超级CSO研修班 | 杜跃进：与时俱进，弃旧迎新

Original 管窥蠡测安在 2022-07-12

戳视频看看杜跃进都说了哪些金句

当越来越多的事物被连接到了网上、当数字化时代越来越加速的发展时，安全已成为和各行各业都深度融合的问题，安全的定义会发生本质变化。本期CSO课程特邀360集团CSO杜跃进为我们将安全理念从过去到当下进行了全面的梳理，让我们对安全发展史更为了解的同时也明确了未来的防护方向。本文在杜跃进三个小时授课实录基础上所做精选摘编，以飨研修班课堂之外更为广泛的读者朋友。

网络安全产业洞察

杜跃进 360集团CSO

病毒的更新换代

传统的计算机病毒，其实是上一个时代的事情：战场在一个个分散的计算机中，攻方要写出可以隐蔽传播的破坏程序，守方要识别和清除破坏程序，和网络、控制都没什么关系。当前时代的第一个变化是广泛联网，而这时候也引起了安全的第一次质变：当全世界都通过互联网连在了一起，攻击者就可以遥控攻击任何他想攻击的人。网上有100万台计算机，他的手就可以通过网络伸入到100万个家庭，有1亿台计算机就可以进入1亿个家庭，他会发明出和传统计算机病毒完全不一样的攻击方法，比如说木马。木马会长期潜伏在系统里，价值不在于传统病毒那样的“破坏”，而是变成一个用户不知道的程序偷偷运行在后台，但只服务于控制者，这就等同于给控制者开了后门儿，他可以远程秘密监视甚至控制别人的计算机，例如打开用户的摄像头麦克风、替用户炒股票或转账、窃取用户数据等。到了今天，他还可以利用客户的机器“挖矿”等。

而木马还是比较小儿科的，如果说攻击者想上规模，同时控制5万台、10万台、甚至百万台电脑，他要怎么办？僵尸网络因此诞生。攻击者们不再需要一对一的发指令，而是把指令发给一个控制服务器c&c，然后让那些被木马入侵的机器去找c&c，而且这c&c是可以移动的，域名可以移动、网址可以变换，这就是所谓的僵尸网络。僵尸网络控制了那么多台电脑后能做什么？可以干各种事情，包括进行DDos攻击。显然，这个阶段防守方的工作就不再和之前一样了，而是要重视网络应急和协同等。

2000年的时候，蠕虫病毒猖獗，因为那时网络已被极大的普及，基于当时许多计算机都有通用漏洞的存在，攻击者可以写个程序，让病毒一变十、十变百、百变万，急快速的变化和传染，2001年Code Red在24小时内使全球超过30万台计算机被传染，而且还是在周末。

到了2010各种大事件爆发后，大家开始意识到安全又进入了一个新的阶段，原来真的可以通过互联网直接进入到工控系统。这个阶段的变化，本质上是因为更多的资源被连接到一张网络上，导致网络攻击的“诱惑力”上有了变化，即攻击者不再满足于只对民用计算机进行攻击，而是开始致力于破坏一个工厂、一个区域，甚至破坏一个城市的基础设施。

因此，诱惑力不同，攻击手段自然会发生变化，比如当下的APT攻击。2011年我在国内到处讲说APT的安全问题，当时常被人质疑为是不是在瞎炒概念。到2012年，Flame（火焰）病毒出来了之后我们更是组织了一系列的研讨会，再次强调网络安全对抗进入新的时代，呼吁大家重视。因为Flame再次展现了攻击方的能力水平发生了质的变化：如同我国著名的王小云院士所证明的，md5这个被用作当作软件“指纹“的技术并不那么可靠，其实是可以碰撞的，我们以为md5能证明我就是我，我的指纹是唯一的，但王晓云院士说在数学上证明了不是。而Flame可以简单理解为更进一步，就是实际攻击中已经可以伪造出我们的指纹来。

从事件到威胁

APT的本质变化是从事件视角升级到了威胁视角。APT时代和之前时代之间有一个重大的区别，那就是安全防护不再只是“事件（incident）”了，我们不再把问题局限于事件之上，而是开始讲究“威胁（threat）”。从事件到威胁，这是一个完全不同的看待安全的理念。事件是什么？回想一下病毒时代，当我们发现了一个恶意代码、发现了一个病毒，我们拦住他清除掉就可以了，会需要去想是谁写的吗？不需要。

那什么是威胁？比如网页，当我们在上面看到了好几年前就有过的一个程序，我们误以为他就只是我们看到的那样，实际上他布了一个很大的局，他花了很长的时间在研究、在探索，目的却是为了某个不为人知的目标，这才叫威胁。威胁涉及到谁、什么时间、都干了什么、用的什么方法、造成了什么损失、为什么等等。所以在threat里其实包含了很多的incident，我们只有把很多很多的incident放到一起才能够分析出来一个threat。如果今天我们还是只专注于“发现恶意代码就删除”，那其实就是在用应对事件的思路处理威胁，这是过时的被动的思路。

同时，今时今地，数字化智能化程度极具升高，更多的领域在转变为信息化，更多的内容被连到了网络上，此外还有新的要素加了进来，就是我们现在常说的数字化，而这指的并不是信息化时代我们所的“数字化”。信息化时代的数字化是把一本书上的字扫描变成数字的，我们现在说的数字化指的是所有生产过程可被变为数字的形式，就像我们很多的业务是在数字化流程里进行操作的。在这个时代，原来的安全又发生了本质变化，升级成为“数字安全”。

应对意识要改变

结合以上几点，应对意识就务必得发生改变！

在此，不得不说十四五是这次数字革命时代极其关键的五年，可能影响到未来十年，而未来十年可能就决定了这次数字革命我们到底能不能抓住机会。

十年前起，越来越多的攻击模式都是APT那样的，它是具有很强的针对性的。在这样的情况下，只靠产品是肯定不行的，因为现实正越来越多的变为一个真正的人和人在网上对抗的模式，这种状况越来越明显，而未来只会愈发增多，所以我才说大家的思路没跟上，直到今天还都在试图把产品做得更好，觉得只要把产品部署上去就行，这肯定是会被淘汰的。

同样，还有一些人把安全当做是合规的要求，那最后的受害者也肯定是你自己。医院瘫痪了，你说反正都是合规的，所以和你没关系；企业出现了安全事故钱都没了，你也说都合规了所以和你没关系；或者你这一年的利润都被羊毛党薅光了，你也说只要合规就行，其他和你没关系，你能过得了自己这关吗？而类似于这样的事故会越来越多。

另外，安全还是需要知己知彼，如果就只认为自己把某产品做到极致就刀枪不入了，这是不可能的。时代已经变了，大家的东西相互密切相关，都融在一起了，你都不知道哪个不认识的猪队友分分钟会害死你，不是说你给自己画个小宇宙就好，不和世界打交道了吗？更不用说人也是可以利用的攻击入口。

看看如今这个时代，几乎所有的内容都涉及到了安全，lt的安全、移动通信的安全、人工智能、区块链、语音、大数据、计算，这就是我所说的都融合到了一起。比如，信息技术层面长期以来就只是给生产工作提供一个辅助作用，让生产工作提高效率、减少出错率等，但今天信息系统已经开始融入到了业务里，像美国的油管事件，信息系统瘫痪后业务就发展不下去了，这说明它已经不再是简单的信息系统的安全，它正越来越深层次的和业务的安全捆绑在了一起。所以，如果攻击软件或者数据就能使业务瘫痪的话，攻击者们何乐而不为呢？

以前的应对意识都属于用自然规律来解决问题，即用自然科学的方法来解决桥梁该怎么建、防火该怎么做、生产安全该怎么防护，所以我说这是牛顿管的地方，但在现在因为网络安全的融合，在这个领域里，从第一天起牛顿就管不着了，因为从第一天起就是人和人在对抗。

未来安全能力是关键

未来的安全，不是靠买一个现成的产品来解决问题的，所以这里我不是要介绍产品，而是介绍方法。第一，我们和所有别的行业一样，我们也要基于数据，第二是需要分析数据的能力。第三是一定要有协同，就是当状况发生，你要合作应对威胁时，一定会有大范围的协同，哪怕是数据也需要依靠协同才能够获得，响应更是如此。第四就是持续的运营，即通过运营持续进化你整体的能力，而能力够还是不够，因人而异，要看你的目标，达到一个你能够接受的风险程度就可以了，你控制不了的那部分风险就用别的方法来兜底赔付。

2022年，我对安全的预测是，全球的安全会越来越明显的进入到能力主义时代，即网络安全会从以产品为主导转向以能力为主导。但是认知的人还不是那么多，2021年底我们看到美国的国防部、美国的能源局，他们的cmmc和c2m2都在加速，他们要求管理的部门在三年之内达到相应的等级，或者是cmmc升级成到2.0；我们看到欧洲全面的启用能力成熟度来评估欧盟各个国家的安全能力；我们看到我们国家工信部把数据安全能力成熟度评估列到十四五的重点任务；我们看到国内越来越多的标准开始用能力或者是能力成熟度来衡量安全。所以基于这样的现象，我们得到一个结论，2022年之后，能力将是重点。

2015年我们设计了《数据安全能力成熟度模型》（DSMM），这个模型很不容易，到2019年才变成国家标准，在那之前是国际标准用在特定领域里的，现在工信部已经把它列在了十四五的规划中，所以大家也都可以用数据安全能力成熟度来开展数据安全评估。2005年的我们提出的国家网络安全能力模型没有对能力成熟度进行衡量，它的作用是大规模应急响应，而2015年的模型我引入了能力成熟度，这是借鉴别人的成熟经验。模型中我们独创出来、现在大家都会用的概念是数据的生命周期。简单来说，我要回答数据安全与否的时候，我看的不再是信息系统，而是全流程。

在不同的生命周期里会涉及到不同的业务团队、不同的产品。DSMM模型里面第三个维度回答用什么要素建设能力，这部分来自于过去二十多年网络安全从业经验教训的总结，特别是人员和组织设计的问题。例如，我原来经常会说，ciso、cso必须得是管理层，负责网络安全的人得有参与公司决策的权利。为什么必须这样？因为我们当初做风险评估时，发现大量的案例背后，其主要的事故原因就是负责it安全的人在业务上完全没有发言权，这些人就好像只是个机房管理员，无法做出任何决策。

协同联动是未来安全的方向

其实我们今天所做的事情跟自然界的进化是一样的，竞争的终点是博弈论的这套体系，因此唯一能胜出的办法就是协同。协同分为两种，一种类似于蚂蚁和蜜蜂，另一种是人的协同，这是两个不同层次的协同，不同的地方在于，人的协同讲究故事和外挂，故事是用来实现更大范围的认同感，外挂用来大幅突破个体的能力。而讲故事和外挂这两者加在一起，实现了别的物种所没有的协同。因此，以这为基础，我们就得出了第三种更高级的协同，即能力核心。

以能力核心为引申，我来说下什么是安全大脑。按照钱学森先生的理论，开放的复杂巨系统的控制，需要综合集成研讨厅的思路，而实际上我们所走的这条实践道路就是如此，只不过现在还不敢说达到了什么样的程度，但方向是明确的。

它里面有四个最关键的中枢部分，第一就是传感，即刚才说到的数据，所以你得连接各种你所需要连接的地方。第二，连接之后的数据要能够回收。第三，非常重要的得有数据计算能力，否则只有数据是没任何意义的。就比如城市里面的传感器多了去了，这么多的摄像头无时无刻都在产生数据，这些数据得被计算出来，然后在计算的基础上实现协同，计算完了得回馈给我到底形成了什么新的趋势，得告诉我新的决策是什么。第四，数据本身是动态的，一般是持续成长的，所以他要能够不断的积累信息，并加工形成新的知识和经验。数据其实是个大概念，数据的展开后，里面大多数的原始数据只是原材料，就比如360里的恶意代码库有300亿条数据，你要在这里面把数据提炼成不同的维度，像你若要提炼到知识库、提炼到模型，只有小一点的数据才能用。

安全大脑的核心

以前老有人问我安全大脑长啥样，有没有界面，我回答说安全大脑没界面，大脑只会和那些有界面的东西做互动，即让那些有界面的东西可以做得更好。

例如态势感知为什么总是达不到客户预期？因为像汽车仪表盘那种数据展示已经不能完成任务，实现不了态势感知的目的。当前，一是态势感知里要感知的环境比原来复杂得多，就我们还未把原来的做好环境却变得更为复杂了。二是没有足够丰富的数据和分析能力，大多情况下就只是把数据给展示了而已。

如果有一个安全大脑，它会让“态势越来越感知”，而并非态势感知本身。当下有一些综合性的系统，他们可以控制防火墙做具体的改变，像这种就还是只停留在事件的层面，而我想的是如何能够做一个更加智慧的东西，从威胁应对的视角，自己能做到梳理和选择，比如有些无所谓的代码可以自动放他过，还有些可以自动反馈给对方一个假情报，或者面对其他的一些内容它能选择坚决挡住、自动取证等，简而言之就是一个更高级的指挥部。当然我说的这个也还没有完全实现，还在路上，只不过理念大家可以先认识起来。

花絮

注：本文只是黄承老师现场授课小部分摘编，完整视频资料3小时，全文实录1万余字，我们会在本期研修班结束后制作视频专辑和纸质专刊，届时分享，敬请期待。

2021超级CSO研修班