周鸿祎:免费安全正重塑和扩大安全行业
9 月 23 日上午消息,公司主办的 2013 中国互联网安全大会(ISC)在北京国家会议中心举行,360 董事长周鸿祎在会上表示,虽然 360 的免费安全给行业短期带来巨大冲击,但免费不是在颠覆安全行业,而是在重塑和扩大整个安全行业。
以下为周鸿祎演讲全文:
各位来宾大家好!非常感谢大家参加中国互联网最大的安全省,我们办这个大会的目的是让大家知道网络在我们生活中越来越重要,这次大会邀请了很多知名的专家,很多安全主管,很多白帽的黑客,民间高手和同行参加这个大会,这个大会应该成为大家畅所欲言,讨论交流的平台,我也不是这个大会的主角。
2006 年开始我就想网络安全会比即时通讯、搜索引擎、电子商务都变得更加关键,所以每个人都问我什么事情最热门,我也不知道什么最热情,但互联网安全是每个人都需要的服务,每个人都需要的服务它应该是免费的,而且是每个人都需要的。当时很遗憾,我把这个想法和当时互联网很多巨头、大佬们做了一下沟通,他们都不认可我这个想法,他们觉得网络安全就是卖卖杀毒软件,看不上,觉得很屌丝,所以 2006 年我们就探索网络安全多少能不能变成对产业带来巨大影响,对消费者创造巨大价值的产业。我在想有一天如果我们有钱了,就像苹果(492.93, 25.52, 5.46%)办大会,微软(32.82, 0.03, 0.09%)办微软世界,我就想某一天我们也办个安全大会,因为那时候老齐说在美国拉斯维加斯有很多安全大会,据说很多黑客去演示,中情局去挑选技术和人才。有钱了我觉得我也可以去拉斯维加斯开会,但国内很多信息安全专家还没有机会去,所以我有一个梦想,有一天我们希望能办一个中国自己的网络安全大会,在这个大会上将来也能秀出我们自己独特的网络安全技术。
所以,今天这个大会是我们的第一次,有很多经验的不足,但有了一个开始,我希望以后每年我们这个大会都能把它办好,办下去,大会越来越精采。中国已经成为当之无愧的互联网大国,我们已经有全国最大的互联网市场,也诞生了可以和国际互联网巨头在市值上相匹敌的本地巨头,我也相信在互联网安全方面,中国也是具有最大的机会。
今年 3 月,微软一份报告里,中国恶意软件的感染率从原来比较高,重灾区已经降到世界最低水平,这也得益我们免费安全理念,当所有人不为安全花钱,就可以零成本地在自己的电脑里装上各种各样的安全软件,整个提高了个人电脑的防护水平,使得这些木马作者、传播恶意软件的作者成本提高了很多。手机安全方面,也可以分享个数据,360 每天截获手机上的恶意 APP,恶意插件 2500 款,中国本地还有个安全特色我想很多人都遇见过,我们每天拦截各种办证,要求银行打款垃圾短信将近 1 亿条,每天骚扰电话 2600 万以上。前段时间我准备“进军娱乐业”的时候去湖南卫视做了一期节目《天天向上》,但因为很失望我又回来做安全行业了。为了在《天天向上》证明我强大的手机防攻击能力,所以公布了我的手机号码,今天全国人民都知道,在刚公布一个月里,我大概平均几秒钟会收到一个电话,几秒钟会受到一条短信,比较可喜的是我们确实都拦截了,比较可悲的是我的手机很快就没电了。
刚才邬院士讲的非常专业,他也提到了一点,360 在过去几年了做了一些努力,也取得了一些成绩,但从最近我们监测到的网络攻击类型和最新网络新出来的安全事件发现,其实网络不可能实现真正的安全,网络也不可能实现永远的安全,就像没有最锋利的矛和最安全的盾,有人的地方就会有犯罪,现在的网络犯罪已经不是几十年前黑客为了秀自己的能力,今天的网络犯罪或网络攻击大到背后代表着国家的利益,小到企业的不正当竞争,以及为了获取利益在往上对网民做出各种攻击行为。我们认为未来五年历或十年里网络安全会变得更加严峻,对现有的技术,现有的产品,现有的安全体系都会构成巨大的挑战。
两周之前我去参加用友企业用户大会,现场有 1 万多个企业 CIO、CTO,很多传统企业大家迫切地说我要使用新的互联网技术,而今天对很多 CIO 来说,最热门的四个关键词,第一个关键词是云,无论是私有云、公有云,个人用的云服务还是企业用的云服务;第二个关键词是大数据,把很多分散的数据集中在一起进行智能处理和分析,来发现数据趋势;第三个关键词是 Mobile,今天手机和未来各种各样智能设备、移动设备会成为访问网络的主要终端和主要入口,所以手机这种随时移动,无时不在的连接会给未来企业部署技术必须考虑的重要因素;最后一个关键词是社交网络。无论企业员工还是企业本身会大量使用社交网络,在美国是 Facebook (47.01, -0.48, -1.01%)、Twitter,中国是微博、微信,所有的 CTO、CIO 使用技术时最担心排名第一的是安全,把所有的业务放在云上是否安全,把我所有的数据都集中了,一旦出现数据的泄露我是否安全?当我所有员工都使用移动设备进入我的网络,手机可是属于每个人的,在这种情况下,他们用个人设备来访问企业敏感的信息,我是否安全?当企业员工在使用各种社交媒体,社交网络的时候,我是否安全?下一个五年、十年新的技术给我们带来无限向往未来时,网络安全会变得更加重要,网络安全挑战也会更加严峻。
下面我分享几个观点。
原来 360 聚焦的是个人安全,这几年也有很多企业找到我们,希望我们提供企业安全服务,我们也投资购并了网站安全公司,也在大力发展移动安全解决方案,所以现在 360 不但给个人消费者提供安全方案的公司,也在移动和企业安全上做了大量投入。我们在互联网上的商业模式使得我们有比较快速的增长收入,比较好的市值,使得我们能在国内外采购技术,能从民间和安全行业招揽了大量安全高级技术人员。今天我想分享一些我们对安全趋势和技术的理解。
第一,终端安全未来会变得越来越重要。
安全有很多流派,运营商希望在骨干网上通过流量清晰做安全,做路由器、防火墙的公司特别希望在企业边界的地方来部署安全。现在我们看到一个趋势,传统的防火墙、路由器在服务端上的安全做得相当好,使得现在大量的攻击,大量的入侵越来越多地按照趋势来看不再发生在网络底层,而是更多地发生在应用层。换句话说,在网络边界处已经很难或者比较困难能实时地去判断它是不是一个威胁,是不是一个攻击,因为很多攻击和威胁只有在用户的终端电脑上才会真正地发挥作用。
很多企业部署了边界安全,以为我们构造了安全城堡、固若金汤,但你发现现在很多新技术的流行使得你很难建立信息的孤岛。举两个例子,我们有很多做防数据泄露的公司,有很多方案,要对付U盘。但今天公司的员工都在使用往上的云盘,你不可能不让员工用网络相册、网上存储。这些云服务实际是给企业边界打开了很多缺口。今天绝大部分公司都不得不允许员工使用自己的移动设备进入公司,所有的手机都具备 Wi-Fi 的能力,具备 3G 上网的能力,一个个手机相当于在我们原来严密保护的企业边界上打开了无数的缺口。边界的概念已经变得非常含混。
前段时间爆发了一个事件,有些单位的 Wi-Fi 密码会被某家公司记录下来分享给很多人,对很多爱蹭网的人带个随身 Wi-Fi,跑到一个单位窗户下搞个免费热点,很多企业员工会忍不住诱惑把这个手机连上来,一旦连上来,攻击者就不用费吹灰之力就可以绕过企业的边防进入企业内部。最近有很多攻击案例,比如某超级大国对伊朗核工厂的渗透,某大国最近说他们受到网络攻击。分析这些案例发现今天的网络攻击,特别典型的实际都是通过在终端处对某些关键性的个人进行攻破和渗透。因为今天对敏感单位,要害服务器、防火墙的穿越技术要求非常高,也比较难了。但对员工以及敏感单位的员工,他忘了给电脑打补丁,用比较旧的 IE 浏览器,一个新的 0day 漏洞利用邮件,只要发这个邮件,他打开这个邮件,点开文档,攻击者就可以进入到这个人的电脑里,再通过这个人的电脑作为跳板进入企业网攻击具有更高权限的电脑。所以今天网络安全里终端安全变得越来越重要。
刚才邬院士也提到下一代互联网,物联网、无线互联网,未来会从 PC 转到手机,手机都未必是互联网的中心,未来各种各样智能设备、可穿戴设备、智能硬件,包括家电、汽车、单位里的工业控制设备都可能成为像 Andriod 手机一样的智能设备,都有可能会面临攻击者的挑战,这样的攻击对多种设备会变得日益难以防护。
所以,360 在过去几年里我们一直专注加强终端安全,但终端安全和传统杀毒软件最大的差异是,你真正要解决终端安全实际终端上更多的是对安全威胁的捕获和感知,包括安全威胁的及时处理,但真正判断出它是不是威胁和供给,单靠终端处理和判断已经变得极其困难。因为两个道理,在移动设备,低功耗计算能力相对较弱的设备上,为了发现新的攻击,需要做很多复杂的判断,这已经不太可能;很多攻击如果孤立地在一台终端上看,有时候也很难判断究竟是用户对正常未知软件的使用,还是别人发来的木马。要真正解决终端安全,我们觉得在云端做这些判断会是安全的趋势,所谓云安全。
云安全有几个好处,把所有的分析判断统一在云端进行分析判断,根据统计分析就能够发现很多威胁的趋势;第二,我们和很多黑客、木马恶意软件和钓鱼网站入侵者在每天不断做攻防,如果所有的逻辑判断代码在终端,他们只要通过逆向你的程序,也有恶意软件说 360 有什么问题,希望你们开源,他们就能够更方便的攻击安全软件,所以我们对软件行为的判断放在云端做统一的处理,使得拦截新木马更及时。用大数据判断未知的威胁也是下一个趋势,因为很多时候我们会面临一个矛盾,对于已知的攻击我们都能防范,但我们依然知道有很多未知的攻击无法定义和预先做防范,现有的模式不起作用之后,我们希望靠大数据云端的分析能发现数据的异常和波动,从而意识到我的网络被入侵和被攻击了,云安全和终端安全的结合,我们认为肯定是未来安全的一个方向。
讲到未知安全,国际上现在讲 APT 和 Oday,APT 是网络上大规模攻击的常用方法。对付这种未知的攻击目前有几种方法我认为可以有效地对付 APT 和 Oday,一是白名单。
过去杀毒软件和传统防火墙技术可以简单称为黑名单,它实现定义一个以签名、特征,样本收集为基础的数据库判断哪些恶意网址和程序是攻击,但未知的攻击,漏洞太多之后,黑名单技术已经不能工作了,所有基于特征和传统安全病毒库的思路全球来看基本逐渐被放弃,现在比较主流的反而是做白名单。在很多企业和敏感单位内部,所有经过企业管理人员他们认证的有限数量程序才会被允许,各种 0day 漏洞最后都希望在你电脑和手机里运行一个未知的恶意程序,通过这个程序来做进一步的攻击,通过白名单的方式至少可以极大地减少这种风险。
但是做白名单是一件非常辛苦的事情,仅仅拿 Windows 系统来说,除了正版的 Windows 系统之外还有番茄花园等系统,而且国人喜欢 Windows XP 等,这么多的互联网应用建立巨大的白名单,360 花了差不多 7 年的时间,这个白名单只能部署在云端,这个数量太庞大,没有办法部署在本机。
第二个比较有效的技术是实时地在应用层的行为判断。
任何黑客攻击,只有在发生的时候根据它的行为才能真正判断出真正的攻击,这有两种方法,一是在终端上部署沙箱或蜜罐把很多未知的应用行为进行捕获,把这种行为发送到云端,进行统一分析和快速判断,这是一种方法。传统的方法是把病毒捕获,美国国防采用的技术是在网络入口处进行汇总,把流量3—5 层汇集到应用层,在终端虚拟机实现对各种未知应用行为的判断。
我们 360 内部已经具备类似产品,也申请过国家有关单位做过评测。这么多年来我们对技术的掌握已经对国外未知的 APT 和 Oday 威胁有强大防卫能力。最近我去以色列转了一圈,看了新的网络安全公司,有一个趋势,还是一个想法和设想,没有真实的产品做出来,我认为它可以用来对付未知威胁的下一代的新技术,就是大数据。它的理论是并不关心攻击行为本身,也不关心攻击的内容,不知道它是未知的攻击,也无法定义,是把整个企业和网络流量所有数据采集起来,通过服务端通过大数据建模,建立一个数学模型,只要有任何潜在攻击和异动,他会发现有些数据会偏离中心,会发出预警。讲起来很玄妙,我们希望通过未来大数据技术,发现数据异动的细微攻击可能是有效的方法。很多 APT 攻击只发生一次,也只出现一次,如果我们前面说的方法不能捕获和抓住它的行为,可能就很难对它进行防范。
边界安全依然有效,今天边界安全有效防范了今天网络应用层下的攻击,如果撤掉会看到攻击卷土重来。今天我想讲的是边界即终端,今天未来的攻击都发生在应用层边界仅仅在应用层下做端口的监控和流量的监听恐怕不能理解这些网络访问的含义,边界安全的趋势像火眼,360 提供一个产品叫“天眼”,我们认为边界安全方面应该有新的思路,在边界处应该把大量的数据向上恢复到应用层,在应用层利用虚拟机和云端沙箱类似技术对应用层的攻击来进行行为的监控,所以我们觉得未来所有的边界安全厂商要做设备和软件的升级,越来越具备对第七层应用层的理解力和实时判断能力。所以,以后对边界的处理可能和我们在终端的处理比较归一化,终端捕获到一些新的安全威胁会上报给云端,边界在捕获流量的同时也会把这些数据恢复成应用层之后上报给云端,而统一在云端进行智能判断和处理。
移动安全在前面报告里已经讲了很多了,我觉得移动安全在中国分为两个方面,第一对每个使用手机的人来说威胁无处不在,过去大家电脑上中个病毒很多情况是损坏个文件,电脑慢一点,慢一点也能用。但今天手机上安全问题可能不是手机慢一点的问题,可能很多敏感的数据,个人通信记录都会面临严峻的挑战。对企业来说流行一个词汇 BYOD。过去企业在做安全时有一个假设,员工在家里用什么电脑那是员工自己的私事,员工到单位来,电脑都是单位给派的,单位会在电脑上安装安全软件,会有网管和统一的政策进行管理,但手机的使用改变了这个情况,越来越多的员工会用手机在企业内部使用,甚至未来手机会成为访问企业内部信息系统,甚至比 PC 更主要的终端,尽管我知道有企业给员工发手机,但员工更喜欢自己买手机。原来黑莓很骄傲的是,很多企业会给员工配发黑莓,认为苹果对他不会有威胁。但美国现在越来越多大公司员工抛弃了黑莓,更愿意用苹果或者三星、Andriod 手机,觉得体验更好,上面有更多的游戏,有更多的娱乐。
在员工自己的手机上,你还能够用统一的政策来进行约束吗?你能保证员工担心的事,企业安全软件会不会接触到企业的个人艳照,私人通讯记录。企业担心的是员工每天在手机上玩游戏,看视频,上各种网站,这种 App 的渗透不仅伤害员工的隐私,会不会借机渗透企业的信息,包括员工离职以后手机该如何处理,员工丢了手机关于企业的敏感信息怎么处理。所以,你会发现设备的安全其实比 PC 更加重要。相信三年之内各种家用电器都会和移动联网,这些设备被攻击,那就不是手机上有几个流氓软件窃取你的隐私,可能会真的面临财产的损失或生命的威胁,所以移动安全的挑战我认为是非常大的。
360 以前不太关注网站安全,比较关注消费者服务。但这两年里我们看到越来越多的网站被拖库,越来越多的网站用户密码数据库被黑客拖库了,因为泄露了密码。我们记不住很多密码,一个网站用一个密码,几乎所有的密码都是它。所以在一个网站密码泄露了,不仅要更改这个网站密码,也要把日常登陆的十几个网站密码都要改。我们推出了 360 网站卫士,也收购了类似的公司,发现国内 75% 以上的网站都存在不同程度的高危漏洞,30% 的网站是存在后门的,这就会给黑客攻击者带来可趁之机。这和终端安全就形成循环。如果终端安全做得不好,很多黑客会针对网管本人发起 APT 攻击,通过攻占网管员的电脑来窃取网站的入口口令,反过来,如果网站本身有漏洞,被人注入,被人攻击,他在网上做挂马,做网站攻击,甚至会渗透到企业的内网。所以,我们认为未来网站安全变成整个企业安全和个人安全非常重要的一个环节。
前面讲的一些技术问题,我是班门弄斧了,希望大家在论坛里可以发表意见,进行挑战。这是我们 360 一家之言。抛开技术我谈几个技术之外的问题。
今年互联网用户利益至上已经成为想成功互联网必须追求的理念,不管怎么样要让产品满足用户体验。过去企业内部,特别是安全产品的购买和部署,员工是没有发言权的,发言权是企业的 CTO 和 CIO,所以企业安全公司更多的是在企业技术上满足企业的功能上的要求,技术上的要求,但很多做企业安全的同行他们有的时候忽略了,最后这个软件被企业装回家,并不意味着你的任务就完成了,因为以后软件的销售不再是主流模式,给企业提供安全的服务才是未来。所以,当你的软件在企业部署了以后,你和企业员工的互动才刚刚开始,用户体验才刚刚开始,所以,你的体验做得好不好,企业的员工愿不愿意主动使用,愿不愿意配合使用变得非常重要。如果你的体验不好,技术做得再漂亮,对企业很多普通员工来说,他们不懂技术可能就会畏惧使用甚至拒绝使用,或者使用起来非常不配合。
企业内部打补丁是最重要的,不打补丁,满身漏洞很容易被进攻。原来某大公司也做了解决方案,但极其复杂,最后很多员工不是忘记打补丁就是懒得打补丁,甚至把这个功能给关掉了。这样的安全软件,你即使把功能做得天衣无缝,最后由于缺少好的用户体验,我们做过调查,在企业网里即使装了传统的杀毒软件,你检查一下他的 Windows 漏洞基本两年前都没有打,更不用说 Oday 漏洞,用已知漏洞就可以攻破企业的网络。不注重漏洞会带来问题。
今天安全行业面临很多竞争,更多的我认为是面临颠覆式的挑战,而用户体验的挑战我认为会成为竞争的焦点。也就是说将来企业员工可能会成为这些软件重要的参与者,他们会成为软件改进意见的贡献者,也会成为企业内部安全网络共建者,有很多优秀技术的安全公司我提醒大家,应该更加注意把你的技术加上更好的用户体验来包装,使得不仅 CIO、CTO 对你的产品满意,也要让企业员工喜欢用你的产品,乐于主动使用,这样对企业的安全才能有真正的保障。
我想代表 360 表达一个观点,过去几年里 360 专注在用户体验方面做了许多新的探索和创新的工作,但刚才的趋势涉及到企业安全,涉及到国家安全,涉及到手机安全,涉及到网络基础设施的安全,这确实不是 360 一家公司所能解决的问题。未来随着安全威胁的不断扩大,360 非常希望能和安全行业的同行大家共同合作,我们互通有无,360 也愿意把我们这几年积累的资源向同行开放,进行分享,也很愿意把我们一些好的技术,特别是在终端方面一些好的产品理念和大家来分享,比如我们强大的白名单可以开放,整个云查杀引擎的 API 可以向大家开放,包括现在大数据的处理能力可以向大家开放。我们对安全趋势的分析,我们在中国拥有最大的用户网络,可以最快地捕获到潜在的安全威胁,都可以和大家来分享,我们希望和整个安全行业一起真正把网络安全作为系统工程解决好。今天网络安全四个字的内涵已经非常大了,超过了原来大家一提网络安全就误解为是做杀毒软件的,杀毒软件只是网络安全中一个很小的组成部分。
这次开这个大会,我们也特别希望认识大家,和大家交流。
下面我要吐槽了。
我想和同行讲一点我的心里话,360 一直以来还是把自己定位成中国最好的网络安全公司,也希望有一天做全球最好的网络安全公司。我们也在看网络安全行业,坦率说网络安全行业我们以前不懂,是一些外行人、野蛮人闯进网络安全行业,由于没有传统安全的积累,所以乱拳打死老师傅,用搜索引擎技术反而无意中做了新的技术体系。包括原来我们是互联网公司,所以用互联网理念改变了安全行业。但是可能在过去的几年里我们的注意力是只在用户身上,横行直撞,对行业做了多次的改变,所以也引发了很多的“口水”,也会让一些同行对我们有误解,对我们有微词。我想做几个沟通。
第一,关于 360 做免费杀毒是不是砸了大家的饭碗。
最早我们推出免费杀毒,当时很多杀毒公司对我们恨之入骨,因为大家觉得我们卖了 15 年的杀毒软件,每年轻轻松松地挣钱,一下子被周鸿掉这小子不是砸了饭碗,他们给我打电话说你把我们家的锅都砸了,我说我只砸碎了你的窝窝头。回头去看,实际上当年骂我们的公司今天都在学 360,他们也把自己的软件免费了,他们也在探索说如何利用互联网的商业模式在改进安全产业。今天安全产业的用户比七年前我相信增大了有 10 倍。那整个市场的盘子也大了很多,在过去一家安全公司一年的收入做到几个亿可能都是行业翘楚。但现在通过和互联网的结合,一家安全公司每年在安全上虽然不赚钱,但也可以把收入做到很高。所以,我觉得对互联网行业带来了颠覆式的创新,互联网对媒体的冲击,对影视工业的冲击,对音乐工业的冲击,包括大家最近谈论的小米实际也是互联网对手机工业的冲击。这些冲击我认为不是我们发明的,它是趋势,也不是我们一两家公司所能拦得住的。
在面临这种巨大冲击时我们所要做的不是阻挠它,而是要加入到这种变革的洪流里。通过互联网颠覆是创新,你的商业模式一定是卖软件吗?互联网告诉你不一定,软件和设备可能变成你和用户之间的接口。你的模式是什么?一定是提供服务。因为今天所有在互联网上赚钱的公司都在提供服务,包括大家利用互联网,你可以更快地影响用户,节省你营销的费用,可以通过互联网和你的用户直接对话,可以快速改进你的产品,没有互联网大家何谈云计算,何谈大数据。
所以,360 刚做免费杀毒的时候被行业内看成麻烦制造者、捣乱者、搅局者,而且很多人认为 360 就是个骗子,做杀毒软件哪有不挣钱的?相信今天在座各位有很多专家比我技术研究得深,比我在技术懂很多,但今天光有技术还不够,还要有市场,要有用户认知,要有用户品牌。所以,360 这几年通过免费安全,我们整个提升了中国互联网安全防护指数,教育了消费者对安全的认知,我们把市场的盘子扩大了,只要有 10 倍用户的增加,给我们很多企业其实提供了更多机会。当然免费杀毒对个人消费者绝对是必要的,但对企业我倒不认为一定要免费。有可能你软件免费,获得用户的认可,你可以提供增值服务,所以互联网最近冲击这么多行业,尤其互联网行业对电视工业都吹起了号角,对我们同仁们也是个机会。所以,希望大家想想,免费安全不是在颠覆安全行业,而是在重塑和扩大整个安全行业。
第二,有很多人嘲笑我们。
觉得 360 不专业,360 做了软件哪像一个安全软件,整天像玩具,给用户体检,还告诉用户 90 分,还告诉用户你开机启动 50 秒,你是中国最慢的 10%,大家觉得安全软件一定要做得非常高深吗?我认为过去安全可能是极客的事儿,CIO、CTO 的事儿,但今后安全无处不在。移动安全,你必须把企业小白用户和公司 CEO 在安全上也是小白或普通用户,他们不懂高深的技术,一打开软件他就晕过去了,他不敢用这个软件,因为他什么都不懂。那么你想想怎么在用户体验上把你最牛的技术藏在后面,给用户很容易地使用。
我们很多极客,我知道你们喜欢两家公司,一家是苹果,一家是 Google。其实这两家公司的技术都很牛掰,他们为什么能成功?因为 Google 把他强大的搜索技术放在一个搜索框后面。很多用户使用搜索引擎时不需要想后面的技术就可以得到他想要的结果。同样苹果公司也不吹嘘他的参数,一个最好的证明,你随便把电脑和 iPad 给 3 岁小孩子或 70 岁的父母,3 分钟看谁会使用。答案是不言而喻的。所以,未来产业的发展是简单、易用,用户体验可能会变成一个颠覆的力量。它会让你的技术更加倍增。所以,我们的软件不是不专业,我们背后有很多专业的技术,但我们希望让普通消费者能够不关心这些技术而直接相州被保护的安全感,这是我们和大家的第二个沟通。
第三,也有很多同行对我提出批评。
觉得周鸿掉管闲事管得太多,不务正业,你做安全,就查杀病毒就好了,查杀木马就好了,你干吗要管那么宽?我和大家分享一点,今天给个普通用户做调查,他分得清什么是安全吗?他电脑慢也觉得是中毒了,你给他查不出病毒他认为肯定我电脑有问题,手机耗电了,跑流量了他也不知道为什么。我们今天做安全,每个安全公司要从传统的定义跳出来,要重新定义安全,安全不再是狭义的安全,不仅仅是杀病毒,杀木马才是安全,让用户在使用手机、使用电脑上网过程中他觉得很舒服,觉得很开心,觉得很简单,这也是安全可以延展的理念。今天让用户的电脑垃圾更少,电脑启动更快也是安全。
如果今天不能解决泛安全的问题,永远只是解决杀木马、杀病毒,我问大家一个问题,木马病毒宏观上来讲各种攻击确实越来越多,但对某一个个体微观来说不可能天天遇到安全的问题,他遇到的还有很多是泛安全的问题,而在中国泛安全的问题往往有时候比安全的问题还要更大。比如今天在手机上如果只有病毒那特别简单,但很多正规 App,也是正规公司做的,在手机里要有不相称的权力,读你的短信,读你的通讯录,读你的定位,这样的行为你管理不管理。今天也有软件是好软件,也是有头有脸的人干的,但不管你统不同意,你安装完了之后都自动启动。今天你装了 20 个软件,这 20 个软件都自动启动,即使 Windows 8 号称极速启动都要花 8 分钟,你觉得能行吗?包括苹果不理解中国市场,问你为什么要做拦截垃圾短信和骚扰电话?但今天中国垃圾短信和骚扰电话成为公害要不要解决呢?我们研究技术是为了给用户创造价值,这样就要重新定义安全,只要给用户带来骚扰、不安和困扰的问题,我认为安全公司就应该保护用户,有责任提醒用户。
今天可能很多安全公司有了好的技术,把你的技术换一个领域,从传统狭义的安全领域跳出来进入一个广义的,泛安全的领域你会发现,你又可以看到许多新的机会。
还有很多安全同行对我有意见,他们都没有见过我,周鸿掉太口水,有一年他们还送了我一个奖“金喷壶奖”,还送给我们一个口号“250”,“250”干“110”的事儿就称为“360”。我为什么被同行亲切地称为 250 呢?他们认为做安全应该低调,应该高端大气上档次,而周鸿掉天天喷口水,哪里打仗都有他。我要和大家解释一下,如果你就做企业安全或狭义安全当然不会这么麻烦,当你要做广义的泛安全,保护用户,就不得不和很多黑色势力做斗争,也要和灰色势力做斗争。在中国祸害用户的可不只是那些木马作者和做恶意软件的作者,和黑色产业链相比,我觉得某些名门正派的大公司还不如他们呢。
虚假网站、欺诈网站靠什么推广呢?靠搜索引擎啊,医疗广告在搜索引擎这个行业的收入比重占到了 40%。我是不懂医疗广告,但我观察到两个现象,我到北京看病,医疗资源匮乏,我找关系,相信人满为患的医院不会花 1000 元、500 元买一个点击到搜索引擎上。在我们年轻时在厕所里,电线赶上刷的老军医治这个治那个,他们一夜之间都消失了,他们都转移到哪里去了?转移到搜索引擎竞价行业了。搜索引擎人家也是大公司,合理合法,但他们为这个灰色产业里提供了巨大的支持,也分享了灰色产业链的收入。网民就跟我们说?这 360 应不应该管?开头我们说这我们哪敢管啊?
后来我们想既然做安全就要有点胆量,所以在用户电脑上有一个功能把搜索引擎里这些虚假网站标出来,后果是严重的,我既得罪了虚假广告主也得罪了搜索引擎,被定位为“中国最坏的人”,反过来人家还到法院起诉我,你凭什么把我们的广告标出来吗?那是我们的广告主,是我们的衣食父母,周鸿掉不是打我们的脸吗?在中国,做安全软件,找一些企业卖出去当然不会惹事,当你真的信誓旦旦地说我要保护全体网民,你真的做到这一点就会发现断人财路,但在中国断人财路是最招人恨的。
360 从来不和别人打口水战,我这个“口才”都是不得已练出来的,人都是被逼出来的。当今天我们面临灰色产业链挑战的时候就在想一个问题,安全公司除了生意上要赚钱,满足股东,是不是一些事情也要做判断,灰色产业链给他造了无数官司,他是不是也要坚持下去?我觉得这也是我的一个困惑。
我们拦截垃圾短信和骚扰电话,最近有一个很受用户欢迎的功能,可以对莫名其妙打来的房屋中介、卖保险的、推销车的,给你办证、办卡的进行标记,这是什么电话,足够多的人标记了,再受到这样的未知电话,360 会告诉你说你要不要接。很多用户很喜欢这个功能,但这个功能也会给我们带来麻烦。你知道我们又断了一些兄弟的财路,比如销售保险的,销售二手车的,房屋中介,他们就会觉得很郁闷,我们辛辛苦苦每天打很多电话都被你 360 拦截了,发了很多广告电信都被你 360 拦截了。用户爽了,我们就不爽了。他们对我们也会有很多抱怨和情绪化的表达。所以,我想表达一点,做安全,当你真的做到一定规模,真的说要帮老百姓不仅仅是杀毒问题,还要解决上网,手机遇到很多问题时,你会发现挑战是巨大的。
我也反思了一下,360 能够走到今天不是我比你们公司更聪明,也不是我们的技术更高明,但我们就是有点 250,不知道这里面的水很深,就进来了,而且我们对用户有承诺,而且别人骂我们的时候不怕,能站得住脚,还能回骂回去。我们得到最大的回馈,用户相信我们,今天我们在中国有超过 90% 的用户相信我们,支持我们,巨头联合绞杀我们,360 还能继续发展。所以,今天我分享这个东西想达到两个目的,未来每个安全公司都要互联网化,360 作为互联网公司,我希望能把这些互联网化的思想像 AK-47 一样发给大家,做人民的网络安全战争,不只是 360 一家对付黑色或灰色的行为,希望能把大家都发动起来。
借此机会我想向同行解释一下,360 是有点“二”,是有缺点,我们坚持为用户做好事的公司,我们是得罪了一些人。希望大家理解,以后我们会再注意的。