当“企业的各种漏洞信息在国际黑市卖出几百万、几千万”时,很多车企对汽车数字安全的认知还停留在过去,应对之策落伍且无效。
新时代的数字安全与以往有何不同?如何打造真正数字安全能力?如何走出误区?哪个环节是汽车应对数字安全危机的薄弱所在?何为“数字安全碰撞试验”?
《赵福全研究院》第70期,继续探讨“汽车技术生态创新”,这一次我们聚焦到数字化安全环节,赵福全院长对话红衣教主—360集团创始人周鸿祎,从理论与实战层面深度解析“未来汽车安全”的底层逻辑。
左:赵福全院长 右:360集团创始人周鸿祎
靠杀毒软件维护网络安全的时代已经过去,我们需要面对的是无孔不入、随时可能发起攻击的黑客,而且很可能是有组织的。未来网络安全的本质其实是人与人的对抗。
企业应该建立一系列网络安全防护的基础设施;同时在网络安全公司的支持下,建立和培养一支专业的网络安全防护团队。
车企邀请外部网络安全公司,对其汽车产品进行数字世界的攻防测试,即模拟实施各种网络攻击,以找出车内网络、车云网络等的弱点,让企业能够及时进行修补。
车企要集中各种数据进行重点保护,为此可与网络安全公司携手建立“数字安全大脑”,随时对各种网络的所有数据的异动进行监测和响应。
网络安全和数字安全的法律法规必须以让数据能被安全应用为根本出发点,切不可因噎废食,以安全为名过分限制数据的采集和使用。
企业在数字化方面是愿意投入的,但在数字安全防护上却往往不舍得投入,导致这两方面的投入差距极其悬殊。就像舍得花500万元买房子,却不舍得花5000元买防盗门。
“软件硬件化、硬件盒子化、盒子柜子化”。就是说相较于软件,企业更愿意购买安全硬件;这其实是一种落伍且无效的做法。最重要也最有价值的不是硬件,也不是软件,而是安全服务,尤其是高水平、专业化的安全服务。
因为整车企业通常规模大、资金足,有能力雇佣高水平的安全服务团队。黑客不容易找到整车企业网络的漏洞,很可能就会去攻击供应链企业的网络。
需要持续进行“数字安全碰撞试验”,不断寻找系统漏洞并加以修复。可能每个月或者每次OTA升级之后都要进行一次模拟攻防才行。
360为什么投资车企?
这样车企的各种网络尤其是车内网络,就可以对360充分开放,然后我们双方携手进行模拟攻防测试,共同确保持久的网络安全。
面对一些有组织的甚至是有国家背景的黑客攻击,大型整车企业都有可能力有未逮,需要共同建设国家或行业级的数字安全态势感知中心、应急响应中心以及联合研究中心等。
赵福全:周总刚刚以很多真实的案例说明,当前网络安全已经不只局限于虚拟空间,而是开始影响到物理世界了。未来随着数字化的不断推进,网络安全将升级为数字安全,并对物理世界产生更大的影响,甚至关系到人类社会和国民经济的安全。也就是说,数字安全将是一个大概念,所有产业都将面临严峻的挑战,而汽车是数字安全最复杂也最难防护的产业之一。
这样说并不是因为我们身处汽车产业,而是因为事实如此。一方面,汽车产品有上万个零部件,涉及到几百家供应商,今后都要互联起来,也就是刚才谈到的工业互联网,这必然是一个高度复杂的网络。另一方面,汽车要与外部世界全面连接,包括车辆与人的连接、与其他车辆的连接、与道路的连接、与环境的连接等等,也就是刚才谈到的车联网。这同样是物联网的重要组成部分之一,而且涉及到的主体极多、范围极广。显然,要做好这两个网络的安全防控是极其困难的,但又是必须要解决的问题。那么在您看来,汽车数字安全的问题应该怎样才能有效解决呢?
周鸿祎:我是这样考虑的,汽车产业的数字安全问题高度复杂,所以我们绝不能“眉毛胡子一把抓”。前面我把智能网联汽车的网络安全问题分解成了五个方面,因为这样就可以分而治之。同时在实施过程中,并不是要几个方面齐头并进,我认为可以先解决其中最主要的三个方面的问题,即车内网络、车云网络和车数网络。
前面我说过,软件必然存在漏洞,有漏洞就必然存在被人利用的风险,所以幻想着黑客不攻击或者攻不进来是不现实的。问题的关键在于,我们怎样才能在黑客侵入网络的时候以最快的速度发现和应对。在这方面,360已经形成了一套行之有效的方法,具备了及时发现和应对网络攻击的强大能力。
在过去的20年里,360从免费杀毒软件开始,积累了防御网络攻击的丰富实战经验。360的目标是确保网络安全,而不是单纯的售卖安全产品。记得最初的时候,只有我们提供免费杀毒软件。也正是因为免费,后来中国有90%的网民都安装了360杀毒软件,这样每天中国发生的各种网络攻击,我们基本上都会知道。同时,360招募了亚太地区最多的白帽子黑客对这些攻击进行分析。所谓白帽子黑客,通俗地讲就是好的黑客,也就是站在黑客的立场攻击系统、以排查安全漏洞的程序员。正是基于这样的实战演练,我们的安全防护能力才越来越强。
至于说到如何确保汽车数字安全,我的建议是:汽车企业必须建立网络安全的底线思维,并且做好网络安全防护的顶层设计。也就是说,当企业花费大量资金去建设自动化生产车间、搭建供应链生态系统或者打造智能网联汽车产品的时候,切不可对网络安全漠不关心或不以为然,而是必须同步开展网络安全防护的顶层设计,并切实做好相关工作。
之所以强调顶层设计,是因为我在和很多企业领导交流时,发现大家对于网络安全的认知普遍存在一个误区:即大家都觉得,只要让网络安全防护公司为其提供一套足够强大的设备,就可以一劳永逸地拦截住各种网络攻击,彻底解决黑客攻击、勒索软件等所有威胁了。这个想法是美好的,但非常遗憾,世界上根本没有这样的安全防护设备。
又或者有人觉得只要像杀毒软件那样定期更新设备的版本就可以了。然而杀毒软件能查杀的都是已知的病毒程序,这样的病毒比较“傻”,很容易被找到和清除。而现在只靠杀毒软件就能维护网络安全的时代已经过去了,我们需要面对的是无孔不入、随时可能发起攻击的黑客,而不是相对固化的病毒。这是一群高智商的网络攻击者,而且很可能是有组织的,他们会随机而变,不断寻找新的漏洞。从这个意义上讲,网络安全的本质其实是人与人的对抗。这就远比使用气囊、安全带等硬件来实现安全防护要复杂得多。
正因如此,我认为在网络安全方面最重要的是,企业必须有全面的正确认知和系统的顶层设计。其核心在于,企业应该建立一系列网络安全防护的基础设施;同时在网络安全公司的支持下,建立和培养一支专业的网络安全防护团队。唯有如此,在遭遇网络攻击时,企业才能及时发现和有效封堵。
为此,我提出了“数字安全碰撞试验”的理念,建议车企邀请外部网络安全公司,对其汽车产品进行数字世界的攻防测试,即模拟实施各种网络攻击,以找出车内网络、车云网络等的弱点,让企业能够及时进行修补。举个例子,我们在与奔驰公司合作的过程中,发现了19个漏洞,通过这些漏洞可以控制其2017年以后出厂的、遍布全球的几百万辆汽车,能够远程让车辆执行启动、熄火或开窗等指令。后来我们把这个信息反馈给奔驰公司,并帮助其修复了这些漏洞,得到了奔驰方面的高度认可。最近,一汽等一些国内车企也开始与360合作,共同建立数字安全实验室。这表明汽车企业对网络安全的重视程度,正在不断提升。
不过我想强调的是,这些举措还远远不够。车企更应该建立一种长期性的机制,让网络安全公司持续帮助企业查找和修补漏洞。虽然网络漏洞是无法穷尽的,但至少可以把我们目前能找到的漏洞都修补好,这样才能不断提升防护能力。
除了反复查找网络漏洞之外,还有一个重要方法,那就是车企可以把各种数据都汇总起来,不只包括每辆汽车的运行数据,还包括办公电脑、加工机床等各种涉及网络安全的设备的运行数据,然后建立一个我们360称之为“网络安全大脑”或者“数字安全大脑”的数据中心,用于安全地存放这些数据。这个数据中心具备对所有数据安全的动态感知能力,无论车内网络、车联网络,还是车云网络、车企网络、车数网络,一旦出现异常的数据变化,控制“网络安全大脑”的应急团队都能第一时间感知到,从而立即行动,及时阻止攻击。
赵福全:我简单做个小结,周总给汽车企业的建议可以归纳为四点:一是车企负责人对于网络安全要有正确的认知。现在已经不是对抗固化的电脑病毒的时代了,今后网络安全防护的本质是与黑客进行较量,即人与人的对抗。二是车企要做好网络安全的顶层设计。即企业在打造数字化产品、数字化服务、数字化工厂的时候,必须同步做好相关网络安全的整体性顶层设计。三是车企要建立负责保护网络安全的专业团队。在这方面,应该借助网络安全公司的力量,不断对自身网络进行攻防测试,以及时发现和修补漏洞,同时应建立长期性的防护机制。四是车企要集中各种数据进行重点保护,为此可与网络安全公司携手建立“网络安全大脑”或“数字安全大脑”,随时对各种网络的所有数据的异动进行监测和响应。
在此,周总提出了一个让我印象深刻的概念,即“数字安全碰撞试验”。我理解就是要在数字世界中进行各种硬件、软件及其接口的安全攻防试验,模拟各种各样的网络攻击,以验证相关的防护和应对措施是否有效。这和我们车企需要进行的实车碰撞试验可谓异曲同工,可以让广大汽车同仁很容易理解网络安全攻防演练的过程和意义。
网络安全立法必须平衡好鼓励创新和保障安全
赵福全:周总,下面一个问题。在数字安全方面,您认为有多少问题需要国家出台法规标准来解决?又有多少问题需要企业之间合作来解决呢?
周鸿祎:应该说,在网络安全立法方面,这几年政府做了很多工作。比如国家继《网络安全法》之后,又发布了《数据安全法》,还有最近推出的《关键信息基础设施保护条例》,以及工信部相继发布的关于智能网联汽车安全的一系列文件。按照最新法规的精神,今后信息基础设施如果遭到网络攻击,就和能源、交通基础设施遭到攻击一样严重,而智能网联汽车就是一种关键的信息基础设施。这意味着对于汽车企业来说,能不能把网络安全防护做到位,已经不只是有无风险的问题,而是是否合规、合法的问题了。
总体来看,政府在网络安全和数字安全立法方面已经打下了良好的基础。不过政府只能提出基本的要求和规范,最终要真正做好安全防护,还需要作为市场竞争主体的企业采取有力的行动。在这方面,国外企业的重视程度是很高的。例如奔驰、微软、谷歌等很多公司会定期聘请网络安全公司和白帽子黑客,进行模拟攻击和测试,来帮助其发现自身系统的漏洞。相比之下,国内企业做得就不太充分了。我认为,一方面,我们应该着力打造众包众筹的白帽子黑客平台;另一方面,国内企业也应该积极邀请白帽子黑客来对自己企业和产品的系统进行各种测试,以及时发现和解决问题,特别是企业要舍得为此进入投入。
事实上,我在与车企领导交流的过程中,发现汽车行业在安全方面有不少理念和做法都很值得学习。例如汽车产品的安全碰撞试验就非常好,不仅可以帮助车企改进产品的安全性能,而且可以用客观数据向广大消费者展示自身产品的安全等级,这远比企业自我宣传更有说服力。我提出的“数字安全碰撞试验”也在一定程度上借鉴了这种理念,即任何安全防护能力都应该从实战中得到检验。我建议今后每家车企都应该进行“数字安全碰撞试验”,让汽车产品的数字安全在出厂前经过多轮模拟攻击的考验和完善,以确保完全符合国家法规,并让消费者充分放心。
赵福全:这就引出了另一个重要问题:现在国家对网络安全和数字安全越来越重视,不断加强这方面的立法工作。对此也有人担心,国家出台越来越多且越来越严的法规,尤其是发布了《数据安全法》之后,会不会在一定程度上导致数据无法有效流通和应用,反而限制了企业的创新尝试呢?周总,您怎么看这个问题?
周鸿祎:我看过中国的《数据安全法》,与欧盟的GDPR即《通用数据保护条例》相比,我认为中国的数据法规总体上还是鼓励数据应用以及这方面的创新的。另外,从工信部对汽车产品的一些管理规定来看,也是支持车企采集相关数据的;只是对某些数据的使用提出了要求,比如企业在收集用户数据的过程中,必须把人脸信息模糊化,以防泄露用户隐私。
正如刚刚赵院长提到的,如果相关法律法规过于严苛,很可能会扼杀企业的创新尝试。由于智能产品是基于数据来实现智能的,像智能网联汽车就必须采集和使用数据,才能改进自动驾驶功能和智能座舱体验。所以我认为,网络安全和数字安全的法律法规必须以让数据能被安全应用为根本出发点,切不可因噎废食,以安全为名过分限制数据的采集和使用。当然,如果没有法律法规的约束肯定是不行的,有法可依是必要的。毕竟今后数据是新的生产要素,也是国家重要的战略资产。如果数据被盗窃或者破坏,轻则侵犯个人隐私,重则危及国家安全。
从我接触过的工信部、网信办等相关部门的很多领导来看,他们思考问题的第一出发点还是想支持数字化转型,并没有限制企业数字化创新的意图。正因如此,很多涉及隐私数据的人工智能技术也得到了推动。在这一点上,我认为中国政府的政策是务实而灵活的。政策的决策者们非常清楚,没有发展只谈安全或者只求发展不计安全,都是不可行的。
总体而言,我对中国智能网联汽车的发展很有信心。中国本身就是全球最大的汽车市场,加上国家政策的大力推动和各家车企的积极努力,我们在新技术应用推广方面速度很快。现在中国的新能源汽车销量已经是全球第一,而且其市场渗透率增长之快,远远超出了大家的预期;未来我相信中国也将成为智能网联汽车发展最快、销量最大的国家。特别是中国政府在确保安全的前提下允许合理的数据采集,支持企业的数字化创新,由此将会支撑中国成为世界上自动驾驶相关数据积累数量最多的国家。事实上,自动驾驶的算法并没有多大差异,真正起决定性作用的是基于数据的训练。数据越多,训练效果就越好。如果欧洲、美国的自动驾驶汽车保有量少于中国,同时又有法规限制车企采集某些数据,而中国数量更多的自动驾驶汽车每时每刻都在采集数据,那么最终的结果一定是,中国的自动驾驶汽车将在全球范围内遥遥领先。
赵福全:的确如此,国家制定法律法规时必须有效平衡好鼓励创新发展和保障产业安全。如果不能守住数据安全的底线,那么整个数字经济就是空中楼阁,甚至可能会给人们的生产和生活带来严重威胁;而如果对数据收集和使用的要求过于严苛,那么万物互联的价值就将大打折扣,人工智能也将失去数据支撑而无从发展。
周鸿祎:是的,欧盟GDPR的规定就比较严格,不仅美国等境外企业,也包括欧洲自己的企业,在数据采集和使用方面都有诸多限制,我觉得这对欧洲的数字化创新是非常不利的。
反过来讲,我们也要充分理解数据监管和安全保护的必要性。试想如果国家完全不清楚企业都在收集什么数据,已经有了多少数据,数据都流动到了哪里、又储存在哪里,是不是足够安全以确保不会外泄或者被破坏,那又怎么可能放心地支持数字化创新呢?而且对于每个消费者来说,这种状况也有潜在的巨大风险。所以,企业的数据系统在开始运行之后,从数据的采集、清洗、流通到存储、计算、使用的全过程,都应该对国家监管部门充分开放。
另一方面,企业领军人应该和国家一样高度关注数据问题。比如360也是一家大数据公司,即使国家不监管,我自己作为老板,对公司的数据也要做到心中有数。为此,我提出了关于数据的所谓“灵魂三问”:第一,公司的数据都是从哪里来的?第二,公司都有哪些数据、存储在哪里?第三,这些数据要流向哪里、供谁使用?事实上,360搭建大数据管理平台,就是要帮助各类企业回答这三个问题。同时,我们也会按照国家的监管要求,把大数据管理平台的接口向政府有关部门开放,这样就能让政府了解和认可这些企业在数据治理上的规范性。
目前360正在帮助很多车企收集数据,实际上主要就是帮助它们做好大数据的安全策划与保护。我相信会有越来越多的车企意识到,加强数字安全防护绝不是“白花钱”,而是为了保障企业能够更好地利用数据,最终使企业的核心竞争力得到持续提升。
赵福全:是的,对于数据监管法规的出台,大家应该正面、积极地看待。国家要求数据透明,并对部分数据的采集和使用进行一定的限制,这既是对大众个人隐私的一种必要保护,也是对国家数据资产的一种有效管理。事实上,数据不只是某家企业的重要资产,更是全社会的共同财富,因此国家加强监管是合理的、也是必要的。同时就像周总谈到的,即便国家没有提出相关要求,企业领军人也应该了解自己数字资产的“家底”,因为这是未来企业核心竞争力的基础所在。
现阶段方向性的引导政策比具体的固化标准更有意义
赵福全:接下来,我们谈谈数据安全的标准。在我看来,这是国家、行业以及企业开展安全防护工作的依据。例如在传统的汽车被动安全方面就有很多标准,主要是基于硬件制定的。也就是说,此前出台的安全标准都是从产品质量的角度出发的,把安全视为非常重要的一个质量问题。
那么,对于网络安全和数字安全,您认为上述这种偏硬件的标准制定思路是不是需要调整?或者说,我们应该通过怎样的国家和行业标准来保证数据安全?尤其是对于智能网联汽车来说,涉及到跨行业、跨领域的不同数据,比如有些数据与交通环境直接相关,可能是比较敏感的。对此,我们又该如何有效制定跨行业的安全标准呢?
周鸿祎:我觉得汽车现有的安全标准就是合规要求而已,就是说,汽车产品要达到什么标准就符合了基本的安全规范。从实践来看,这些标准解决了汽车产品物理安全的底线问题和评价问题,是非常必要和有效的。
但是今后仅仅符合这些标准的汽车产品并不是足够安全的,因为我们还必须考虑网络安全的问题。这是一个不确定性和实战对抗性都非常强的领域,对手根本不会根据相关标准来展开攻击,而是会无所不用其极。现在的情况是,在网络安全方面有很多公司进行了有益的创新实践,在实战中锤炼出了一些有效的方法和措施,而标准却跟不上企业实战的脚步。有鉴于此,我建议国家应该多制定一些方向性的产业政策,而不要急于在技术上制定所谓的固化标准。
举个例子,如果我们硬性要求多少行代码中的漏洞数量必须低于多少个,恐怕是没有办法有效量化评估的。因为找出漏洞是一件很难预知的事情,比如我们帮助车企查找软件漏洞,可能一个月就找出了10个,但也可能两个月都没找出1个,但这并不能说明后一种情况的安全性就一定更高。
为此,我想给政府相关管理部门提以下三点建议:
第一,国家应该要求车企必须在安全防护上进行足够的投入。我发现目前企业在数字化方面是愿意投入的,例如建设超算中心、实现算力上云等等;但在数字安全防护上却往往不舍得投入,导致这两方面的投入差距极其悬殊。这就像舍得花500万元买房子,却不舍得花5000元买防盗门。为此,国家政策应该在这方面加强引导,可以强制要求企业在进行数字化投入时,必须拿出一定比例的资金投入到安全防护上。
第二,国家应该引导和鼓励企业购买网络安全服务,这对于网络安全产业的发展会有很大帮助。当前企业在购买网络安全公司的服务时,往往要求必须以具体产品的形式体现。在我们业内称之为“软件硬件化、硬件盒子化、盒子柜子化”,就是说相较于软件,企业更愿意购买安全硬件;这个安全硬件最好是一个很大的盒子,且越重就越显得专业;这个盒子最好有很多的柜子,至少在理论上分别对应着各种安全功能。一些网络安全公司为了迎合买家的喜好,也开发了很多这样的产品。但正如前面我说到的,这其实是一种落伍且无效的做法。
第三,国家应该鼓励白帽子黑客通过众筹等市场化的模式,帮助企业查找网络漏洞,而企业应该为此向白帽子黑客提供相应的回报。
我想,在网络安全和数字安全方面,国家相关部门如果能够多做一些方向上的引导,一定会对产业健康发展有更大的推动作用。
未来整供车企需要共同负责供应链的网络安全
赵福全:周总刚才谈了他对网络安全标准的建议,其实这个话题在汽车行业内也有不同的看法。有不少人希望,通过国家标准的制定和完善,我们可以把网络安全问题的危害降到最小。不过我觉得,所谓标准只能是最基本或者说最低的要求,如果确立一个很高的标准让所有企业都必须做到,恐怕是不现实的。换句话说,我们不能寄希望于网络安全标准能够彻底解决所有相关的安全问题。这就好比为了防备小偷,我们可以规定一些基本的安全措施,但如果来的是高智商、有组织的小偷,只靠这些基本措施是防不住的。
周鸿祎:赵院长的这番话也提醒了我。我们最近就在与有关部门探讨,能否制定一套企业数字安全防护能力的评估标准?当然,要出台这样的标准难度非常大,但我觉得值得尝试。这样企业就可以根据评估结果了解自身防护能力的水平,并采取相应的措施,而不是只满足国家最低限度的基本标准和要求。
对于企业数字安全防护能力的评估,我认为最可靠的方法还是通过模拟实战的攻防测试来进行。否则,评估标准很可能会变成安全防护产品纸面上的性能指标,只是一组数字而已,并不能反映实际情况。这就像评价汽车被动安全水平,要通过实车碰撞试验的表现来衡量,不能说这款车装了更多的气囊,所以就一定是更安全的。
另外我想强调的是,未来汽车供应链企业的数字安全防护是一大难题。因为整车企业通常规模大、资金足,有能力雇佣高水平的安全服务团队,不断提升自身的防护能力。如果黑客不容易找到整车企业网络的漏洞,很可能就会去攻击供应链企业的网络。相比之下,很多供应链企业规模较小,有些企业对网络安全不够重视,还有些企业虽然比较重视,但却有心无力。毕竟它们先要解决生存的问题,而加大安全投入并不能带来直接的经济效益。这也是赵院长刚才所说的,国家是不能强制所有企业都必须满足一个很高的网络安全标准的。
从这个角度来看,或许整车企业未来需要肩负起这样一种责任:即帮助其供应链企业把网络安全能力提升到至少及格的水平,为此投入一定的资金是必要的,也是有益的。不过车企会不会愿意做这种投入呢?这恐怕还要有一个不断加深认识的过程。
赵福全:周总谈到汽车企业可能不太愿意在网络安全防护上加大投入,我倒觉得从长远来看,在这方面您不必太过担忧。接下来,我就从汽车行业的角度来谈谈我的看法。
就企业而言,汽车产品的安全关乎生命安全,因此安全是汽车品牌最重要的基础支撑,没有一个汽车品牌能够脱离安全而在行业立足。正因如此,一直以来汽车企业对于安全都是非常重视的,甚至有不少汽车品牌就是以安全为基因的。到了万物互联的时代,车企只把传统的汽车安全做到位已经不够了,网络攻击将成为越来越现实的可怕威胁。在这种情况下,车企肯定会尽最大努力防御网络攻击,以确保产品安全。
我在很多场合都曾讲过,智能汽车必须以安全为第一要务。无论汽车的智能化程度有多高,如果不能确保安全,就称不上是真正的智能汽车。而产品是汽车品牌的载体和体现,如果产品出了安全问题,不管具体原因是什么,公众都会质疑车企的能力和态度,进而对这个汽车品牌产生不信任感。所以,车企必须全方位地确保自身产品的安全,包括网络安全或者说数字安全。
就消费者而言,买汽车与买手机或电脑的心态也是不一样的。360一直提供免费杀毒软件,在很大程度上也是因为消费者不愿意花钱购买杀毒软件。他们往往认为电脑和手机的安全防护就应该是免费的,或者觉得即便真的被攻击了也没关系,最多重装一下系统就行了。但汽车不是这样,消费者很清楚如果汽车失控会带来什么后果,因此更容易认同汽车必须有更高的安全防护等级,会愿意支付合理的费用。同时,汽车产品的价格远高于手机和电脑,也就有了容载安全防护成本的更大空间。假如今后360的汽车安全软件搭载在汽车产品上,确实能够为消费者保驾护航,我相信是可以收费的。
所以,作为长期在汽车行业打拼的一位老兵,我的判断是:既然车企有强烈的责任感去做这件事,而消费者也愿意为此买单,那么今后汽车企业对网络安全防护的投入一定会越来越高,相应的,汽车企业及产品的网络安全防护能力也一定会越来越强。
比购买安全防护产品更重要的是训练安全防护团队
赵福全:刚才周总谈到了“数字安全碰撞试验”的理念,对此我有一个问题。传统的汽车安全碰撞试验,我们是能够掌控其边界条件的,比如几种测试车速、几种碰撞角度等等,都是标准化的。但是“数字安全碰撞试验”有很多未知的因素,就像您讲到的,软件漏洞无处不在,难以完全避免,而我们并不知道漏洞究竟在哪里,否则早就进行修补了。然而哪怕只有一个小漏洞被黑客抓住,后果都很可能是致命的。在这样的情况下,我们应该怎样设定数字安全碰撞的情景?或者说,我们能否找到一些相对极限的工况,能够尽可能覆盖潜在的安全风险,并基于此进行客观的安全评价呢?
周鸿祎:这是一个非常好的问题,模拟实战攻防肯定不会也不能采用穷尽的方法,所以我们一定要选择有代表性的场景。比如目前还不需要重点针对车内网络进行模拟攻击,虽然未来对车内网络的攻击肯定会越来越多,不过现在攻击车内网络的难度还比较高。因为不同车企的操作系统还没有趋同,不像电脑的Windows系统或手机的安卓系统那样容易被针对。
我觉得当前汽车行业的模拟攻防测试应该主要针对车企网络。大约从2016年开始,360就与国家有关部门开展网络模拟攻防演习了。我们强调的理念是实网、实兵、实战:实网就是真实的网络,例如真实的工业互联网;实兵是真实的攻击队,不是安排自己的团队假扮黑客,而是从外部邀请白帽子黑客或者其他网络安全公司来展开攻击;实战就是模拟真实的高级网络攻击。我们就是通过这样的攻防演习来帮助企业发现网络安全隐患的。
我想再次强调,网络安全防护永远没有止境,这就像矛和盾的关系。所谓“魔高一尺,道高一丈”。攻击者一定会不断寻找新的漏洞,持续提升自己的网络攻击能力;而防护者就一定要不断发现和修补漏洞,持续提升自己的安全防护能力。所以,网络安全防护是必须常抓不懈的一项工作。
赵福全:我们能做的是不断地提高自己的防护能力,让黑客越来越难以找到我们的漏洞,这样他们想要有效实施攻击就会越来越难。
周鸿祎:您说得很对。问题是我们的防护能力还不够强,坦率地说,目前很多车企网络就像靶子似的摆在那里,办公网络、生产车间的网络基本上都没有安全防护,只是能正常进行基本的通信和办公而已。当然,现在这些网络与汽车产品还没有直接关联,包括今天的车联网也还没有成熟,所以危害还不那么明显。不过对于车企网络,当前常规的网络攻击手段都是奏效的,这是很大的隐患。因此我认为,“数字安全碰撞试验”除了测试汽车产品的车内网络之外,还需要测试车企网络,以提升车企的系统性防护能力。
在2016年我们刚开始进行模拟攻防测试的时候,不少企业并不理解我们的做法,认为360是在给他们找麻烦。但是经过几年的实践之后,现在越来越多的企业领导对这件事开始有了新的认识。因为他们发现,曾经以为很安全的网络系统,原来很容易被攻进来;同时,购置的很多昂贵的安全设备,原来并没有那么有效。所以,近年来企业对网络安全的重视程度越来越高,对模拟攻防测试也越来越认可了。
有很多企业的网络安全团队都在模拟实战中得到了锻炼:过去他们往往自以为没有遭受过网络攻击;现在他们经过演练才发现,原来很多时候自己只是不知道网络已被侵入了而已。另一方面,过去由于没有进行过演练,他们在遇到网络攻击时常常手忙脚乱;而现在通过实网、实兵、实战的训练之后,他们面对各种攻击都非常淡定,能够快速做出最佳的应对。
在这方面,我们有一个目标:既然网络攻击不可避免,那我们就要努力帮助企业打造有韧性的系统和团队。确保遭到攻击时,企业能够以最快的速度有效地解决问题。360以此作为自己的使命,全力为各种企业提供支持。
从这一使命出发,我觉得现在汽车企业中普遍存在一个误区,那就是依然以为确保网络安全就是要购置防护设备。例如总是有车企领导问我,应该从360购买什么安全防护产品?我们当然也可以向车企出售一些安全防护产品,但是这并不能解决根本问题。事实上,车企真正需要360做的,一是帮助他们做好网络安全乃至数字安全的顶层设计,进而明确现阶段要解决哪些重点问题;二是帮助他们培养一支有战斗力的安全防护团队。我认为,这些工作才是最重要的。我经常这样比喻:过去网络安全行业就像是在卖药,根据企业的病症对症下药即可;而未来网络安全行业必须帮助企业建立自己的医院,可以解决可能出现的各种病症。医院里当然也需要B超、X光机等设备,但这些并不是最重要的,最重要的应该是由经验丰富的医生和护士组成的专业队伍。
未来车内网络的安全防护挑战更大
赵福全:听了周总刚才这番话,我认为所有车企都应该认识到:第一,在智能网联汽车大行其道之后,汽车产业的网络安全防护要比以前重要得多、也困难得多,因此我们必须予以高度重视。第二,这种重视不能简单地停留在口头上,更不能基于过去的固有“常识”来落实,我们必须摒弃PC时代那种购买杀毒软件或防护设备来确保网络安全的传统理念,而是要努力建立起一支属于自己的安全防护团队,并不断进行模拟攻防演练。
到了万物互联的时代,智能网联汽车的硬件和软件之间,汽车与人、与其他汽车、与环境之间,以及各种企业之间,各类连接近乎涉及到无穷多种场景。而只要有相互连接和数据交换,就有被网络攻击的风险。也就是说,数字世界的网络安全威胁将永远存在,不可能被彻底根除,而且也难以预料具体会在什么时候、什么地方发生什么攻击。为此,车企必须建立并不断提升应对各种网络安全威胁的能力。就像周总建议的那样,要做好顶层设计并培养专业的团队。那么,您觉得汽车企业究竟应该从何入手来开展这些工作呢?
周鸿祎:说起来,车云网络和车企网络与一般企业的网络相比,并没有太多不同。尽管现在由于重视程度不足,存在的问题比较多,不过对于这类网络的防护,我觉得还是有把握的。而在车数网络方面,目前各个行业都在探索如何有效保护大数据,今后随着大数据的不断积累,数据安全治理方案一定会同步成熟起来。
相较之下,我认为车内网络的安全防护未来可能会面临更大的挑战。因为车内网络非常复杂,又与行车安全直接相关。事实上,已经有很多车企找到我们,希望我们能够提供360车载版产品,例如360汽车卫士,或者360汽车防火墙。我们原来也确实设想过打造这种外挂式的防护产品,但最终还是觉得这种产品作用有限,甚至可能只有心理安慰作用,并不能真正解决车内网络安全的问题,因此并没有这样去做。更进一步地说,这也正是我决定投资一家车企的根本原因所在。因为这样一来,这家车企的各种网络尤其是车内网络,就可以对360充分开放,然后我们双方携手进行模拟攻防测试,共同确保持久的网络安全。
赵福全:一些车企希望你们提供360车载版产品,恰恰说明他们对于智能网联汽车网络安全的认识还需要进一步提升,他们还没有充分认识到智能网联汽车的网络安全问题具有高度的复杂性、系统性和动态性,根本不是某一款安全防护产品就能彻底解决的。正因如此,周总多次提到,车企应该建立自己的安全防护团队,并对各种网络不断进行模拟实战的攻防演练,即所谓的“数字安全碰撞试验”。这样一旦发生网络攻击,企业就能有一支强大的防护团队进行有效应对。我认为,周总的建议不仅给出了网络安全防护的方法论,而且指明了企业建设网络安全体系的前进方向。
今后汽车企业必须在数字安全防护方面持续投入
赵福全:这就带来了下一个问题,车企究竟应该如何把握产品竞争力与安全度之间的平衡呢?即使车企把所有准备工作都做得非常充分,智能网联汽车还是会有很多安全隐患。因为智能网联汽车的本质就是能够基于数据不断自我进化,这意味着汽车企业在数据积累和迭代到一定程度之后,需要通过OTA等方式对智能网联汽车进行在线升级。这个过程必然伴随着数据的传送,所以也就必然存在网络安全隐患。
然而车企又不能不这样做,否则推出的就不是真正的智能产品。事实上为了提升产品的竞争力,未来车企必须努力构建一个不断扩展的大生态系统,特别要把很多数据公司、互联网公司、人工智能公司等都纳入进来。所以,智能网联汽车的开放程度会越来越高。这样虽然能够更好地优化产品及服务,但同时也会随之带来更多的网络安全隐患。对这个问题,您怎么看?
周鸿祎:赵院长说得很对,这正是数字安全防护和物理安全防护不一样的地方。要做好数字安全防护,必须像希腊神话中的西西弗斯那样,不断地把大石头从山脚推到山顶,然后大石头滚落下来,再重新把大石头推向山顶,就这样周而复始。
一款传统汽车只要设计没有改变,理论上只需要做一次物理安全碰撞试验就够了,因为再做多少次试验也不会改变结果。但是对于一款数字化的汽车,其操作系统和各种软件是会改变的,会不断地更新升级一些旧模块,或者加载一些新模块。所以,要确保数字化汽车产品的安全,就需要持续进行“数字安全碰撞试验”,不断寻找系统漏洞并加以修复。只要车辆还在使用,这个工作就不能停止,可能每个月或者每次OTA升级之后都要进行一次模拟攻防才行。
其实电脑的Windows系统,也需要不停地打补丁,几乎每个月微软都会提供新的补丁。在过去也有不少人质疑,打补丁是不是说明系统质量有问题?而现在大家对此已经习以为常了,反而觉得能够随时发现系统里的漏洞并提供补丁,这本身恰恰是系统安全工作做得比较到位的体现。
今后,车企使用的数字化技术一定会越来越多,为此我们应该提前做好心理准备:要充分认识到数字安全必须常抓不懈,否则数字化带来的一切优势就都没有办法保证。企业需要增加数字安全防护方面的投入,并且要持续不断地投入。尽管这种成本可能确实不小,但却是我们不得不支付的。
汽车企业必须建立网络安全防护的基本能力
赵福全:与周总的交流,让我更深刻地认识到,汽车网络安全是一项复杂的系统工程。只靠购买外部产品和服务是不够的,汽车企业需要建立自己的安全体系,组建自己的安全团队,培育自己的安全能力。当然,这并不是说什么事情都要自己来做,恰恰相反,企业必须有效借助外部资源,这其实也是一种必不可少的能力。说到底,网络安全防护能力只能在模拟攻防演练中才能不断提升,因为网络安全的本质就是破坏者与防护者,即人与人之间的角力。
周鸿祎:您理解得非常到位。我估计今天的听众应该大都来自汽车行业,可能希望我这个来自网络安全行业的人讲讲相关安全技术。但我认为,太具体的技术内容真的没有必要多讲。所谓“授人以鱼不如授人以渔”,我更想借助今天这个难得的机会,把一些关于网络安全的正确理念和方法传递给大家。所以我才一再强调,对于汽车企业来说,重要的并不是购买这样或那样的网络安全防护设备,而是要形成自己的网络安全防护能力。
至于车企如何建立网络安全防护的基本能力,我有以下三点建议:
第一,车企应打造全方位的数据感知能力。为此应建立大数据感知及分析平台,确保遭受攻击时,企业至少能够看得见。
第二,车企应积极开展“数字安全碰撞试验”。360原来称之为“数字靶场”,可能“靶场”这个名称不太适合汽车行业,但含义其实是一样的。并且汽车“数字安全碰撞试验”不能仅靠内部团队来进行,而是应当邀请外部的网络安全公司和白帽子黑客与企业一起进行测试。这个过程一方面要确保是“真刀实枪”的测试,否则达不到效果;另一方面,企业也要制定相应的规范,并做好监控,避免被邀请来的黑客在进行模拟攻击时,又偷偷在系统中埋下新的“后门”。
第三,车企应建立数字安全响应中心及运营团队。未来车内网、车联网和车企网等各种网络都不可避免地会遭受攻击,企业要做的就是在受到攻击后,能够尽可能做出最快的响应和最有效的应对。为此,必须建立响应中心,并配备安全防护的基础设施,同时组建运营团队,并不断提升其专业能力。这相当于为自己建一个医院,同时配备上专业的医护人员。唯有如此,才能有效应对各种突如其来的病症。
当车企做好以上三点之后,自身就形成了一个闭环的安全防护环境,这个环境具备一定的自我成长和自我净化能力。再加上外部资源的支持,包括安全服务公司和白帽子黑客群体,企业就能具备持久的网络安全防护能力了。
我曾经与一汽集团徐留平董事长说过:智能化网联化是车企不容有失的发展机遇,为了抓住这个机遇,车企就一定要成为互联网公司、大数据公司和人工智能公司。否则,是没有机会在智能网联汽车的时代取得胜利的。然而要成为这样的公司,车企就一定要组建自己的网络安全防护团队,建立完整的网络安全防护体系。否则,是没有办法主宰自己企业和产品的命运的。
过去,一些大型国企都建有自己的职工医院;未来,我觉得大型车企更需要建设自己的数字医院。而且这个医院要不停地给企业进行体检,以确保企业能够健康成长。从源头上讲,这不仅需要车企领导者具有网络安全防护的正确认知,而且需要他们真正理解数字化的本质、形成数字化的思维方式,进而推动企业逐渐形成数字化的基因。这就是一个更大的话题了。
数字安全防护最重要的不是硬件、软件,而是服务
赵福全:刚才我们谈到智能网联汽车,谈到OTA,谈到与汽车企业和产品相关的各种网络,应该说,汽车产业数字安全防护的商机实在是太大了。我想您作为领域内代表性企业360的创始人,完全有理由为此感到激动。当然,面对汽车数字安全如此规模庞大的需求,恐怕只靠360一家企业是远远不够的。
周鸿祎:是的,肯定不能只靠360。虽然我们已经取得了一些成果,包括帮助多座城市建立起了数字安全空间或者应急响应中心。现在几乎每座城市都有物理上的应急系统,例如哪里煤气爆炸了,哪里被水淹了,哪里断电了,城市应急系统都能做出相应的快速反应。而未来城市将是高度数字化的,因为城市经济将由数字经济主导,城市中的产业也都是数字化的,这样一来城市必然会成为网络战的焦点。这就需要在物理应急系统之外,建立起城市的数字应急系统。
和企业的情况非常相似,我们在建设城市数字安全空间或者响应中心的过程中,重点同样是帮助城市做好顶层设计,组建和训练防护团队,并与该团队一起开展实战化的模拟攻防演练。也就是说,我们并不是要把某种安全产品卖给城市,而是要把我们的知识库、数据库以及防护经验对城市开放,包括提供一些高水平的网络安全服务专家或白帽子黑客,以帮助城市快速建立起一套行之有效的数字安全防护机制。
将来我希望把这套“授人以渔”的方式充分复制到汽车产业,而且不只限于360自己的资源,我们还要把行业内其他网络安全服务公司以及个人都组织起来,为汽车企业提供其所需的安全防护支持。同时,我希望我们能为越来越多不同体制、不同规模、不同发展阶段的汽车企业提供服务。因为只有随着客户群体的不断扩大,我们自身网络安全防护的经验才能越来越丰富、能力才能越来越强大。
据我目前观察到的情况,恐怕汽车行业要建立正确的网络安全观念还需要一个过程。一方面,车企对网络安全的重视程度普遍不足,不少企业虽然在口头上也表示非常重视,但并不愿意真正投入资金。另一方面,我前面也讲到了,即使一些企业愿意投入资金,也没有花在建设团队和培育能力上,而只热衷于购买安全防护设备,总觉得唯有添置了固定资产,安装了防火墙,心里才踏实。可这些防火墙的实际使用效果非常令人怀疑,甚至有的企业在防火墙报警后也没有人来处理,更没有人来研究防火墙为什么报警,后续如何避免。这样一来,防火墙根本就是形同虚设。
现在除了购买安全硬件,企业逐渐开始接受购买安全软件了,这也是一种进步。但是未来对于数字安全来说,最重要也最有价值的不是硬件,也不是软件,而是服务,尤其是高水平、专业化的服务。为此,企业一定要建立正确的安全观,清楚最应该把钱花在哪里。相应的,360要做的就是为车企提供数字安全防护服务,帮助车企找到各种漏洞,而不是把防火墙或安全软件卖给车企。
在这个过程中,又涉及到如何合理评估安全服务价值的问题。硬件或软件都是实实在在的产品,而安全服务似乎看不见、摸不着,即使找到了一系列漏洞,又凭什么说有很大的价值呢?对此,也需要企业形成正确的认识。要反过来想,如果这些漏洞被黑客抓住,侵入了企业的系统,将会带来多么严重的后果?!事实上,现在就有国际黑市在交易企业的各种漏洞信息,有的漏洞甚至能卖出几百万、几千万的价格。现在的情况是,很多企业平时不愿意在安全服务上花钱;等到网络真的被攻击了,才连忙请人来排查和处理,这时候就是花再多的钱也不在乎了。由于企业缺乏未雨绸缪的意识,结果最终还是购买了安全服务,但花费的成本却往往更高,而且企业已经蒙受了损失。
赵福全:周总这番话非常重要,希望企业都能听得进去。我理解这就像居家防盗:并不是说门锁越多就越安全,事实上,只要有一扇窗户没关好,即便在门上安装了5道锁也毫无意义,因为小偷还是可以溜进来。也不是说买足了安全设施就高枕无忧了,如果没有训练有素、能够及时响应突发事件的警察和安保人员,安全设施再好再多也是不够的。另外,对于网络安全防护,企业应该尽可能未雨绸缪,而不是坐待亡羊补牢,为此平时就要舍得在安全服务上进行必要的投入。
汽车安全体系应从行业层面上升至国家层面
赵福全:听了您刚才的分享,我觉得周总实际上是在强调一种系统性的综合安全观,而这与汽车产业一直以来的安全理念是完全契合的。汽车产业重视安全的传统由来已久,并且我们始终强调打造安全体系、做好系统防护,而不是只靠单一的措施或单方面的能力去保障车辆的安全。过去,我们从各个零部件到总成、再到系统、直至整车,层层进行质量把关和安全校验,以确保每辆汽车作为一个整体都是安全可靠的。这可不是整车企业自己努力就够了,而是要把所有供应商,特别是重点安全件如气囊、制动器等的供应商,都充分协同起来。既要确保单个零部件的绝对可靠,又要确保零部件集成后的绝对可靠。举个例子,气囊本身的功能可能不存在任何问题,但只要早弹出或者晚弹出半秒钟,就不会起到保护作用,甚至反而可能给乘员造成严重的伤害。今后,从综合安全的理念出发,汽车企业没有理由不把网络安全或者说数字安全也纳入到整个安全体系中来。由此,或许相关投入的问题也就迎刃而解了。
周鸿祎:您对汽车产业安全观的描述也启发了我,或许将来汽车产业在数字安全方面可以建立一种协同防护的模式。因为未来我们要面对一些有组织的甚至是有国家背景的黑客攻击,只靠一家企业单独应对,恐怕非常困难。即便是大型整车企业都有可能力有未逮,就更不用说那些中小型的供应商了。
所以,我们应该继承汽车产业协同各方力量共同确保产品安全的传统,集聚行业的力量来为各家企业提供数字安全保护。毕竟在万物互联的环境下,任何一家企业的系统一旦被攻破,都有危及其他企业安全的可能。在这方面,360愿意全力参与其中。同时,也希望工信部等主管部委能够从推动智能网联汽车产业健康发展的角度出发,牵头组织,把很多汽车及相关领域的企业都团结起来,共同建设国家或行业级的数字安全态势感知中心、应急响应中心以及联合研究中心等。
赵福全:我做个小结。未来随着人类进入万物互联的时代,所有的产业都将进入生态化发展的新阶段。而汽车产业由于涉及面广、复杂度高、连接主体多、关联影响大,将成为最重要的生态系统之一。正因如此,汽车产业的数字安全防护将是一项庞大的系统工程,其中整车企业要做的工作必不可少,但肯定远远不够。事实上,即便把汽车行业的力量都整合起来,可能也不足以确保万全。毕竟未来汽车生态将和交通、能源、城市生态融合在一起,我们必须集聚多个产业的力量,才能确保汽车产业和产品的数字安全,确保交通、能源和城市系统的数字安全,进而确保生产活动的正常进行和社会生活的稳定有序。
举一个简单的例子,汽车在充电过程中发生着火事故,可能是产品设计或生产质量的问题,但也可能是黑客侵入系统后加大了充电电压而造成的。后者更加危险,或将导致车辆爆炸,甚至引爆整个充电站。
从这个角度出发,我们谈到了要建立新的汽车安全体系。过去,汽车安全体系主要是基于各种硬件以及硬件的集成;而未来我们必须把汽车硬件、软件以及软硬件的融合都考虑进来,此外还包括OTA升级、与车辆连接的外部环境、各类企业的各种网络等等,所有这些都要纳入到汽车安全体系中。换句话说,我们需要升级原有的综合安全观。
那么,应该如何建立新的汽车安全体系呢?周总强调,企业只关注购置网络安全防护设备的做法是错误的,正确的做法是在外部资源的支持下,建立自己的网络安全防护团队,并不断提升团队的专业能力。另外,周总还提到一个重要观点,那就是网络安全防护永无止境,所以企业需要持续进行“数字安全碰撞试验”,即通过实战化的模拟攻防演练,尽可能减少黑客可以攻击的漏洞数量,并加强自身的应对措施。
总体来说,由于汽车产业的边界正在不断拓展且渐趋模糊,汽车安全体系也将不断扩大且日益重要。未来汽车安全体系不仅事关汽车产品、企业和产业的安全,而且还会影响国家信息安全、社会治理安全以及国防安全。所以,我们必须跳出汽车或者互联网的单一视角,站在国家和跨产业的战略高度,系统思考和布局未来汽车产业的数字安全体系。
