蓝时代
本周可被评为年度网络安全周,因为一周之内召开了两个网络安全大会,19日到20日ISC2019世界网络安全大会召开;21到22日则是BCS2-10北京网络安全大会召开。ISC开到如今已是第七年,BCS则是今年第一次举办,ISC由周鸿祎领导的公司主办,而BCS则由齐向东领导的公司主办。两个公司原本是一家,某种原因现在成了两家,要说这是唱对台戏的话也可以但这并非重点,深层含义是网络安全领域一改过去的垄断局面有了两股对抗性竞争力量,且出发点极为相似,那就是挺近B端。
说实话,网络安全行业不容易,两个大会的场子看上去都是轰轰烈烈,网络安全产业的规模对这两家公司来说不算小,但放到整个互联网的大盘子里就微不足道了。这还是个容易价值离散的产业,安全公司要不成天叨叨着危险而放任用户敢于尝试裸奔,且裸奔了几年之后也没出过什么大事,这种体验积少成多之后,就很有可能会从底层颠覆安全产业使其价值归零,所以各种现存的潜在的威胁还是要不厌其烦去说的,哪怕说重复了说得自己都不爱听了也还是要说。周鸿祎前一段时间不太出来,ISC临近之时开始活跃,天天网络战不绝于耳,声称要以战争的心态去对待网络战等等,这些话说得过多了,但并不算错。
网络安全替代杀毒软件之后,商业模式变了,立足C端做业务的架子没变。360通过杀流氓软件积累了大量低成本用户,再把这些用户送到导航进行广告变现,这个模式堪称经典,但虽然360较早进入移动端,周鸿祎恐怕也没预想到移动互联网给他打造的这个安全产业能够带来如此大的颠覆作用。电商交易、资金支付、银行卡、虚拟财产等值的保护的东西在PC时代可以进入一个安全软件做的盒子扫一遍,发现异常直接拒绝,但到了移动互联网之后,短信验证码这么个传统的东西愣是打出了新高度,让整个网络看上去变得比以前更安全了,当然验证码并非唯一的因素,总之就是移动互联网在C端很难再承载更大的安全产业了。
进军B端这件事是靠谱的,如果因大环境的相对更安全而使得C端用户对安全意兴阑珊,裸奔者越来越多,广告变现变得越来越难的话,实际上进军B端成为安全产业唯一的出路。大背景是,物联网、人工智能、工业互联网等这些价值巨大的目标越来越多地出现,一次成功的入侵就有可能让运营者倾家荡产,就问你怕不怕。如果将移动互联网、物联网、工业互联网等项目与高度复杂的国际斗争形势结合起来说事儿,聪明的企业包括政府部门,是不会面对如此巨大的威胁而无动于衷的。但问题是,物联网时代的网络攻击就像是核弹,打出去就是毁灭,不打的话人们终归还是体会不到其破坏性。周鸿祎专访时有个问题想问但始终没好意思问,这个问题是:在唤醒各方安全意识方面,你觉得你这么整天渲染网络战多么可怕有用呢,还是让一次损失巨大的网络战真正发生更有用?
安全产业的悲哀之处与地震局是一样一样的,你成功预报了10次地震,弥补不了一次地震漏报给自己声誉带来的损害。虽然地震难以精准预测是科学界共识,但普通人不管这些,你地震局就是要准确预报地震否则养你何用,貌似意大利还真有法官判没有成功预测地震的地震部门官员罪名成立,这到哪说理去。但如果说因为地震报不准就撤销地震局编制反正报不准不养你了,恐怕也是不行的吧。安全产业也是如此,360总是说自己发现了多少漏洞,拦截了多少APT,做了多少防范措施等等,对大多数人来说是无感的,大家要的是WannaCry来了马上给我压住,最好是别造成一点损失。现实情况下,这基本是不可能的任务,否则也不会有数十个美国地方政府争相给黑客账户打比特币了。WannaCry来了之后,有安全产业所做的工作从中防护和没防护,在损失结果方面是有很大差异的,但这一差异对大众来说,无感,你做不到100,就是0分。
周鸿祎和齐向东在进军企业安全这块各自表述不同,道理和逻辑其实从内在看是差不多的。360要推的是安全大脑及其附带的一个安全生态,360掌握最多的漏洞,最丰富的安全数据,最齐全的防护手段,再加上多年的经验,集成到一个安全大脑里,内置到企业的网络中充当安全防护体系,而这个大脑是根据现实情况随时更新的,现时最主要的攻击手段都能察觉并防护,一些垂直的项目可以由生态来进行补充。齐向东则提倡聚众形成组织后产生化学反应,安全能力随组织的成长而不断生长出新东西,从而加强内生安全。这两条道路形式上看不一样,一个纵向一个横向,一个推崇英雄主义,一个主张集体主义,其实在目的上看最终还是殊途同归的。关键的问题是,哪一种更容易被企业所接受。
企业非常喜欢整体解决方案,与此同时又对个性化需求主张颇多,这一点做企业业务多年的公司应该深有体会,如何平衡就看当事公司的悟性和运气了。事实上个人认为,以软为核心的安全产业态势应该要有个变化,要积极向物理世界靠拢,以免自己最后成了空中楼阁。安全公司过去为了干事儿把什么都揽在自己身上,终归是要付点代价的。例如电信诈骗,这东西本身是通过电信网络实施的犯罪,跟互联网络安全没太大关系,你软件拦截了一些可疑电话确实能阻止一些罪行发生,但更多精心实施的诈骗行为还是拦不住。把电信诈骗搞得就跟自己责无旁贷一样的,结果是电信诈骗猖獗了之后,大家先骂移动管理不善,再骂网络安全行业黔驴技穷,完全不考虑这原本就是个O2O业务,互联网公司对其可算是鞭长莫及。
未来的物联网和工业互联网安全,必然不会是只靠软的,肯定要在硬件等方面齐头并进,多位一体来进行网络安全防护,本来安全行业就不太大,再让别处分一些去就别做了。当然,要做软件和数据之外的东西成本是很高的,例如安全芯片和安全服务器一类的东西,甚至专业保安队伍去物理世界维护设备安全等等,但从发展趋势来看,这一步似乎是不得不走的。就跟做电商的争相去线下开店一样,成本高谁都知道,不做肯定没有未来。周鸿祎和齐向东都是从发展线上能力四两拨千斤那个年代走过来的,也在那个年代里建立了自己的成功和声名,在物联网时代会不会有路径依赖,也是个值得思辨的问题。总之,时不时怀疑一下自己的立场,还是有必要的,正如当年360从收费转向全免费一样,那件事就是将自己推到重来的一个最好例证。
作者 葛甲