周鴻祎演講全文:怒挺白帽子,自爆當年研究病毒往事
今天(2 月 23 日),360 董事長周鴻祎在 360 安全應急響應中心的三周年慶典活動上,表達了自己對白帽子黑客的態度以及未來網絡安全人才引導的思路。他呼吁企業給予善意的白帽子支持和理解的態度,呼吁政府出臺政策對白帽子這類安全人才進行保護和鼓勵。
他認為,由于互聯網的迅速普及及正規教育的遲滯,導致在過去十幾年從事網絡安全的人沒有得到好的引導,容易一旦受經濟誘惑進入地下黑產,造成極大的破壞。因此應該鼓勵并引導這些有技術能力的人才走上正途,而不是利用發現的漏洞從事違法活動。
以下是周鴻祎演講全文,雷鋒網整理發布:
各位大俠(指現場的白帽子)大家好,主持人上來把我的出場講得特別隆重,但來這個會是應該的,因為安全是 360 的核心命脈,也是我們最重要的使命,所以安全的事一定是我們公司最重要的事。所有我們今天來的人,除了有我們公司的一些管理層之外,也有我們公司很多的安全的人員,也有外面來的白帽子伙伴。
今天,我有幾點要和大家分享:
第一,今天我們的行業才真正開始了一個春天。
這幾年習總書記多次講,沒有網絡安全就沒有國家安全,包括前幾天國家安全的會議上又以很大的篇幅提到了網絡安全,所以未來網絡安全會越來越被國家所重視。
這次在美國總統大選,希拉里就因為不重視網絡安全,導致最后總統都沒有當上。所以,我講網絡安全到 2017 年真正進入了新的時代。
原來我有兩個預言,最近感覺都發生了。
過去我們提及手機安全,大家都說“不就是發個詐騙短信嗎?我又不傻我又不笨,不就是接個詐騙電話嗎,沒準我還能調戲騙子兩句”。但實際上,我們現在發現有高智商高科技的犯罪團伙,通過研究各家互聯網公司的漏洞,運營商的漏洞和手機操作系統的漏洞能夠成功的滲透到你的手機,一旦滲透了手機之后,就不那么簡單了。
我原來講過一句話,有人說手機是什么?一方面手機是人們新長出來的器官,一刻都離不開。手機以后不是你的錢包,你丟錢包沒有啥,不就是幾張信用卡和一點人民幣。而手機和你的金融理財、銀行帳號都結合在一起,這要出現問題就是你的全副身家。所以在這個安全上絕對會出大事故和大事件,可能比山東那個孩子上當(徐玉玉遭網絡詐騙事件)還要大的事件。這說明安全給我們提出了新的嚴峻的形勢和新的命題。
我們講 IoT 是巨大的機會,有各種叫法,無論是智能家居、可穿戴、智慧城市還是工業互聯網、物聯網最后都是一個意思,就是通過這種 IoT 設備和協議,把物理世界和現實世界打通。這帶來的問題:以后的威脅不簡單是數字的威脅,而是可以把這種傷害從數字世界變成物理世界的傷害,而且是雙向的。
大家都知道最近自行車很流行,大家都去掃碼,我相信很多碼以后被人涂抹成惡意的碼,你一掃就付錢了。前一段在有關國家強力部門的監督下,包括一些網絡安全公司、一些黑客大拿在國家的有序監管下做了一些演習,學習美國的網絡風暴。
現在你和很多人講網絡安全有多重要,他們沒有親身的感受。但當一些重要的,注意,不是網絡基礎設施,而是社會和國家的基礎設施,比如說機場、交通樞紐、電站、核電場被攻擊控制后,讓很多人真正意識到未來網絡安全已經不僅僅是虛擬空間的爭奪。未來說白了,每個大的國企甚至社會的基礎設施都要有大量的網絡安全人才的保衛,要不然的話這種網絡攻擊的后果將會是非常嚴重的。
所以,我一直跟我們內部團隊在講,我們 360 雖然是做了十年的網絡安全,但其實還有很大的空間需要研究和創新。
可能有的人覺得網絡安全不就是免費殺毒嗎?網絡安全不就是手機衛士嗎?網絡安全不就是清理嗎?其實不是,這些理解都已經過去了。我覺得網絡安全隨著人類科技的發達和人類懶惰程度的增加,網絡安全的問題會越來越嚴峻。當然這也給所有在座的諸位(白帽子)和所有在安全行業內的從業人員提出了挑戰,同時創造了巨大的機會。
下一個五年,安全的游戲規則會變,安全的形勢會變,安全會和整個社會的發展、國家的命運、很多企業的這種前途緊密地聯系在一起。所以,我們很有幸,大家遇上了一個大發展的年代。因為一個人無論多么有才華,有的時候命運、命運,命再好還要有運氣,還要能碰上一個時代給你機會。所以,我也很高興今天有這么多人。
第二,我想講一下白帽子的重要意義。
我不知道你們很多人對自己的價值是怎樣定義的,有人說是腳本小子,有人可能是研究底層很深入,有的人對安全的道理研究的很深。大家就覺得說,為什么白帽子很重要?我就講網絡安全,在過去的兩年里,我們甚至給總書記都寫過幾次,得到了總書記的批復。
我們提出一個觀點,今天的中國是網絡大國,但要像領導人期望的那樣變成一個網絡強國,我們還不是。要變成網絡強國的最重要的基礎,是你在網絡安全上要變成一個技術強大的國家。但我們目前特別是和美國、和同行比,我們最缺乏的是網絡安全的人才,所以網絡安全里最最重要的是人才。
但網絡安全這個行業的人才又有它的特殊性,因為大家提起黑客,你到社會上做個調查,浮現在人們腦海中的都是電影里的那些怪咖,極客、不修邊幅,長相奇特,頭發很長,像 MJ(世界著名黑客, 360Vulcan 的負責任)似的。
總書記在 4.19 講話里專門提出了對人才要不拘一格,要容忍人才的缺點,這里面講的人才主要是針對我們網絡安全的人才。因為我們網絡安全的人才,很多人不是科班出身,不是正規學歷。有的人正規學網絡安全的對這個不感興趣,可能只是獲得個學歷而已。我們很多人非這個專業,但他熱愛網絡安全,喜歡琢磨,喜歡打破沙鍋問到底,很有進取心,所以很多人反而因此成了人才。
這些人才很偏,他們在某些方面有優異的才華,對這種人才我們不能以偏概全,我們如果要求他們五講四美三熱愛,不隨地吐痰,講究個人衛生……我沒有任何影射的意思。其實是不對的。其實我們已經成功給國家領導人,在我們的報告里多次講到,對這樣的人才要看到他們的長處,要容其所短,發揮其所長,不要求全責備。
這些方面,我們也得到了國家的支持,特別是我們建立一些國家級的網絡安全學院和網絡安全實驗室,但這都需要時間。即使有了這樣的結構,我依然相信網絡安全需要有靈感、有天賦、愿意為之奮斗的這些奇才、怪才。我經常說有能力的人都會有點怪,一個人什么都不怪,他就是普通人。世界上大多數人都是普通人,我相信我們白帽子不是普通人,就像很多人覺得老周我很怪一樣,我肯定也不太正常,你要正常就是你是一個平庸的人,所以 MJ 看著很怪異,大家要見怪不怪。
你們未來,其實不是今天大家發掘點漏洞發現點問題,未來你們對中國整個國家網絡安全的戰略,甚至對中國國家網絡安全人才的培養的意義都非常大。
我上次去高校,在西電去給大學生們做講演,我說咱們不說大的理想,就說找工作容易,未來網絡安全找工作肯定比其他專業都容易。未來網絡安全的人才肯定比普通的工程師、普通的程序員身價要更高。他們還不相信。
我說未來網絡安全行業會發展成什么樣?我就說了一個例子,比如我們提起三峽集團大家都知道吧,三峽集團可能有一些 IT 技術人員和 IT 支持人員,但未來三峽集團及類似的這種國企就要組建它自己的網絡安全保衛團隊。因為將來敵對勢力都不考慮是弄個導彈炸三峽,一定是滲透到網絡里,所以這種威脅比一個炸彈和導彈還更有威脅。所以中國今天所有的機場、交通樞紐、社會基礎設施、變電站、核電場這些地方都需要網絡安全,靠一家 360 就能保證他們的安全?靠一兩家公司根本不行,靠一兩家公司賣幾臺防火墻和路由器也不行,今天的網絡安全全部是人和人的攻防,全部是技術和技術的對抗。所以,網絡安全人才,從全世界到中國都有巨大的空間和巨大的缺口。未來各位的好日子才剛剛開始,這個行業未來五年和十年會有巨大的蓬勃發展。
我們很多人很苦逼的干安全這么多年,我們老覺得我們不被旁人所理解,可能老婆不理解,家人不理解,但是我告訴大家,我非常理解,而且我們這幾年也成功的讓國家也非常理解,我認為網絡安全的風口就要來了,請各位準備好翅膀。
為什么給大家起白帽子這個名字?我特別希望說,任何一個行業要愛惜自己行業的名聲,我們不僅要做掙錢的事,做有前途的事,還要做受社會公眾尊敬的行業。
曾幾何時,國內的網絡安全行業不好,很多安全公司一年就幾億的收入,市值也不高,整個安全行業原來的規模和格局都很小,從來都不是風口里的豬,熱門的送盒飯也比網絡安全聽起來更性感,大家都愿意穿著某某外賣的衣服滿世界亂跑,我也覺得很郁悶,我覺得送外賣有價值,賣電影票也有價值,但和網絡安全比我們是不是應該逼格更高一點。
但原來缺乏這種環境,我們網絡安全的行業是比較灰色的地帶,正邪一線,你掌握了網絡安全的技術,正可以成為國家的技術,邪成為了一種兇器,正邪全在一念之中。所以有幾年很多人打著黑客之名義,做這樣一些動作。所以,慢慢把黑變成了真黑了,黑客變成了一種負面詞。
曾幾何時,我認為黑客是一種很酷的概念,黑是很酷的顏色。我們很多人第一次看黑客帝國的時候,當時覺得黑客很酷。但后來黑客的名譽被一小撮人給弄壞了,現在我們需要給黑客正名。這幾年我們通過做白帽子這件事,等于引導很多黑客大家來通過自己的技術,站著就把錢掙了,做的是正當的事情,做的是響當當陽光下的事情,所以我們起了個名字叫做白帽子。
這幾年我們還是做了一些貢獻的。提起 360 原來有一些傳統安全公司很不恥,你們去很多傳統安全公司,他們會說周鴻祎把我們的飯碗砸了,鍋都砸了,搞的安全公司不掙錢了,還挖了我們很多人。但通過 360 像鯰魚在這個行業里,你不覺得網絡安全的薪酬提高了十倍嗎?有一些巨頭,不管當時他們的重要性是因為遏制 360 還是打壓 360,所有的互聯網公司都意識到安全很重要,包括 BAT 也在安全上有很多的投資,整個中國網絡安全產業獲得了幾十倍的增長,所以大家對網絡安全人才的這種稀缺性也不一樣了。
為什么很多挖漏洞的人才的薪酬炒得很高,沒有 360 也走不到現在。大家做這個行業不是說只是為了掙錢,但如果你連錢都掙不到,都養活不了老婆孩子肯定有人就不得不做一些灰色的事情。所以我們不給大家講大道理,這幾年通過 360 的競爭和推動,我們讓整個產業的整個餅都做大了,包括一些傳統的網絡安全公司,他們現在也才意識到,只有把整個產業和整個餅做大,讓所有的從業人員都在里面獲得了比較好的回報,無論是工資還是資本的回報,我覺得這個行業才能吸引更多有才華、優秀的年輕人來加入,這個行業才有前途。
通過這幾年我們也吸引了很多海外的中國人,像當年的平底鍋和火眼,美國有一些最時髦的安全公司里,很多的核心人員都是中國人。原來大家如果去美國公司任職,我也理解。你在中國一個月拿 8000 元,到那里一個月拿一萬美金,當然大家會做選擇。但現在我們把國內的整個的創業環境,包括我們也投資了一些網絡安全的創業公司,我們整個提供了這樣的環境之后,也使得甚至國外的一些優秀的華人他們回國創業。包括我們有幾個國外的教授,大學里的專家,他們也回來加入了 360 的團隊,所有的這些信號都證明了中國未來將是網絡安全最大的市場,也有最大的機會,所以我們也在吸引各方面的人才回流。
但是也有很多網絡安全人才確實有一定的獨立性,不愿意加入某家安全公司,他愿意保持獨立的這種特立獨行的風格。這幾年我們的項目,最早的一個名字很難聽,叫做“庫帶計劃”,我很有意見,覺得這個庫帶聽起來很庸俗,現在改了名字叫做“補天”,聽起來就比較高大上了。這幾年我們通過這個計劃,通過項目獎金的形式,鼓勵很多人才成為白帽子,挖掘漏洞,我們愿意出錢獎勵購買漏洞,我們再無償把這些漏洞提供給國家和單位,讓他們堵住漏洞。你們都只有漏洞的意義,漏洞對一個國家的戰略意義非常巨大。
另外我們自己也在懸賞白帽子提交 360 產品的漏洞。原來我不關心這方面預算,我們是 2012 年做出漏洞響應平臺,是中國第一家給漏洞提供現金獎勵的企業,2013 年 360SRC 正式上線,去年我們給白帽子竟然發了上百萬的獎金,這對于 360 來說可以表現出 360 在網絡安全上做事情的這種誠意。
我希望各位白帽子既不用驕傲自大,也不用妄自菲薄,我們現在僅僅做的是一個開始,我希望有越來越多的白帽子可以加入進來。關于網絡漏洞我要多說一點,網絡漏洞現在國家對它的意義還沒有完全認識,我們很多人還熱衷于帶著一個漏洞去參加國外的比賽,最后得到國外的一些獎勵。但是平心而論,你知道前一段美國的網絡武器庫失竊了,有人偷出來在網上叫賣價值 7 億美金的比特幣,大家都不相信,后來測試下載了發現那個東西挺牛,用它可以控制骨干網的路由器,你都不知道美國人的網絡武器庫藏了什么樣的武器,其實所有的武器背后都是一個漏洞。真正想一想我們國家的網絡武器庫里,什么時候也有這樣牛逼的漏洞和武器,你擁有這種技術在網絡安全方面才能夠形成一種制衡或者平衡,這方面真的是任重道遠。
未來在挖掘漏洞這方面,我相信我們也會極力的鼓吹,讓國家,不光是 360 一家,讓國家投入更多的資源,認可到漏洞的價值,讓他們給更多的政策的支持,把大家的積極性調動起來,才能將來在國家的網絡安全戰略上,在漏洞方面不比其他國家遜色。我們不會主動的發起攻擊,但如果你什么漏洞都不掌握,我們的網絡被別人攻擊的時候已經變成了千瘡百孔的漁網,這肯定不行。我們 SRC 開這個會,我覺得這都起到了示范的作用,我們要盡更大的力量把白帽子這件事做好。
但還有一個問題,現在大家對白帽子的理解不一樣:我們是強烈的支持,但有些部門和個人對白帽子是非常的排斥。
在去年出了一些事情后,我們也在積極的跟國家有關部門在做溝通,在做這種信息的交流。包括我本人在九三學社,也通過這種進言的機會,在強調希望國家對白帽子這件事給予支持。很多人當白帽子,他們要做漏洞的檢測,一定要做模擬的攻擊。這種模擬攻擊對被攻擊的單位來說,如果在沒有溝通的情況下,很難區分是真實的攻擊還是只是一種檢測。這導致有的人認為白帽子是否在借機攻擊我的單位。
中國很多單位有漏洞,當你發現了漏洞以后,他沒有一個正常的心態覺得謝謝你替我發現了漏洞,而是漏洞被你發現了,他會覺得很丟人,他反而會提交一些證據,給我們的白帽子帶來一些麻煩。說白了我們也覺得這都是一些不可避免的事,今天我們不愿意看到,但它是一個現狀。所以我們希望通過 360 和白帽子的合作,我們真正會把我們做出的成績,我們會和一些部門堅持做溝通,相信在今年,隨著領導人對網絡安全這么重視,他們也越來越意識到網絡漏洞的重要,過去對白帽子的這種不理解,在今年國家會出臺相應的政策。包括在輿論上,我們也要共同的發出一定的聲音,我覺得來讓整個社會、整個國家更好的理解我們白帽子。
我們也希望要理解國家的一些做法,讓白帽子的一些測試和模擬攻擊能夠在一種更有序的組織下,能夠讓國家覺得是在它的監管下而不至于失控,包括和很多單位的提前溝通。我覺得只要把這些規則創造好,會給我們白帽子創造更大的空間。
我給大家可以說一個簡單的道理。360 在做騷擾電話攔截的時候,我們就有一個理念叫做“打一場人民戰爭”,靠 360 一家怎樣能夠把那么多的騷擾詐騙電話辨認出來呢?那是不可能的,所以我為人人,人人為我,每個人接到詐騙電話的時候標記一下,我們就能讓受害者迅速的減少。所以我們不斷的把這個理念在和高層做溝通。
可以注意到,國家網信辦在武漢搞了一個網絡安全周,這次網絡安全周的口號叫做“網絡安全為人民”,第一句話很正常,第二句話叫做“網絡安全靠人民”。我不知道這句話誰寫的,我覺得這和 360 的理念非常的接近,非常的一致。我說是網信辦哪位秀才想了這個詞,這是 360 的理念,網信辦的人說,你別亂說,這是我們總書記親自定的。
所以,在這次國家管委的安全會議里,我從公開報道里看好像也提到了做好國家安全也要依靠人民。人民是誰,就是你和我,就是我們大家。國家也意識到未來網絡安全這么嚴峻,如果僅僅是靠幾個專家學者,少數幾個國家隊是解決不了安全的問題,政府要扮演一個重要的協作、指揮、領導者的角色,把我們這些民間的高手、把我們這些民間的企業、把所有的這些力量調動起來,大家一起會聚成一種洪荒之力,才能真正的解決中國的網絡安全問題。
盡管在過去的兩年里,我們有一些白帽子蒙受了一些委屈,甚至有人蒙受了一些冤屈,我覺得這都是發展之路上的一些小波折。
說起來 1993 年、1994 年的時候,那時候你們 (在座的白帽子)都出生了嗎?有一半人可能沒有出生的。我上研究生的時候,我和譚曉生比較早的研究反病毒的,研究反病毒就要研究病毒,就要讀病毒的源代碼。當時一度公安局出了通知,未經許可不需研究病毒技術。我還因為這個被我們學校的公安處審了好幾天,這都是多少年前的陳年往事了,但最近今年你回過頭來看,這種規定多么可笑?
我再說一個例子,過去我們在大學里,我們想搞網絡攻防大賽,對你再熱情的大學的老師一聽說搞網絡攻防大賽都不干,怕承擔責任。我們有計算機軟件專業、硬件專業、信息工程專業、現在電商專業都有了,你就問問有沒有網絡安全專業和網絡攻防專業?對不起,沒有,大家都覺得教會了學生這種撬門開鎖的技術,學生出去了到底干什么不好說,沒準老師還要承擔責任。老師就說,老周我們帶團隊怎么實習啊?那時候也沒有靶場技術,真的有所學校,他們就演練了一把,攻防了他們附近一家運營商還是銀行的服務器,公安真的上門了。這些都是存在的情況。
但我告訴大家一件事,在前年的時候,我通過九三學社和網信辦給中央上了兩封信,就談到了這個問題,不能因噎廢食,中國必須要對網絡安全人才的培養,你可以把網絡安全人才作為特殊人才有一定的管理,同時創造更好的環境,但絕對要在中國的所有的高校中要開始光明正大的培養網絡安全人才。我們沒有想到這一份報告很快得到了總書記的批示,教育部、工信部和科技部聯合開會把我們也找過去發言,很快在前年年底的時候各個高校,就準許把網絡安全和攻防作為和計算機軟硬件平級的一級學科,可以設立碩士和博士點。沒想到今年總書記又下文件說,要建立國家級的這種網絡學院,中央網信辦就讓我們先嘗試合作,在武漢建立攻防實驗室。所以可以看到今天的環境變了,領導人對網絡的安全無比的重視。
我通過這兩個例子,大家可以看到,今天的網絡安全必須要依靠集體的力量,智慧的力量。互聯網最牛的是網聚人的力量,中國別的不多,就是人多。我們憑借著人多成為了互聯網大國,我們也成為了世界上最大的互聯網市場,我相信我們有這么多年輕優秀的聰明人,將來在網絡安全方面一定會有很多臥虎藏龍之才涌現出來。所以今天白帽子遇到一點波折,我真的覺得大家不要往心里去,360 在這件事上和你們的立場是高度一致的,我們會不斷的利用我們的影響力搖旗吶喊,包括通過和你們的合作,我們會讓各級領導人認識到白帽子對我們國家的重要的戰略意義。
所以我希望白帽子和 360,有什么困難和問題大家可以多來溝通,包括你們在一線遇到什么障礙,我們都可以來幫你們解決。今天我們也把法律部門的負責人找來了,我們會給你們提供支持,你們背后有一大幫律師給你們撐腰,只要我們相信做的事對國家有利,對中國網絡安全事業有幫助,我認為我們就應該理直氣壯。
最后,再次感謝白帽子們能夠來我們公司,有機會可以來轉一轉,也感謝你們的辛勤付出。接下來我們會發布一項 IoT 安全守護計劃,會把 360 的智能硬件免費提供給白帽子用,這是我剛才說的:未來智能硬件要么不出事,要出事也是大問題,所以我們會加大這方面的資金的投入,歡迎大家積極的繼續向我們來發現問題。謝謝大家。
注:以上為演講原文,雷鋒網編輯整理。
來自: 雷鋒網