周鸿祎：免费安全正重塑和扩大安全行业

很多企业部署了边界安全，以为我们构造了安全城堡、固若金汤，但你发现现在很多新技术的流行使得你很难建立信息的孤岛。举两个例子，我们有很多做防数据泄露的公司，有很多方案，要对付U盘。但今天公司的员工都在使用往上的云盘，你不可能不让员工用网络相册、网上存储。这些云服务实际是给企业边界打开了很多缺口。今天绝大部分公司都不得不允许员工使用自己的移动设备进入公司，所有的手机都具备Wi-Fi的能力，具备3G上网的能力，一个个手机相当于在我们原来严密保护的企业边界上打开了无数的缺口。边界的概念已经变得非常含混。

前段时间爆发了一个事件，有些单位的Wi-Fi密码会被某家公司记录下来分享给很多人，对很多爱蹭网的人带个随身Wi-Fi，跑到一个单位窗户下搞个免费热点，很多企业员工会忍不住诱惑把这个手机连上来，一旦连上来，攻击者就不用费吹灰之力就可以绕过企业的边防进入企业内部。最近有很多攻击案例，比如某超级大国对伊朗核工厂的渗透，某大国最近说他们受到网络攻击。分析这些案例发现今天的网络攻击，特别典型的实际都是通过在终端处对某些关键性的个人进行攻破和渗透。因为今天对敏感单位，要害服务器、防火墙的穿越技术要求非常高，也比较难了。但对员工以及敏感单位的员工，他忘了给电脑打补丁，用比较旧的IE浏览器，一个新的0day漏洞利用邮件，只要发这个邮件，他打开这个邮件，点开文档，攻击者就可以进入到这个人的电脑里，再通过这个人的电脑作为跳板进入企业网攻击具有更高权限的电脑。所以今天网络安全里终端安全变得越来越重要。

刚才邬院士也提到下一代互联网，物联网、无线互联网，未来会从PC转到手机，手机都未必是互联网的中心，未来各种各样智能设备、可穿戴设备、智能硬件，包括家电、汽车、单位里的工业控制设备都可能成为像Andriod手机一样的智能设备，都有可能会面临攻击者的挑战，这样的攻击对多种设备会变得日益难以防护。

所以，360在过去几年里我们一直专注加强终端安全，但终端安全和传统杀毒软件最大的差异是，你真正要解决终端安全实际终端上更多的是对安全威胁的捕获和感知，包括安全威胁的及时处理，但真正判断出它是不是威胁和供给，单靠终端处理和判断已经变得极其困难。因为两个道理，在移动设备，低功耗计算能力相对较弱的设备上，为了发现新的攻击，需要做很多复杂的判断，这已经不太可能；很多攻击如果孤立地在一台终端上看，有时候也很难判断究竟是用户对正常未知软件的使用，还是别人发来的木马。要真正解决终端安全，我们觉得在云端做这些判断会是安全的趋势，所谓云安全。

云安全有几个好处，把所有的分析判断统一在云端进行分析判断，根据统计分析就能够发现很多威胁的趋势；第二，我们和很多黑客、木马恶意软件和钓鱼网站入侵者在每天不断做攻防，如果所有的逻辑判断代码在终端，他们只要通过逆向你的程序，也有恶意软件说360有什么问题，希望你们开源，他们就能够更方便的攻击安全软件，所以我们对软件行为的判断放在云端做统一的处理，使得拦截新木马更及时。用大数据判断未知的威胁也是下一个趋势，因为很多时候我们会面临一个矛盾，对于已知的攻击我们都能防范，但我们依然知道有很多未知的攻击无法定义和预先做防范，现有的模式不起作用之后，我们希望靠大数据云端的分析能发现数据的异常和波动，从而意识到我的网络被入侵和被攻击了，云安全和终端安全的结合，我们认为肯定是未来安全的一个方向。

讲到未知安全，国际上现在讲APT和Oday，APT是网络上大规模攻击的常用方法。对付这种未知的攻击目前有几种方法我认为可以有效地对付APT和Oday，一是白名单。

过去杀毒软件和传统防火墙技术可以简单称为黑名单，它实现定义一个以签名、特征，样本收集为基础的数据库判断哪些恶意网址和程序是攻击，但未知的攻击，漏洞太多之后，黑名单技术已经不能工作了，所有基于特征和传统安全病毒库的思路全球来看基本逐渐被放弃，现在比较主流的反而是做白名单。在很多企业和敏感单位内部，所有经过企业管理人员他们认证的有限数量程序才会被允许，各种0day漏洞最后都希望在你电脑和手机里运行一个未知的恶意程序，通过这个程序来做进一步的攻击，通过白名单的方式至少可以极大地减少这种风险。

但是做白名单是一件非常辛苦的事情，仅仅拿Windows系统来说，除了正版的Windows系统之外还有番茄花园等系统，而且国人喜欢WindowsXP等，这么多的互联网应用建立巨大的白名单，360花了差不多7年的时间，这个白名单只能部署在云端，这个数量太庞大，没有办法部署在本机。

（编辑：佛山站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!