鯨魚?財經
公衆號ID:jingfintech
關注
對話時間:5月30日12:30~14:30
微信社群:王峰十問智庫群
對話嘉賓:
周鴻祎:360集團創始人兼CEO,知名投資人、知名創業導師,免費安全之父。
王峰:火星財經發起人,藍港互動集團(HK.8267)創始人,極客幫創投合夥人,曾任金山軟件高級副總裁。
對話原文整理
王峰:昨天中午360發布EOS高危安全漏洞消息的時候,當時我正好在和聯創策源的老大馮波在外面喝咖啡,聽到消息心裏一震:360對區塊鏈動手了!隨即馮波就給周總發了微信,沒想到周總很快就回複了。所以,今天我們請來了江湖大佬,人稱“紅衣主教”的周鴻祎同學做客“王峰十問”,主題是:EOS安全風暴。
先讓我們看一看他的經曆吧。
本科畢業于西安交通大學電信學院計算機系,後被保送西安交大管理學院系統工程系攻讀研究生。曾創辦 “3721網絡實名”,開創中文上網服務之先河,曆任雅虎中國總裁等職務;2006年創立360,推出“免費安全”戰略,開創了中國互聯網的新格局;2011年3月30日,周鴻祎帶領奇虎360在美國紐交所上市;今年1月,周鴻祎當選“2017十大經濟年度人物”;2月份,360集團在上海證券交易所成功上市。周鴻祎同時也是政協第十三屆全國委員會經濟委員會委員。
下面,開始我們今天的十問吧——直擊風暴。
第一問,360以PC安全衛士起家,其後一直從事互聯網安全應用,我也知道近幾年也逐漸布局于企業級安全領域,爲什麽你的安全觸角一下子進入區塊鏈領域。我們團隊浏覽一遍你最近一年的個人微博,也僅僅有兩次與區塊鏈相關,一次是去年“九四監管”前後,一次是昨天轉發360安全衛士針對EOS安全漏洞的公告。中間很長一段時間,鮮有提及區塊鏈。在今年春節之後,3點鍾微信群火爆區塊鏈期間,你也從未輕易表達過對區塊鏈的看法,可是昨天,通過爆料EOS嚴重安全漏洞之際,360閃電出擊,在一天之內連續公布了與幣安、歐鏈、EOS LaoMao、Dbank等項目的合作,這是爲什麽?看起來你是蓄謀已久啊,後面還有大招?當然,很多人也爲你捏了一把汗,朋友圈被連續刷屏,網上新聞鋪天蓋地,我知道你在發布會上已經大汗淋淋,但見瘋狂吐槽,又豈是一個汗字了得。看到了很多關于這次發布會的吐槽評論,是被打臉還是改變世界?
1
360進軍區塊鏈蓄謀已久?
王峰:第一問,360以PC安全衛士起家,其後一直從事互聯網安全應用,我也知道近幾年也逐漸布局于企業級安全領域,爲什麽你的安全觸角一下子進入區塊鏈領域。我們團隊浏覽一遍你最近一年的個人微博,也僅僅有兩次與區塊鏈相關,一次是去年“九四監管”前後,一次是昨天轉發360安全衛士針對EOS安全漏洞的公告。
中間很長一段時間,鮮有提及區塊鏈。在今年春節之後,3點鍾微信群火爆區塊鏈期間,你也從未輕易表達過對區塊鏈的看法,可是昨天,通過爆料EOS嚴重安全漏洞之際,360閃電出擊,在一天之內連續公布了與幣安、歐鏈、EOS LaoMao、Dbank等項目的合作,這是爲什麽?
看起來你是蓄謀已久啊,後面還有大招?
周鴻祎:其實也沒有謀多久,從年前開始,我自己也在努力學習區塊鏈的東西。我在3點鍾群裏沒怎麽表達看法,是因爲確實還沒怎麽看懂一些東西。但在安全上我們是專家,所以實際上在2017年年底到18年年初,我們就已經在關注區塊鏈安全,開始研究區塊鏈技術和相關的安全問題。
在這個過程中,我們和業內很多項目也都有過接觸溝通和交流的,我們的心態還是比較開放的,我們也希望大家都能夠關注安全問題,所以當大家主動來找我們,希望在區塊鏈安全方面有些深入溝通交流,我們也非常願意爲區塊鏈行業提供更安全的解決方案。後面我們肯定還是會繼續深入研究區塊鏈安全問題,也會繼續保持開放心態,歡迎大家來交流合作。
盡管很多區塊鏈、數字貨幣的設計都標榜非常安全,但任何軟件系統,只要非常複雜,這種複雜度都會帶來bug和漏洞,bug和漏洞被人利用,就會帶來風險,就會有安全問題。區塊鏈技術也一樣,現在比較火熱,我們現在關注的也比較多。
我們最近發現了很多區塊鏈系統、交易所系統、錢包系統存在問題。之前大家都在關注區塊鏈帶來的商業機會,但是很少有人關注區塊鏈安全問題。最近EOS准備上線,在區塊鏈行業裏非常具有代表性,我們這次發現EOS漏洞,提交給對方,希望督促他們修補系統,所以我們披露漏洞,是我們安全公司的職責所在。
沒有大家想象的什麽蓄謀已久,也沒有什麽大招,我們的大招就是踏踏實實幫助區塊鏈行業排除風險 。
我至今也不覺得自己懂區塊鏈,我個人也沒有買虛擬貨幣,看著大家在這些群裏熱烈的討論,每個人都憂國憂民,每個人都像經濟學家、哲學家、思想家一樣的發出各種見解,我真的覺得自己像個白癡一樣聽不太懂。但是我們比較懂的就是安全,所以我們希望和大家一起交流,讓區塊鏈行業更安全。
至于很多人和我們合作,說明大家開始重視安全,是個好事。我們也很開放,我們沒有任何立場,對所有的玩家來說,我們都願意幫助他保護用戶的安全。我們希望把區塊鏈行業的安全生態發展起來。
2
爲何稱“EOS漏洞爲“史詩級”漏洞?
王峰:第二問,在360公布#3498 EOS漏洞之前,EOS的bug已經在Github上提交了3497條,但360出手前鮮有人關注並産生如此之大的影響。實話實說,你如何看待昨天披露安全漏洞的嚴重程度?爲什麽稱這個漏洞價值百億美元?爲什麽360安全衛士在微博上將之稱爲“史詩級”漏洞?在我過去的理解裏,“史詩級”一般來形容豐功偉績,是對某件事的高度贊揚,哈哈。好一個“史詩級”啊。
周鴻祎5月29日微博
周鴻祎:我們沒有立場,是中立,我們提出任何一個系統的漏洞,都是爲了幫助這個系統改善安全性,保證它的安全,不是爲了打擊它。
區塊鏈這個行業裏,大家其實是在一條船上,作爲新生事物,某一家不安全會讓大家對整個行業産生質疑、失去信心,對行業是不利的。所以我們反對大家利用安全問題做文章,把安全問題變成競爭的工具。
我先來解釋下這個漏洞被人利用可以用來幹什麽。
如果漏洞被人利用,可以控制EOS網絡裏面的每一個節點、每一個服務器,那就不僅僅是接管網絡裏面的虛擬貨幣、各種交易和應用,也可以接管節點裏面所有參與的服務器。拿到服務器權限,就可以爲所欲爲了。
如果有人做一個惡意的智能合約,就能夠把裏面所有的數字貨幣直接拿走了。所以這個對于區塊鏈網絡來說,不會有比這個更嚴重的漏洞了。
再說“史詩級”,EOS在區塊鏈發展史上的重要性大家肯定知道,如果說,這個漏洞我們沒有提出來,EOS沒有修複,等到EOS主網上線了,被惡意的黑客發現並利用了,那時候EOS會不會一夜之間就被搞掉了,我們都不好說。
EOS現在的估值至少百億美金了,所以我覺得這個漏洞價值百億美金並不誇張。
另外就是這個其實是我們安全圈內部的說法,是半個舶來語。“史詩級”是從“Epic”翻譯過來的,國外安全社區經常用“Epic bug”或者“Epic fail”來形容比較重大的安全漏洞。
當然我從公關的角度來看,史詩級這個詞大家理解不一樣,太文藝青年了,所以說成百億美金的漏洞,大家會不會覺得更接地氣一點。
3
怎麽看BM回應“Bug已修複”?
王峰:第三問,今天淩晨,EOS創始人BM在電報群中回應360披露的EOS安全漏洞問題,稱360報告中提到的漏洞早已被EOS修複,且早于360發布報告的時間。對于漏洞本身,BM稱大部分漏洞是來源于第三方代碼庫而非EOS核心代碼;且該漏洞並不能改寫可執行內存,且不能獲得Root權限,除非部署節點時就已經是以Root用戶身份來運行。BM的回應,暗指360制造恐慌,並聲明對于任何挑起市場恐慌的行爲將取消其獎勵資格。對此,你怎麽看?
說實話,我覺得BM很厲害,他反擊的時候,我和我們火星財經旗下的EOS Galaxy的負責人許波正在看到了他直接在電報群的回複,他的迅速回應減輕了大衆對EOS安全隱患的恐慌感,反而讓更多人猜測是360精心策劃的安全炒作。鴻祎,這個問題,我希望你能更直接給予回複。我們團隊內有EOS Galaxy的BP(超級節點)競選項目,所以內部技術團隊也非常關心。
BM淩晨在電報群的回應
周鴻祎:對于已經修複這個事情,我還是需要和大家普及一個知識,就是我們安全廠商對外公開披露的漏洞,一定是先和對方溝通,提交給對方去修複,在得到他們修複的確認之後,然後我們再公開。
因爲如果EOS沒有修複,我們公布出來了,肯定會有一大波黑客立馬上去搞他們,所以我們發布報告的時間當然會是晚于修複時間的。
這個不僅僅是對EOS,對微軟谷歌蘋果都是一樣的,對于安全漏洞,通常的步奏就是,首先是挖掘漏洞,挖出來之後就會研究,會怎麽被黑客們利用,把這些研究透了,再向相關的廠商彙報,比如這次EOS的,就是把怎麽利用的視頻還有涉及的詳細代碼報告給了對方,再然後就是對方修複,等對方確認修複之後,我們才會對外公布。
他提到的這個root權限,root權限是指計算機系統裏面的最高權限。是否獲得root權限,不影響攻擊者控制EOS節點,沒有root權限也是一樣的。如果用戶使用root權限運行EOS,那麽攻擊者就可以獲取root權限。
BM的回應有點讓人混亂,看起來以爲是,我們報告前,他們已經修複了,其實是我們遵循了負責任的行業標准流程,報告->修複->公開。非常明確地說,我們先私下聯系了BM,通知了他們EOS漏洞 ,希望他們先修複。這都是有聊天記錄截屏的 ,等到EOS修複了,我們再對外發布這個漏洞公告。
今天我們也還在和對方繼續保持溝通,對方對我們表示感謝,也表示會給我們發放漏洞獎金,會對外發致謝。這也是安全圈的行業通行做法,對方不修複,我們不會公告。
這事我們一直在BM單獨溝通,他在Telegram上的留言的截圖是昨天晚上的,比較斷章取義。實際上那個留言之後,他很快回複說,漏洞是真實存在有效的。至于制造恐慌,如果說我們要制造恐慌,直接在主網上線時放出這個,恐慌效果一定比現在要好的多。
我再強調一遍,我們提交的漏洞,EOS官方是確認真實有效的,並且我們在和EOS官方及BM一直在溝通關于漏洞提交和定性的事情,而且,今天早上在和BM溝通時,他們依然是非常認同我們的成果和技術實力的。
在這整個過程中,360都是非常負責任的嚴格遵循安全行業的安全漏洞披露原則的。我們做爲國內最大的一家安全廠商,在全球也是排名前三的安全廠商,我們希望和全球同行和科技公司一起,解決網絡安全問題,降低網絡安全問題給用戶帶去的損害。
幫助大家發現漏洞、修補漏洞,讓大家提供安全放心的産品給用戶,是我們共同的責任。
區塊鏈作爲新興的技術方向,我們參與進來,無論是這次披露EOS漏洞,還是之前和其他區塊鏈機構的溝通,都是希望和大家一起共同構建安全放心的區塊鏈産品和服務。
王峰:今年的區塊鏈最大的話題就是EOS,現在很多人都擔心 EOS會延期發布公網版本,這個安全隱患被曝光後,更多人關心他們的發布時間。以360安全技術團隊評估,EOS Dawn 4.0的公網版本是否有可能推遲發布?
周鴻祎:我認爲應該延遲上線的,我們的安全團隊還在發現一些EOS的漏洞,我們也會第一時間及時的提交給他們,我們建議修複之後再上線。
4
“我們和EOS方面目前沒有直接合作”
王峰:第四問,此次發布EOS漏洞事件,讓Vulcan(伏爾甘)團隊一戰成名,可是此前行業內很少有關于他們的消息,大家對他們依舊很陌生,能否向我們具體介紹下他們?我們注意到,你最近不斷提及360安全大腦,能一並介紹下嗎?在這個事情上,你們安全大腦團隊跟BM團隊是通過telegram直接交流的,你們實質接觸是從什麽時候開始的?坊間說,你們和EOS很快有合作要公布,你方便在這裏透露嗎?
屢次獲獎的伏爾甘團隊
周鴻祎:你們說的行業內,肯定不是安全圈子裏面。360 Vulcan團隊在安全圈子裏,大家應該多多少少都知道。Vulcan最早是我們360安全衛士的攻防研究團隊,有一年他們要參加Pwn2Own,這是個比較厲害的世界黑客大賽,要參加這種大賽,所以他們組了一個小組,就是Vulcan團隊。
他們在攻防研究、挖掘廠商漏洞和幫助廠商修複漏洞上實力很強的。上面那張照片,應該是他們2015年組隊去參加Pwn2Own 2015獲獎的,當時用了17秒攻破了微軟的IE11,是曆史上首支成功攻破IE的亞洲團隊。Pwn2Own 黑客大賽上,Vulcan團隊連續多年斬獲了十幾項冠軍,在Pwn2own 2017上更是拿到了世界總冠軍。所以圈子內部,對他們是絕對不陌生的。
伏爾甘團隊拿下“Master of Pwn”(世界破解大師)總冠軍時的合影
最近的安全大腦是這樣的,從名字上大家就能看出來一點。大腦,肯定是要能學習,還能做運算做決策的。所以簡單說,360安全大腦,是一個具有感知能力、學習能力、推理能力、預測能力和決策能力的綜合性智能系統。然後就是360安全大腦能夠幹什麽,這次EOS漏洞的發掘,其實就是結合360安全大腦和安全專家的能力。
再給大家舉個例子說一下吧。不知道大家記不記得2016年美國曾遭遇過一次大斷網事件,這個事情後來查出來了,是黑客利用安防智能攝像頭搞了一次DDoS攻擊,360被邀請參與了事件的緊急處置,最後還受到了FBI的致謝。
其實這個事情發生之前,我們就在安全社區裏做了預警,我們是最早做過預警的,就是我們的360安全大腦,發現了有針對安防智能攝像頭的異常訪問流量。安全大腦是人工智能基于大數據的分析判斷,加上我們的富有經驗的安全專家的人腦,構成了真正的安全超腦。跟BM團隊聯系是我們安全團隊直接聯系溝通的,最早應該就是28號的時候。
我們和EOS方面目前沒有直接合作的,區塊鏈安全是我們一直關注的問題,此外360也是互聯網科技企業,像EOS這些主要的公鏈,我們在技術研究方面一直有投入。從年初開始就已經與一些合作夥伴,就EOS生態建設、安全防護、主節點的競爭等方面進行交流討論。
5
360否認惡意做空EOS
王峰:第五問,讓我們直面一下陰謀論吧,雖然我不相信,但坊間有傳聞,360聯合某些組織在做空EOS。抱歉我不得不問這個問題,因爲在國內有很多EOS超級節點的參與者,他們中有很多人是EOS的狂熱支持者,昨天360曝光安全漏洞,引發了各種猜測和起哄,有群友要求提出這個問題。
周鴻祎:大家從我們披露漏洞的時間其實應該就能知道我們肯定不是在做空。假如我真想惡意做空的話,完全可以捂著,等EOS主網上線,直接爆出來。
我們現在的做法是什麽?是安全行業標准的漏洞通報機制,先和EOS團隊聯系,提交漏洞詳情,然後等他們修複完成了,我們才對外公布,這是非常負責任的做法。我們是希望EOS乃至整個區塊鏈行業發展的更好。
6
區塊鏈企業如何加強安全性?
王峰:第六問,關于安全問題,我從“王峰十問”一開始就問過做量子鏈的帥初。後來發現其中很多隱患,比如除了EOS之外,我注意到以太坊也有過幾次嚴重的安全事件:2016年6月17日,當時最大的衆籌項目TheDAO遭到攻擊,導致300多萬以太幣資産被分離出資産池;2017年7月21日,智能合約編碼公司Parity確認有 15萬以太幣被盜。以及,最近的BEC被巨量增發抛售。以EOS和以太坊如此的體量和實力尚且如此,對于其他區塊鏈項目而言,也需額外警惕安全風險。你認爲區塊鏈企業自身應該采取哪些措施,加強區塊鏈的安全性?
周鴻祎:區塊鏈領域裏面,我認爲真正的安全問題其實還沒出來。通過這次披露EOS漏洞,我們希望是讓大家能夠重視區塊鏈安全問題。在網絡安全行業裏,有兩種情況是最可怕的,一種是做沙漠裏的鴕鳥,知道不改,還有一種是知道了不爆出來,最後被人利用,這兩個才是最可怕的。
我最近還在提一個概念,叫“大安全”,簡單說,就是網絡安全的影響已經從最初簡單的信息安全,演變到現在,從線上到線下,都會受到網絡攻擊的威脅,並且新威脅越來越多。
區塊鏈作爲這兩年新火起來的技術,它遇到的安全威脅,我也把它歸到新威脅裏面。
這種情況下,光靠某個企業,比如區塊鏈行業裏,你某個項目自身,安全防護能力肯定是有限的,反過來光靠360這樣一家安全公司也不行,所以應該是整個安全行業需要得到發展。
所以,區塊鏈行業,要能夠與網絡安全行業,做到協同開放,大家一起來做這個事情。你上一個區塊鏈項目,區塊鏈本身,王峰你肯定比我懂得多,但是安全問題上,肯定我的人更專業,那如果我們來給你們做一下安全檢測,是不是安全風險就會降低很多?
我們一定要記住,有這麽一句話,叫“沒有攻不破的網絡”,只有沒被發現的漏洞,或者被發現沒公開的,不存在沒有漏洞的網絡。所以,我們希望無論是區塊鏈行業,還是其他行業,要能夠正視網絡安全問題的重要性。
再補充一下,做法上,除了我剛剛說的,利用網絡安全行業的外部公司力量,你還可以做一些漏洞獎勵計劃,讓整個安全社區都來幫助你解決安全問題。我們每年都會幫谷歌、微軟和蘋果他們解決很多問題,他們都有自己的漏洞獎勵計劃,對提交漏洞的團隊給予獎勵。
王峰:從目前的漏洞産生機制上看,360安全團隊只曝光了EOS智能合約的設計缺陷,實際上,從漏洞風險上看,我們認爲可能在P2P端口、RPC端口、服務器與集群等方面還可能潛藏著很多安全的大坑。360的技術團隊對這些問題是否會對EOS進行系統的評估?這個問題,比較技術向一些。希望您和360安全團隊給我一些你們的看法。
周鴻祎:是的,從黑客攻擊者的角度來說,對一個系統或者應用來說,有很多的攻擊面,他們通過各種途徑和方式嘗試突破,軟件設計和實現的缺陷是其中一個也是最直接的攻擊面。
360有很多安全團隊,他們會從不同角度發現系統的脆弱性,通過評估給出整體的安全解決方案。目前區塊鏈應用主要以智能合約應用和數字貨幣爲主,從360安全團隊發現的安全威脅來看,在區塊鏈新領域的確還存在很多安全威脅,我們會逐步在這方面拓寬關注和研究的方向。
7
“公開漏洞是爲呼籲大衆關注區塊鏈安全”
王峰:第七問,一位從事過信息安全的朋友提醒我問您這樣一個問題,顯然是只有你同行才有這樣的水平。這個問題是:在Vulcan團隊發現這個大漏洞之後,你們是如何考量曝光漏洞的時機和方式?你們認爲現在這樣的漏洞爆出時機和方式,是否體現了或者符合網絡安全行業通用的、負責任的處理方式?
周鴻祎:前面我也說了,這次我們的處理方式,是非常負責任的,也是網絡安全行業比較通用的。
時機上,我們發現漏洞之後,Vulcan團隊在完成對這個大漏洞利用研究測試之後,立刻聯系了EOS創始人BM,我們是希望幫助EOS開發團隊先解決這個漏洞的,保證漏洞不會攻擊者利用,在他們修複完成之後,才披露的。
采用這種比較公開的方式,我們也是希望以此呼籲大衆關注區塊鏈技術的同時也注意區塊鏈安全。我認爲現在的漏洞爆出時機和處理方式都是合適的,負責任的。
8
360涉足區塊鏈仍將圍繞安全
王峰:第八問,如果360進入區塊鏈行業,360的機會在哪裏?你如何評價目前區塊鏈行業數字貨幣交易所處于中心地位的狀況?
周鴻祎:我們現在看區塊鏈,涉足區塊鏈,肯定還是圍繞安全。安全問題不是說這次我們披露了,大家熱鬧一天就完了。我希望大家記住,EOS這個漏洞,不是最後一個,也一定不是最厲害的一個。
未來區塊鏈行業一定會出現更多的安全問題,之前傳統互聯網領域裏面遇到的安全問題,區塊鏈行業裏面一定也會遇到。這就是我們在其中的機會,當然我們也有自信和實力在其中擔起責任,保護區塊鏈行業健康穩定安全發展。
王峰:其中,我們有注意到,360在5月中旬發布了“區塊鏈安全態勢感知系統”,同時針對錢包、交易所、礦池和智能合約四大塊推出了“區塊鏈生態安全解決方案”。已經上線的産品有Dbank數字錢包,功能比imtoken還要多。能否介紹下360在區塊鏈安全方面的布局和方案,比如:交易所安全怎麽做?礦池安全怎麽做?智能合約安全方面又怎麽做?
周鴻祎:過去這段時間,360在區塊鏈方向上,我們的安全團隊還是很用心的研究了很多,也拿了一些方案。我們未來會基于區塊鏈安全生態推出三個系統,主要包括數字貨幣錢包安全審計系統、區塊鏈安全態勢感知系統和區塊鏈節點安全解決方案。
第一個,數字貨幣錢包安全審計系統,這裏面會詳細地列一些審計的要點,闡述如何做一款比較安全的數字錢包,從而保障用戶的財産安全。
第二個是區塊鏈安全態勢感知系統,這個系統是基于360安全大腦的,可以自動對異常區塊、異常交易、異常地址和智能合約進行監控,不僅可以將交易風險降到最低,而且還可對非法數字貨幣進行溯源。
最後一個是區塊鏈節點安全解決方案,目前主要會針對EOS。
王峰:未來幾年,區塊鏈行業會出現一家像PC互聯網時代的360這樣有影響力的安全企業嗎?在區塊鏈時代,360安全産品是否能否全面開源?
周鴻祎:區塊鏈行業裏會不會出現一個360,我覺得應該不會出現這種情況,區塊鏈方面的問題的解決會是産業化的,360肯定會是其中的主力,但不會像PC時代那樣一枝獨秀,會有很多從事安全的企業和個人一起來保障區塊鏈的安全。
360已對外發布的區塊鏈安全態勢感知系統
9
360定義的安全業務的邊界有多大?
王峰:第九問,在前不久的第二屆世界智能大會上,你提到過“人工智能本身就存在安全問題。”你舉例說,360安全團隊曾利用超聲波幹擾技術,成功實現對特斯拉的欺騙,讓它相信前方的障礙物並不存在;360安全團隊也因爲上報了這個漏洞,進入了特斯拉名人堂。你的觀點是,人工智能也許可以有99.99%的概率保證識別是正確的,但是對于安全來講,它只要出現一次識別錯誤,就會造成嚴重後果。比如,前段時間,Uber公司改裝後的自動駕駛測試車在美國撞死了一位女士,充分表明今天的人工智能技術並不是一個完備體系。真沒想到360在安全方面考慮和涉獵到這麽廣的領域,我好奇地是,360定義的安全業務的邊界有多大?AI/IOT/Blockchain?
周鴻祎:我們關注人工智能或者區塊鏈,其實不管是AI和區塊鏈的安全,都有一個共同點,就是無論是AI的算法,還是區塊鏈的算法,都是要寫代碼實現的,而代碼是人寫的,肯定會有漏洞的。
我之前看到過一個數據,開源軟件中,每千行平均就有6-8個安全漏洞。
所以對于新生事物,不管是新興技術還是什麽,看到美好一面的同時,作爲搞安全的,我會不自覺的看到他們潛在的安全風險。搞安全的人更像是一個“看門人”,時刻都要保持一顆懷疑之心、守護之心。
關于邊界這個事情,我們現在在進入一個大安全時代,爲雲計算、大數據、人工智能還有物聯網這些新技術的發展,網絡安全已然不是最初的信息安全,而是從個人的信息安全、金融安全、家庭安全、出行安全,到企業安全,再到社會的公共安全,再到國家的信息基礎設施安全、政治安全、軍事安全……
所以我覺得不能把安全業務的邊界框死了,網絡安全行業,有越來越多的安全問題會出現,這對于360來說,是我們面臨的挑戰,但也是我們的機遇。
作爲一個創業者的角度看,或者從企業運營者的角度看,企業也不應該是框死在一個事情上的,我們核心是安全基因,基于此,我們的邊界是一個有限的無限邊界。
10
“安全行業,刺激且寂寞”
王峰:第十問,在PC互聯網時代,360和騰訊的3Q大戰,堪稱中國互聯網史影響最大、波及用戶範圍最廣的一場戰爭,也創下了360發展史上的輝煌記錄,事後馬化騰在騰訊內外也多次提及,是3Q大戰刺激了騰訊的開放平台戰略,而在移動互聯網時代,今日頭條、小米科技、美團點評等等迅速崛起,與PC互聯網時代占盡先發優勢不同,360優勢並不明顯,這會不會讓你感覺到失落?
我們都知道你是一個不服輸的人,這會不會是360有一天大舉進軍區塊鏈很大的動力?
曾經的互聯網大事記:3Q大戰
周鴻祎:其實做安全這個行業,說刺激也很刺激,你看不管是去年5月的勒索病毒,還是昨天的EOS漏洞,一下子就讓全行業都關注到你了。
但與此同時,實際上,搞安全是一件需要耐得住寂寞,需要長久投入努力的事情。比如上面我說Vulcan他們參加黑客大賽11秒攻破IE11,但在那之前,他們扒代碼的時間你是想象不到的。然後,不參加比賽了,雖然幫助微軟幫助谷歌幫助蘋果修複了很多漏洞,你們都不知道,我們更像是一群守護者,站在大家身後的人。
PC時代那時候,病毒木馬橫行,我們順應潮流用360安全衛士、360殺毒幫大家解決了安全問題,可能獲得的關注比較多。
但在移動互聯網時代,實際上我們也做了很多事情,你們可以看看去年谷歌致謝榜單裏面,我們在安卓上,幫助谷歌修複兩百多個漏洞,全球第一,是第二名的三倍。除了這類工作,我們還和公安合作,比如推出獵網平台,打擊電信電話網絡詐騙。
這些事情,可能不會像當年一樣刺激,但我覺得我們是做了非常有價值的一些事情,從內心來說,我們還是比較驕傲的。
這些年,我們在原創核心技術上積累也是非常多的,比如上面說的安全大腦,其實是我們多年技術積累的結晶。
360安全大腦的網絡安全空間大數據,現在是全球規模最大的。也因爲有這些大數據和數據中心,360安全大腦的態勢感知、智能查殺、攻防與溯源,包括應急響應上,現在在全球都非常具備競爭力。
我不服輸,但不是說非要進軍區塊鏈什麽的,而是說,在大安全這個新時代裏面,希望能夠繼續發揮360安全守護者這個作用。區塊鏈應用以後有可能深入生活、生産的多個方面,360作爲國內最大的安全公司,當然希望充當一個“守護者”的角色,爲區塊鏈應用保駕護航。
王峰:一直想做”王峰十問”和周鴻祎的對話內容,想不到BM和EOS給了我機會,不知道接下來你們有什麽動作,無論怎麽火星財經會繼續關注區塊鏈安全問題。上一期的羅永浩說一定要做區塊鏈手機,讓我印象深刻,顯然,越來越多的企業進入區塊鏈領域,從自己擅長的領域切入,我預感後面會有更多的企業進入區塊鏈領域。
“我不害怕世界的變化,也不怕巨頭的圍剿。我擔心的是失去進取心,不再有挑戰的精神,被自己擊倒。”這句話是你說的,我很喜歡。聽說你最近出了一本新出,上次的書《顛覆者》,這次又是講産品的《極致産品》,大家可以看看。
老周是牛人,我們認識二十年了吧,哈哈。希望我們團隊繼續保持這樣的拼勁,向你學習。
