实我觉得应该把它颠倒过来,对新的公司应该多给予鼓励和激励,给予认可。所以我希望未来,无论是安全牛还是极客公园这样的媒体,我们在报道的时候,不一定要多报道大公司,我们要多去关注一些创新小公司。

今年的(指创新比赛)名字还没有起好,暂时叫×××吧,也可以叫独角兽创新大赛,希望在我们安全行业树立创新的独角兽标准,评出 Top10 的优秀安全创业公司,从而使得中国网络安全行业形成一种自下而上的创新,一种分布式的创新,哪怕是碎片式的创新。创新很难自上而下的筹划,否则乔布斯都培养好几百个公司了。创新一定是通过不断的自下而上,自发的创造,通过市场的验证,甚至是十死九生这种非常高的失败率来产生的。在这个过程中,我们才能不断的发掘和培养网络安全创新的力量。

不一样的ISC

所以这是今年我对大会的期望,今年跟往年不太一样,也希望得到大家的理解,请大家多支持多包涵。我希望 ISC 未来办下去,不再是属于 360 公司或者 360 集团的资产,如果今年之个思路和尝试可行,我们会把 ISC 大会拿出来成立一个中立的会务公司,如同 RSA,我会把它捐给这个行业,欢迎行业的同行们一起打造 ISC,把 ISC 变成我们中国乃至亚洲的安全会议。

网络战时代已来

为什么我最近的思想境界有这么大的提升呢?最近大家有没有关注到光明日报、新华社、还有人民日报都发了一系列要应对网络战的文章。而且,最近伊朗的核设施又被攻击了一次,再加上委内瑞拉大停电和最近阿根廷、乌拉圭的南美洲大停电,所以越来越多的人士都感觉到,其实网络战离我们并不遥远。过去的几年里,我一直在说网络战已经来到,很多人对此非常不理解,觉得我在破坏国际关系、甚至有人觉得我就是一个战争贩子,唯恐天下不乱,就是为了多卖东西。但是我想讲的是,最近这些形势已经验证了我的前瞻性。网络战时代已来。

网络战并不是说我们要去打别人,我们是一个爱好和平的国家,但技术的进步,网络战的发生,是不以我们的意志为转移的。比如说世界各国现在已经有 122 个国家成立了网络战部队,许多西方大国纷纷通过了自己的国家网络战略,包括某大国 (You know who) 自己旗下就有 133 只相当于网络战部队的黑客团队,包括大幅度提升网络攻击方面的预算,以及在遭受攻击或者认为有必要的时候可以不经国会授权直接进行反击的法案。

网络战不分战时与平时

Wannacry 在席卷全球的时候,很多人认为这是小毛贼的恶作剧,但在给很多行业包括政府领导做汇报的时候,我认为这就是一次网络战的预演。我们不用去看它表面的形式,它是谁做得不重要,重要的是美国

NSA 不小心泄露出来一个过时的武器,就席卷了全球,席卷了中国,这其实是给我们敲响了警钟。再结合我们这几年发现的 40 APT 攻击,以国家级黑客为背景的国与国的攻击,攻击的目的就是潜伏和渗透,要么窃取你的情报,要么潜伏下来等待指令,在某一天接受指令的时候,给你致命一击。

最近有一篇报道,不知道大家注意到没有,就验证了我的观点,说美国自己的官员承认在俄罗斯的电网里面有他们已经埋伏好代码。我一直在讲一个观点,网络战不分战时和平时,不是等到哪一天宣传开战别人才开始攻击你。事实上,别人都是在和平时期入侵你的基础设施,潜伏在里面,然后等到哪一天觉得要教训你的时候,再下令分分钟给你沉重一击。所以我就问一个问题,在我们很多基础设施里面到底安不安全,这实际上是一个大非常大的问题。

网络安全 人人有责

另外,许多人老觉得网络战和自己没关系,都是国家领导人才关心的,但这是错误的。网络战之所以被称为战,不是网络黑产、不是钓鱼网站、挂马、肉鸡、偷游戏账号、勒索比特币,而是国家级的网络攻击都是攻击的电站、交通枢纽、能源等基础设施。前两天在某省市出现了网络基站通信服务问题,大家打不了车、订不了餐、看不到新闻、什么都支付不了,在不用手机都很难做到的今天,如果突然大面积停电停了五个小时,你想想这个社会会乱到什么程度?如果发生网络战跟在座的各位有没有关系?

我经常讲,网络战不分军用目标、国家目标和平民目标,因为大家的网都连在一起。而且,网络战一般要通过一个漫长的攻击链,从某个人再到某个领导,从领导的电脑再渗透到办公内网,从办公内网逐渐渗透到业务网,比如工控网,在这个漫长过程中每个安全环节都有可能出问题,从而导致整个网络的问题。大家都知道 “国家兴亡,匹夫有责” 这句话,今天我们把这句话改一下,“国家网络安全,每个人、每个单位都有责任” 。

经过这几年的研究和实战,360的思考不在于如何编一个概念、造一个软硬件的盒子,然后急急忙忙的卖给国家、企业,卖给用户,以赢得销售额。我们考虑的是到底今天我们面临什么样的困境,什么样的挑战,我们又该如何解决这个问题。很坦率的说,APT 攻击我们一般的部门机构和企事业单位根本看不见。过去安装个免费杀毒软件个人可以高枕无忧了,单位装个防火墙,对付小毛贼也不会有太大问题。但是今天,当国家力量开始利用国家级的黑客技术,有组织有计划有系统有充足的资金支持的时候,还停留在过去的认识上,就很可怕了。

全身心打造 “看见” 的能力

攻击的关键在于漏洞,黑客能够神不知鬼不觉的进入就是利用漏洞。因为有了漏洞,没有攻不破的网络,吃了一幅 “灵丹妙药” 就能保证我的网络固若金汤的故事已经是神话。因为只要是人做的系统,人写的软件、做的硬件,就一定有漏洞。所以,360 的目标退而求其次,不奢求 100% 的安全,而是要在别的国家对我们的网络进行渗透和攻击的时候,第一时间知道,第一时间看见。前几年有一次 ISA 大会上我们就提出了这个观点。

网络战就像真实的物理作战,不管是空战海战陆战,最重要的是雷达。否则,你都不知道敌人在哪里,如何排兵布阵?你再有再多的坦克、火炮、军舰飞机,不知道敌人在哪里,怎么打?这就是我们现在的网络安全现状。

我不相信一个公司能解决所有问题,而是应该倾其所有集中精力解决一件事,就非常了不起。所以 360 在前几年就定位要解决看得见的问题,这就是 360 的安全大脑。今天不做产品宣传,我只说一个结论,基于 360 这几年积累的网络安全大数据,安全知识库,挖掘的大量漏洞和剖析了大量漏洞利用,再加上我们拥有东半球数量最多的白帽子黑客,构成了安全大脑的核心。

所以,我刚才为什么要吐槽现在对安全公司的评价标准。如果只是津津乐道一味的强调企业安全销售额、利润,而不能解决网络空间里面临的国家级力量的的攻击,当贸易战金融战科技战之后网络战来临的时候,我们如果看不见,这就是这个行业的耻辱。我们要有底线思维,就是说我们希望不要打仗,但是我们要做好准备才能不怕打仗。

不与友商竞争 全面开展合作

除了发现 40 起 APT 以外,我再举个漏洞数目的例子。今年微软在中国开的蓝帽子安全会上,挖到漏洞最多的公司是 360。挖了 300 多个漏洞,仅零头就等于所有其他友商挖漏洞之和。这些技术和数据能力,充分证明了 360 面对国家级网络攻击的侦测能力。拥有这种核心能力之后,我们决定不想再去做跟友商和同行去做全面竞争,因为我们意识到 360 即使穷尽自己所有的能力,能把侦测能够做好已经很不容易。要得到更多的数据,和更多的支持,我们需要跟整个行业去建立全面的合作。

To B 和 To C 是不一样的,后者经常就是赢家通吃,想要一家垄断。坦率的说每个做 To C 的互联网公司,一有机会都会追求垄断。但是To B /To G,就要有所不为才能有所为。必须要打造生态,日后真的在应对其他国家对中国展开网络战的过程中,360 也仅仅提供了雷达。但雷达侦测了之后如何反制,如何止损,如何分析、封堵、清理等等,还需要很多同行,无论是老牌的安全公司还是安全公司的创业新秀,需要大家共同的努力。

所以,借此 ISC 的机会,我们再次向行业声明,360 决不会去做我们投资的一些公司去做的事情,我们会聚焦在自己最擅长的领域,即基于大数据和安全知识库、安全专家,来做 APT 攻击的发现和感知。除此之外,我们会和行业其他公司,无论是天融信、启明星辰、绿盟,还是 BAT、华为,都会全面的合作。

最近习总书记提过一个词叫 “新型举国体制”,我的理解是,在新时代下的举国体制不是计划经济,也不是某个国企、某个研究所就能叫举国体制。在今天,很多核心技术和数据掌握在民企手里,我们大家在国家网络安全这样一个大背景下,在应对其他国家可能对我们网络战进攻的大前提下,就像当年中华民族面临外敌入侵,大家无论什么政见、什么观点,不论商业上有不同的看法,都应该一起协作一起携手。网络安全走到今天,越来越需要数据的打通,需要不同公司的协作,需要顶层的设计。如果我们各自为战,不能互通有无打通信息,就无法把网络空间里的碎片信息还原,就永远无法知道攻击的来源。

如果我们这个行业不能够共建一个大的生态,不能在面对国家网络安全威胁的情况下携手,而是斤斤计较于公司之间的小恩小怨、商业利益得失,一旦整个国家的网络基础设施被攻击而出现重大的社会安全问题,我觉得每个做网络安全的人都应该在人民面前,在社会面前谢罪。这就是360对网络安全这个行业的观点和看法。

360 给自己定位的非常清楚,我们不想把自己定位成全产品线,而是定位成非常鲜明的打造网络战时代的雷达和网络安全大脑。所以我们会投资一系列的公司,也会跟一系列的公司结盟,把 360 的大数据和威胁情报对同行开放。未来,不管是谁卖的产品、用谁的品牌,只要我们的产品互相之间数据是通气的,能够侦测到安全的每个微小踪迹,能够迅速地在全网查找进攻者的踪迹,并把它捕捉出来,这就是 360 真正的梦想。如果能实现这一步,就能够让我们现在的防守能力提高 1 2 个数量级,这就是我今年接手 360 政企安全新业务的策略和思路。

希望未来 3 到 5 年,我们能够众志成城,整个行业里不是只有一家独大,而是有很多安全的创业公司也都活得很好,有的卖产品,有的提供咨询服务,比如像四大会计事务所,光靠安全咨询服务挣的钱就比中国安全公司挣得还多。这样才能够创新源源不断,整个产业蓬勃发展。相信再给我们几年时间,中国整个国家级的网络安全能力,会有一个巨大的提升。在面对网络战的时候,不像今天这么担忧,不惧怕任何人发动网络战攻击,因为我们已经有一整套应对的技术、团队和体系。这是比 360 要办中国、亚洲 RSA 更大的一个梦想!


(文章来源:)
注:来源于互联网内容,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。