文/易北辰

沒有安全，任何互聯網生產和生活都是海市蜃樓。

互聯網安全的重要性不言自明，而互聯網安全不僅僅是個人、公司、國家的事情，而是全球協同的戰略。

8月16日，以“協同聯動，共建安全命運共同體”為主題的第四屆中國互聯網安全大會（ISC 2016）在北京召開，超過3萬名安全行業人士就世界網絡安全形勢、網絡空間戰略、產業方向、行業趨勢、技術未來、產業合作、投資創業、人才培養、安全攻防實戰等九大方面進行探討，來自全球70多家相關機構和企業的超過百位代表參會。易北辰有幸受邀參加了這次全球重大會議。

在本屆互聯網安全大會上，最重磅的消息，無疑是360公司董事長周鴻祎宣布，將免費開放360全球實時掃描監測系統，在這個系統中，可以隨時了解全網惡意掃描源，從而對這些惡意掃描源封堵處置，降低系統被攻擊的概率。

而這只是第一步，周鴻祎說：“協同聯動，360率先走一步，為協同做些實事。我們要推出威脅情報共享工程，陸續開放自己的數據和能力，今天首先開放的是360全球網絡掃描實時監測系統。”

眾所周知，安全數據是360公司最核心的資源，而開放這樣具有極大商業價值的核心數據，在世界范圍內尚屬首次。

2008年，360殺毒宣布永久免費，這一舉措不僅是360發展史上具有里程碑意義的事件，還為中國的網絡安全做出了巨大貢獻。這一免費安全戰略極大提升了安全軟件的普及率，讓木馬病毒沒有生存空間。微軟2015年全球安全感知報告顯示，惡意軟件感染數量指標，中國連續第三年蟬聯全球最低，全球指標為16.9，中國僅為2.6。

這次360宣布免費開放的數據，將極大提升我國網絡安全的整體防護能力，從源頭開始，讓即使不是部署的360的安全設備，也能具備“千里眼”，對網絡威脅進行及時的響應。

周鴻祎說：“只有協同才能產生安全的洪荒之力。我們的大數據技術和威脅情報技術經過近兩年的發展，已經具備了協同的技術條件。360的數據能力、安全能力和資源積累大家有目共睹，是目前中國唯一有能力建立數據和威脅情報共享體系的公司。10年前360開創免費安全模式，不是為了搶市場，而是為了降低安全軟件使用門檻，讓整個互聯網安全環境更好，極大地促進了中國互聯網產業的發展。今天，我們在企業安全市場開放我們的有價值安全數據，是為了讓安全產業基礎更好，共同提升國家網絡安全能力和水平。” 

以下是周鴻祎主題分享全文：《協同，網絡空間安全的出路》

ISC到今年已經是第四屆了，過去的三屆安全大會， 

2013年，我講了安全的邊界需要重新定義，判斷隨著移動設備和云計算的普及，傳統的安全邊界被打破，需要重新定義；

2014年，我講的是萬物互聯時代的安全，認為隨著IOT的普及，我們將迎來萬物互聯安全時代，數據的安全將成為挑戰；

2015年，我講的是看得見的安全，強調在數據驅動安全時代，看見威脅成為安全最重要的一種能力。

現在回頭來看看，這3個技術趨勢都已經成為了現在的行業共識。

過去我更多的從技術角度講安全，這是一種術；今天的安全不能單純的依靠技術，所以今天我希望講幾個故事，從道的層面，講講安全的協同和合作。

政府與企業的協同

（奧巴馬總統令PPD-41）

第一個是政府與企業的協同故事：

今年是美國總統大選年，總統大選一直是美國大事件，美國人寫美國史一般都是以美國總統大選為主線。這次希拉里所在的民主黨的郵件泄露事件是一個大事件，郵件泄露后曝出的各種丑聞讓希拉里和民主黨很被動，如果最終影響了美國總統大選結果，這對美國和世界都將產生重大影響，所以郵件泄露事件有可能成為載入歷史史冊的大事件。

有關郵件是如何泄露的有各種說法，

一是希拉里自己不嚴謹，曾經使用自己的個人郵箱，這種基于公有系統的郵箱都基于相同的架構和體系，很容易被攻擊，所以郵件泄露不是小概率事件；

二是黑客組織有目的的攻擊造成了郵件泄露造成了最后的后果。

奧巴馬在7月26日發布了一個總統令：PPD-41，建立美國國家網絡攻擊指揮響應鏈。這個總統令中最值得關注的是以附件的形式專門發布了《美國網絡事故協同方案》，制定了政府對網絡事件調查、預防和處置響應的協同原則。明確了政府各部門在網絡安全事件響應的分工和責任，以及響應流程。

總統令規定：首先針對事件成立網絡響應小組，由總統特別助理兼網絡安全協調員；美國司法部直接負責指揮響應針對美國的網絡威脅；國土安全部將按要求立即幫助機構和企業平息網絡或“資產”威脅；政府在網絡事件處理中和民間機構、企業和公眾進行互動和協同。

奧巴馬之所以發布這個總統令，是因為在安全事件處置中需要提高處置的速度，任何一方單獨做都沒有辦法做到很高的效率，任何一方占有的能力和情報都是比較片面的，只有大家一起協同起來才有可能做到更高的效率。

從這個總統令可以看出美國對于政府在網絡安全中的定位和在網絡安全中扮演的重要角色，同時政府應起到一個協調者的作用，通過政府領導和指揮，協同企業等民間安全能力，共同應對網絡威脅。

今天我們國家對網絡安全很重視，當網絡遭遇境內外有組織的攻擊時，應該向美國學習，政府不能只考慮政府部門的能力，也應該把民間的公司、企業、安全企業、科研院所甚至很多個人力量融合進來，才能更好地解決安全問題，所以政府應成為協同國家和民間安全力量的領導者。

在這里我提出三個呼吁：

第一希望政府能重視在網絡安全數據和能力方面與民營企業的合作，在網絡安全中政府起到一個領導者和指揮者的作用，融合政府、國企、民營企業的能力和數據，提升國家網絡安全能力。

第二希望政府大力扶植和重視民營企業，把整個安全產業鏈條都做好做精，形成良性競爭，形成共同目標，更好的保護網絡安全、保護國家安全。

第三希望政府積極推動網絡安全領域的軍民融合，國家在國防裝備發展中在大力推進軍民融合，雷神公司是美國的網絡安全國防承包商，它就是一家民營公司，這個公司先后收購了WEBsense 、黑鳥等多家公司，它的安全能力強了，美國國防網絡安全水平自然就會提高。在這點上美國模式很值得我們學習，在網絡安全領域推進軍民融合。

企業與企業的協同

（孟加拉國央行被攻擊竊取８１００萬美元）

第二故事是有關企業間的協同。

近年來網絡威脅越來越靠近錢，無論是網絡詐騙、勒索軟件還是今年以來連續發生的黑客攻擊銀行事件，目標都直接指向了錢。

今年2月5日，孟加拉國央行被黑客攻擊導致8100萬美元被竊取。

在這個事件中，攻擊者獲取了孟加拉國央行SWIFT跨行交易系統的操作權限，利用惡意軟件篡改了SWIFT報文，向孟加拉央行在紐約的聯邦儲備銀行發出了35筆轉賬申請、總價值9.51億美元，其中雖然被拒絕了30筆；但仍有4筆金額共8,100萬美元轉到菲律賓。

這是一個沒有協同的案例。第一我們通過溯源發現在2013年索納莉就曾經發生過類似的攻擊，而且在孟加拉國央行發生SWIFT案件后，越南先鋒銀行、厄瓜多爾銀行等多家銀行也先后遭受到了類似的攻擊。

這個事件全世界都很關注。銀行被攻擊丟失錢是個問題，最重要的引發公眾對銀行的信任危機，這有可能引發全社會恐慌，造成擠兌等嚴重的社會和經濟危機。

但是如果在13年索納莉銀行第一次發生SWIFT攻擊時就能通過威脅情報共享讓其他銀行有所防范，就不會造成后來的巨大損失。

但所幸運的是，在孟加拉央行攻擊事件曝光后，我們國內的幾個銀行客戶馬上向我們咨詢，希望了解這個事件的真相，大家都很擔心類似的攻擊發生在自己身上。

360在自己的威脅情報系統，也結合了其他合作伙伴的威脅情報，引入國內的多家銀行的業務專家參與，了解了攻擊手法、攻擊使用的惡意軟件和攻擊目標和流程，成功對這個事件進行了溯源，讓我們客戶避免了攻擊和損失。

在這個故事中，由于沒有銀行間的威脅情報共享和安全企業的協同，一家銀行的問題變成了多家銀行共同的問題，其他銀行也遭受了損失。

而另一方面，在事件排查過程中，因為協同將整個事件很清楚地進行了溯源。

這是一個沒有企業間協同造成損失的故事，我再講一個因為協同能夠避免被攻擊的故事。

（UTRS組織）

在美國有一個抗DDoS的聯盟服務叫UTRS，這是一個基于信任的基礎網絡攻擊流量清洗協同聯盟，聯盟中目前有140多家全球知名的安全機構、運營商、互聯網企業和大學等，360也是UTRS組織成員。組織中所有機構的網絡路由器都配置了相應的規則，一旦哪家機構遭遇了DDoS攻擊，該機構的路由器就會將被攻擊的IP通過UTRS廣播到UTRS組織中的每一家機構的路由器,實時協同動作，對攻擊流量IP本地屏蔽，進行所謂近源清洗，從而減輕骨干網絡以及被攻擊目標的壓力，這是對抗DDoS攻擊的全球協同。

通過這兩個故事，我們可以看到企業間的協同對于安全的重要性，這不僅指安全企業間的協同，還有安全企業與客戶之間的協同，以及企業客戶與企業客戶之間的協同合作。

所以我們希望客戶在遭受網絡攻擊時，不要羞于披露，應該及時分享出來，避免其他企業遭受類似的攻擊；安全企業之間也應該打破門戶之見，相互協同，共同提高網絡安全防御能力和水平，因為，網絡威脅面前沒有幸存者。

360在國內擁有最大的百萬級企業客戶群，我們希望在客戶與客戶之間創造一種合作機制，建立一個基于威脅情報共享的協同體系，誰被攻擊了，發現了攻擊者用了什么樣本，都應該共享出去，讓其他客戶馬上響應和處置，不要讓更多企業成為犧牲品。

網絡安全不應有旁觀者。

安全產品的數據和能力協同

 (360協同防御體系)

講了很多協同的故事，那到底協同能不能夠在技術和產品層面落地呢？大家如果還記得，去年我講的是看得見的安全，是用大數據方法解決安全問題，但實際數據是基礎，有了數據產生了威脅情報，再加上安全專家和產品體系，才能實現一個完整的防御體系。

360公司已經和多個合作伙伴共同建立了一套完整的協同防御體系，這是一個在威脅情報驅動下的預測、檢測、響應、溯源一體化的安全協同防御體系。

舉個例子：

某政府單位部署了具備協同聯動能力的安全防御系統：

l 360威脅情報平臺推送一組C&C（木馬控制端）域名給新一代智慧防火墻、終端安全管理系統；

l 新一代智慧防火墻檢測到有內網某計算機產生了對此域名的解析行為，通過告警日志通知NGSoC，同時進行了攔截

l NGSoC通知安全運維人員介入排查，通過可視分析系統，從NG SOC中查找天擎終端檢測與響應系統所收集的應用程序行為日志，檢索疑似感染木馬的計算機的進程行為信息，找到了惡意代碼獲取執行的進程鏈信息，經過分析發現了一種新型的免殺方法。

l 通過NG SOC分析平臺所記錄的各類網絡連接及數據交換的元信息，回溯木馬植入過程

l 發現威脅的Actor從原來郵件中直接包含EXE文件的方式轉換為通過發送DOC文件利用Office漏洞來釋放惡意代碼，體現了對手攻擊方式上的新變化。

l 通過天眼系統的連接可視化分析系統，確認受感染的終端是否與關鍵服務器存在可疑的連接和數據交換以評估入侵程度。

目前360在威脅情報和基于威脅情報的產品協同方面已經形成了成熟體系和方法，我們也希望將相關情報和能力與同行分享，其他安全廠商的設備將來也可以協同使用360的威脅情報。

360推出威脅情報共享工程

那作為全球最大的安全公司之一、中國最大的互聯網安全公司，360是目前中國為數不多的有能力建立數據和威脅情報共享體系的公司。

為了更好的解決網絡安全、國家安全問題，我們決定率先走一步，推出360威脅情報共享工程，陸續開放自己的數據和能力，今天首先開放的是360全球網絡掃描實時監測系統，在這個系統中，可以實時了解全網惡意掃描源，然后對這些惡意掃描源封堵處置，降低系統被攻擊的概念。

圖：360全球網絡掃描實時監測系統

10年前360開創了免費安全模式，不是為了搶市場，而是為了降低安全軟件使用門檻，讓整個互聯網安全環境更好，極大地促進了中國互聯網產業的發展。

正是在360免費安全理念的帶動下，中國成為全世界第一的，全民享有免費安全和免費殺毒服務的互聯網大國，也是世界上惡意軟件感染率最低的國家。

微軟2015年全球安全感知報告顯示，惡意軟件感染數量指標，中國連續第三年蟬聯全球最低，全球指標為16.9，中國僅為2.6。

今天，我們在企業安全市場開放我們的有價值安全數據，是為了讓安全產業基礎更好，共同提升國家網絡安全能力和水平。

只有協同，才能形成安全的洪荒之力。

作者：易北辰，80后作家，暢銷書作者，自媒體。

關注 易公子 微信：beichenyi8    ←長按可復制