周鸿祎提枪策马,带着他的360政企安全集团冲向巨人
1
灯光昏暗,我在观众席坐等压轴演讲,周鸿祎上台了,穿着标志性的红衣。
果然,又讲“网络战”。
他说:“不能把网络安全行业当成一个卖货的行业,不能当成一个挣钱的商业,因为网络安全的使命最重要的,是保护国家的网络,保护国家的基础设施不被其他国家攻击。”
2021年ISC互联网安全大会现场
我听着他的演讲,思绪回到三年前。
那时,我第一次从他口中听到网络战三个字,非常惊讶,因为现场坐着许多媒体,而网络战之类的词以前很少放在明面上公开聊。
我还记得他当时说:网络战已经不宣而战,我们应该有作战意识……360的对手是APT攻击(高级持续性威胁,一般针对国家政要、企业高管和国家关键基础设施)、网络犯罪和网络恐怖主义。
2019年那次我拍的照片
我那时很疑惑,即便高级黑客组织确实存在,时不时出来搞个事情,比如当年美国和以色列用来破坏伊朗核设施的“震网病毒”,再比如泄露出大量黑客工具而间接促成WannaCry勒索病毒事件的“方程式组织”、“影子经纪人”等等。
可是,那也没有严重到网络战的地步吧?而且360只是一家民营的互联网企业,又有多大的能力,能帮上什么忙?
起初我觉得他是杞人忧天,是唯恐天下不乱,但后来,当我更加了解周鸿祎和360的过往,试着站到他自己的角度来看这件事,我开始慢慢理解他。
周鸿祎的心里始终有一个简单的英雄梦、将军梦。
跟任何一个看了《奥特曼》,幻想自己有一天也变成奥特曼,打怪兽拯救世界的小男孩没什么两样。
周鸿祎小时候
2
周鸿祎出生于1970年,一部名叫《巴顿将军》的历史战争片也在这一年出生。
电影讲的是反法西斯战争时期“血胆将军”乔治·巴顿在局势不利的情况下力挽狂澜,扭转战局的故事,这部电影在出品第二年就拿下7个奥斯卡大奖。
电影《巴顿将军》剧照
“我们这一代是看着打仗电影长大的,喜欢打枪,有英雄情结。”
2007年360公司刚刚起步,周鸿祎向采访他的记者透露:“我觉得自己就是一个战士,有点像巴顿将军,喜欢打仗,闲不下来。”
或许是受英雄主义的影响,周鸿祎的性格和行事风格的确能看到巴顿将军的影子,不论是正面的(比如充满激情),还是负面的(比如脑洞过大、怼人不留情面等等)。
对一个纯粹的战士而言,钱,只是打败对手的副产物。那次采访,周鸿祎向记者感慨:“这个社会很现实,最后以你挣了多少钱,公司上没上市、做没做大为考量标准。如果你没有达到这几点,很快就会被遗忘,因为历史总是由成功者来呈现,所以,我必须要获得世俗的成功。”
后来,他屡次卷入战斗,每一次对手都在体量上强他数倍,他有时打赢,有时打输,时常困苦,却乐此不疲。他说自己喜欢《黑客帝国》的主角尼奥,因为尼奥面对强大无数倍的敌人毫不畏惧,敢于改变自己的命运。
他也确实是个真·军迷,经常带着员工去真人CS训练基地集训,全副武装,列队整顿。不少人证实,周鸿祎打得一手好枪,水平是“教练级”。一位员工说这辈子都忘不了第一次去训练基地,被自己的老板拿着彩弹枪一顿扫射。
网上找的一张照片,周鸿祎教员工打手枪技巧
我回过神,台上周鸿祎还在继续演讲。
他说:“大家知道,360是做免费杀毒起家,它带来的好处是我当初没想到的。那时年轻气盛,一心想要干死竞争对手,就做了免费,没想到互联网用户特别喜欢免费的安全。”
当年“免费安全”模式确实带给360带来庞大的用户量,同时也带来巨大的技术压力。
试想,一个山村,蟊贼肆虐,原先的镖局收费替人看家护院,忽然新冒出一家“360镖局”,说我来免费帮大家看家护院,打山贼,村民们高兴坏了,都满心欢喜请他上门。
这时360镖局意识到:自己的竞争对手并不是其他镖局,而是这些穷凶极恶的山贼,因为哪怕把所有镖都抢来,也得真能防得住山贼才行啊!
由此,一场长达十几年,并且仍在继续的攻防阵势拉开帷幕,360遇到了真正的对手——病毒木马黑色产业链。这个对手是如此强大,永远也打不绝,还会不断进化,相互结盟。
当时最主流的杀毒方式是,用户电脑里存一份病毒特征库,扫描时挨个文件对比,发现符合就报毒,然后每隔一段时间更新一次病毒库,把新发现的病毒特征码加进去。
“那时做安全360是半路出家,没有传统的病毒库技术,所以我们是第一个把安全行为数据搜集到云端做分析的公司,有点像乱拳打死老师傅。”演讲台上的老周继续说。
因为当时大部分网民都装了360,所以黑客们研发出新病毒木马和攻击手段总要找一台电脑,装个360来测试,如果360告警,就改程序,直到360不告警才能拿出去用。
就这样,黑产们天天琢磨着怎么干掉360,360天天琢磨着怎么不被干掉,于是砸钱,招人,升级技术,加服务器,建数据中心。
在不断对抗的过程中,360无意之中招揽到一批优秀的“白帽子黑客”军团,累积了全国最大规模的安全大数据和知识库。
“360的商业模式比较奇葩,我们挣着最庸俗的广告钱,每年在安全上投二三十个亿用于核心技术研发和高水平团队建设。”周鸿祎站在台上说。
让他们当初意料不到的是,这些积累竟能用来帮国家发现来自境外的高级黑客攻击。
2014年,他们“意外”发现高级黑客组织“海莲花”,之后十几年,360发布了46起APT(高级持续性威胁)报告,披露境外黑客组织针对我国关键基础设施发起的网络攻击。
截取自2020年360发布的APT报告
也许是因为透过这些事件看清了国际网络安全局势,2016年,360从美国退市,重回国内A股。
三年后,也就是2019年,周鸿祎开始喊“网络战”,宣布进军政企安全,他说,“不挣钱也认了”、“这件事非我莫属”、“能力越大责任越大”。
站在吃瓜群众视角,如果不了解360和周鸿祎的过往,很容易觉得他像是“忽然”从互联网领域跳出来做政企安全,喊“网络战”也很突兀,还声称这件事“非他莫属”,这也太狂了吧?老牌安全厂商都还没发话呐!
但如果你站在周鸿祎的主观视角来看,你也会和他一样觉得360做政企安全具备天时地利人和,是“百年一见的练武奇材”。
那些年,国内纯粹的安全公司赚得并不多(跟互联网公司相比),没那么多钱砸进安全大数据,也没办法像360这样不背业绩要求地招揽那么多专业及“野生”的网络安全研究者。
互联网公司虽然很有钱,却又不做安全业务,没有安全积累和攻防能力。
放眼望去,唯独360两边都占。
3
依照周鸿祎的说法,网络战不可能靠某一种武器取胜,必须要体系化作战。他想用360积累多年的全网安全大数据、攻防能力,为城市、行业建起一个个“安全大脑”。
在局部(比如一家政企单位内部),用“安全大脑”把原本各自为战的传统网络安全设备连接起来,让它们能协同作战。(就像是让你家里的智能音箱、扫地机器人、智能空调能联动一样)。
在全局(比如全国范围或者一个省市或者一个行业),把广泛分布的安全大脑作为一座座烽火台,形成一个相互连通的预警网络,让360安全大脑成为中国网络安全空间的“预警机”和“反导系统”,提升整个国家对网络攻击的安全应对能力。
演讲的最后,他设想了一个具体场景:
“北京市属某个单位在自己单位里发现一个可疑的样本,不能确定,就把这个样本的访问IP地址提供给北京市的安全大脑。
北京市的安全大脑可能不了解这个IP,就问中国移动:你看见了没有?中国移动又问中国电信,后者说,这个IP比较可疑,结果一查360安全大脑的历史数据,发现是一个僵尸网络控制节点,所有信息综合研判,认定为威胁。
于是上报到网信办或公安部门,最后不仅北京市这个单位封堵了这个IP,全国所有的地区、行业的安全大脑、所有的防火墙、杀毒软件等网络设备都收到指令,在某一个端口封杀某个IP,这样就能瞬间把这个威胁给干掉。”
他说:“如果真正实现这样的分布式反导网络,以后任何强国的网络攻击,在我们的网络里,再像现在这么舒服就很难了,我们国家的整个网络安全水平就会有质的提升。”
演讲结束,我顺着人流缓缓走出会场,不知如何评判,因为他的这套“新战法”确实听起来跟如来神掌一样,既神奇又玄乎:这真的能实现吗?
4
带着这个疑惑,我当天下午跑去听了叶健的演讲。
叶健是360集团COO兼360政企安全集团CEO,换言之,是周鸿祎提出的“网络安全新战法、新框架”的第一执行者。
这不,网上就有一张照片,是360政企安全集团全体员工大会上,周鸿祎将360政企安全的大旗交到叶健手里。
再来一张高清的,认识一下:
叶健
叶健的演讲接近半个小时,非常专业,就不展开说,我用大白话来简单概括和翻译一下。
按照他的说法,360的新战法核心在于三大能力:全网安全态势+实战方法论+新一代安全能力框架。
首先是“全网安全态势”。
360跟病毒木马产业链对抗了十五年,积累下非常多的安全数据和知识,其中包括:全网最大的程序文件样本库(超过290亿个)、 全网最全的程序行为(超过22万亿条)、最大的存活网址库(每天超过800亿次活跃网址访问记录)、最全的全球域名信息库(全球90亿域名信息)等等。
这些数据,再加上能处理它们的引擎,比如攻防安全引擎、行为分析引擎等等,就构成了360的云端安全大脑,可以帮助国家有关部门掌握全网安全态势。
然后是“实战方法论”。
在不断跟黑产、黑客组织对抗的过程中,360沉淀下来许多实战的方法论。比如,他们把网络攻击划分成14个战术和614个技术,名曰“网络攻击知识图谱”,相当于是跟人打架打得多了,把武功招式拆解出来,梳理成了一本本武功秘籍,下次再遇见,就能见招拆招。
再比如“网络安全能力成熟度模型”,相当于一个打分表,可以用来判断一个组织的安全能力。
360要怎么把这些数据、实战方法论和安全能力输送给政企单位,帮他们提升网络安全水平呢?这就得靠第三个:“新一代安全能力框架”。
简单来说,这个能力框架里有三种角色:
一个是“安全建设施工小组”,帮政企单位盖房子,哦不,是建造“安全基础设施”,比如实战攻防演练用的实网靶场,收集漏洞用的漏洞众测中心,以及日常用的人才培训中心、安全运营中心、威胁情报中心等等。
一个是“运营应急小组”,日常就帮忙做做检查,看有没有入侵的痕迹,黑客来找麻烦了是吧?他们挡在客户面前摆平问题。
一个是“服务赋能小组”,用游戏术语就是团队的“奶妈”、“辅助”,专门给队友加Buff,让他们战斗力爆棚,一个打十个。用什么来加Buff呢?也就是前文提到的“安全大脑”的数据和知识。
当然,这些粗浅的比喻只是为了帮助大家理解,叶健在演讲里用的词显然更专业,比如这三个小组各有一个专业名词,叫:“安全专家运营响应体系”、“安全基础设施支撑体系”、“安全基础服务赋能体系”。
假如一家政企单位内部原本已经在用其他安全公司的服务,没有关系,同样可以用360的数据和实战方法论给他们加Buff,提升整体战斗能力。
因为在共同的敌人(网络攻击)面前,大家都是兄dei~
下面这张图是他的演讲PPT,仅供安全行业相关人士参考,普通读者感受一下就好~
这套框架可以针对不同场景来落地。比如,可以按照行业分成工业互联网安全、车联网安全、能源互联网安全、智慧城市安全;按照区域又可以分成贵州安全大脑、郑州安全大脑等等。
总之,依照叶健的说法:360靠着“全网安全态势”、“实战方法论”和“新一代安全能力框架”这三个核心能力,服务国家安全、行业安全、城市安全和企事业安全。
5
说了那么多理论,战略和实践终归要落到具体的人身上和鲜活的故事里。
所以趁着ISC互联网安全大会的三天时间,我在现场撩到了几位360政企安全业务线的大佬,想听听他们是如何一起“开疆拓土”的。
他们有的原来是360的竞争对手,后来并入360政企安全;有的是老员工,中途离开,后来又受到感召回来;有的见证了360政企安全建立的全过程。
他们分别是:
360安全大脑技术负责人高瀚昭。
360安服负责人田阗。
360靶场负责人张锦章。
正好分别对应上面说的三个体系。
他们每个人的故事看似独立不相关,却共同勾勒出360政企安全的真实面貌。
接下来是听故事时间~
6
第一位撩到的是高瀚昭,三年前浅黑科技写过他(详见:瀚思科技高瀚昭:把人脑塞进机箱的人),当时,他的身份还是瀚思科技的创始人。
2020年,瀚思科技并入360,如今他是360安全大脑技术负责人,360政企安全集团高级副总裁。
他的这部分属于:
我先歇会儿,让高瀚昭跟你聊会儿吧~
以下内容整理自他的叙述,限于篇幅,有删减。
高瀚昭
高瀚昭:
我负责过很多产品,但是在2014年,我忽然意识到一件事:产品解决不了用户的安全问题,必须要通过汇集数据去做分析,才能真正解决企业的安全问题——产品只是数据的载体。
你想象一下:交管局怎么知道路上堵车,不就是靠马路上分布的摄像头采集的数据?企业里面也一样,企业里所有主机上发生了什么事,主机跟主机之间的通信状况我都知道,再加上我对一次网络攻击会发生哪些状况有一个概念,一个知识加两个数据,就能清楚企业里的安全状况。
因为相信这个大逻辑,当时国内又没有任何一家厂商做这个事,所以我就从趋势科技(国际老牌网络安全厂商)出来,创立了瀚思科技。
理想很丰满,等实际做起来,才发现非常困难,因为任何一个设备能观测到的数据都是有限的,所以要知道每一个设备、每一个应用都干了什么,得把各种设备上的数据汇聚起来,用人工智能+人工来做综合分析。
但是你想啊,各个厂商的设备,各种各样的应用,第一,他得数据接口开放给你,第二,你得认识这些数据的格式,可当时不仅没有统一标准,很多公司的产品连个文档都没有,只能靠连蒙带猜才能知道它究竟在写什么东西。
好不容易解决了这个问题,又发现有一个根子上的问题解决不了:误报,或者严谨一点说是:“检测能力和误报的平衡”。
误判的一个重要原因是:很难判断一个行为是来自外部的还是内部的。
打个比方,一个人从东门进小区,过了半小时,扛着个电视机从南门出去,你判断他是小偷,让保安给摁住,结果人家其实是业主从外面请的搬家公司——你误判了。
如果你事先就有一个知识库,认识整个市里所有的搬家师傅,就不会误判。简而言之,同时能结合企业内部和外部数据一起分析,效果会好很多。
但有效的外部数据从哪来呢?
讲到这里先卖个关子,我们话分两头,扯一下360的故事,360当年干了一件很“非主流”的事,叫“云查杀”。
早年间,主流的杀毒方式是本地查杀,本地的杀毒引擎有一个庞大的病毒特征库,挨个比对电脑里的文件。
一旦扫到病毒,就把病毒样本传到云端,分析出病毒特征,加到特征库里,分发给所有的用户。
所以每过一段时间,用户就要更新病毒库,以维持查杀能力。
但360的云查杀不是这样,病毒特征库只放在云端,直接把用户电脑里可疑的样本文件传到云端去自动匹配、分析,判断是不是木马病毒,用户根本不需要下载和更新病毒库。
如果把电脑杀毒比作考试,大家都在考试,别人是带着一套“新编病毒特征百科全书”进场,一边考试一边找答案,360云查杀是直接带着手机,拍一下试卷,联网搜答案。
当然,它并不是见着一个文件就往云上传,有一套独创的白名单机制。这个就更神奇了。
别的杀毒引擎用的是黑名单机制,相当于给坏人做通缉令,360反其道而为之,把所有正常的文件特征提取出来,做成白名单,相当于给每个好人都发一张好人卡,如果一个文件没在白名单里,那就认为可疑。
这在别的安全公司眼里,是一件非常离谱、不现实的事,简直太奇葩了!
我们当时觉得,正常的文件实在太多,怎么可能记录得过来?假如一个文件只要不在白名单上就可疑,肯定会出现非常多的误杀。
但是我们没料到,360的白名单很快就积累到“如果有一个文件连我都不认识,那多半就有问题”的程度,不怕误杀。
就好比中国十几亿人,如果只有一半人有身份证,你没法用它来抓坏人,但是当每个人都有身份证,这时如果一个人没有身份证,就显然很可疑。量变引起质变。
360发现不在白名单的可疑文件,不会立刻说它是病毒木马,会放进云端的沙箱里,在一个模拟环境里观察它的后续行为,如果还不能确定,就辅以人工分析,总之,云上有一套分析研判的流水线。
我们以前全球其他任何一家安全公司都不敢这么干,因为这个数据量实在太大了。
这就是安全公司和互联网公司思维模式的不同之处,安全公司总是会考虑成本:互联网公司从不会担心数据大——你什么时候看百度谷歌担心过互联网的网页太多?360最早也是做搜索出身的,他们认为数据量大,完全可以用技术解决,可以用花钱来解决。
2020年元旦前后,360开始跟我谈全资并购。在那之前,我对360的印象可能跟一般人差不多:好像有很多的攻防专家,能挖很多漏洞,威胁情报也很厉害,但是,好像没什么to B(面向企业)的产品。
我纠结了好几个月,要不要并入360。
老周说的一句话比较打动我,他说:“全国一张网互联互通,帮国家建安全大脑,未来每个部委都有安全大脑,每个行业有一套,每个城市有一套,再打通起来,这样中国的安全水平会上一个台阶。”
那时我也隐隐感觉到,360累计了十多年的安全大数据、知识库,也许就是瀚思求而不得的外部安全大数据,能帮我们突破天花板。
但即便是有心理准备,当我真正看到360后台的数据量,还是被吓到了。
网络资产、情报、漏洞、样本、网站、域名…… 我震惊于数据之多,极其丰富,又分得特别细致,比如漏洞有专门的漏洞攻防知识库,情报有情报库、流量分析数据库、样本数据库、网络资产数据库……分门别类。
一个简单的IP地址,只有几个字节,但是背后的标签系统数据量可能非常庞大——它历史上变更过多少次域名,IP攻击过哪些部门,跟谁发生过联系,可以展开成一张巨大的图。
这背后有一套,哦不,不止一套,有很多套非常复杂的系统,把这些数据给真的能串起来,用起来。我设想过安全大数据的作用,却没想到数据打通之后的规模效应有那么大。
现在,360安全大脑有两种使用方法:
一是直接使用360的云端安全大脑,像云查杀一样,在用户准许的情况下,把数据放到360的云上做安全分析,你把文件送给我,我告诉你是黑还是白,你把IP给我,我告诉你是好还是坏。
二是帮客户在本地建一个属于他们自己的安全大脑。
你叫它知识图谱也好,安全能力分析也好,态势感知也好,威胁情报的基座也好,或者你也可以简单地理解:瀚思之前那套技术,跟360云端安全大脑的能力完成一次合体变身。
“安全大脑体系”可以串起客户现有的各种安全设备,汇聚数据,用人工智能等技术做综合研判。
最关键的是,我们会从360百亿级别的安全大数据中,“裁剪”出一部分跟客户有关的数据,以订阅的形式“灌装”到“安全产品”中,并以“基础设施群”的形式落地在客户处,形成完整的安全大脑体系。
“裁剪”的方式可以根据客户实际需要的安全等级和检测能力,可大可小,也有很多种维度。比如360安全大脑存了十几年的全网态势,但是客户可能只需要三个月的,他也许不需要全网的,只需要跟自身行业相关的特定数据。
内外部数据一结合,最后能达成一个什么效果呢?我打个比方:
以前,你一天可能收到100万条的防火墙日志,防火墙告诉你:100万条里有99万条你都不用管,剩下一万条里,有一百条可疑,建议你看看,剩余的9900条,我也搞不太明白,有空你就去看看,没空就算了——以前防火墙数据只是能作为一个大致参考,因为单个设备都是盲人摸象。
现在,安全大脑综合所有信息,直接告诉你:今天就这10个问题,你赶紧去处理吧,别的暂时都不重要。用户去验证这10个,会发现果然都有问题。
对了,给你分享一条冷知识:以往,平均每一个甲方要采购47个不同厂商的安全产品,这还是国外的统计数据。
从去年下半年开始,我们去拜访客户,包括地方政府、监管单位也都开始说:“我们已经买了很多安全产品,我们真的不想再买更多产品了,我们想搭建自己的数据池,自己的安全能力。”
我心想,这太适合360了,因为我们本来就不是要卖产品,重新发明个轮子没什么意义,再造个防火墙,造个IDS入侵检测系统,别人都做了8年、10年了,术业有专攻,360最擅长的还是汇聚数据做安全事件分析。
客户手里的那些产品,零零散散用了这么多年,现在用安全大脑可以先把它们重新激活,相当于折旧资产再利用,未来再一步一步建设出成体系的安全能力。
当一座座“安全大脑”建起来,它们相互连接,又能发生神奇的反应。
打个比方:贵州有一个贵州的安全大脑,360帮他运营,360的安全专家天天在看规则,原始数据完全存放在贵州,肯定不会让360拿走,但是发生了什么事,这些“知识”我们是知道的,可以为我们其他的产品所用。
假如今天出现某一种网络攻击,用了一个我们以前不知道的一个技术,或者很特殊的攻击手法,或者某个我们不知道的漏洞,这就是一个知识。
我们帮客户解决完问题,发现:“哦?原来还有这么个漏洞”,这个“知识”我就可以带回来,不涉及到任何客户数据,用这个知识自己尝试复现,去帮其他客户应对新出现的攻击。
这件事最难的不是技术,而是环境氛围,如果大家都还是“本位主义”,只顾着自己,不愿意去相互帮助,最后的结果一定是大家都吃亏。
未来,也许还得靠类似行业主管部门去推动这件事,这并不是个技术问题,技术上真的一点问题都没有,比如数据可以不放在360,而是放在监管单位、公安部门、网信部门,由他们去通报,去管理。
当所有的系统、网络、数据、业务、用户都连结在一张数字网络上的时候,我们面临的是一个“开放的复杂巨系统。
安全也需要一张网,能够互联互通,互相输出能力,真正构建起“分布式国家网络安全大脑”,以此形成国家网络空间“反导防御系统”,护航数字时代的国家安全。
7
我撩到的第二位大佬是360政企安全集团副总裁田阗。
他在安全行业干了二十多年,是一位老360,也是360追日团队的创始人,中间去阿里巴巴工作了几年,2019年360政企安全成立,他受感召回360,现在负责360的安全服务体系。
这部分属于:
对了,田阗的“阗”字念作“tian”(自从知道了这件事,再看他总有一种“反差萌”的感觉……)
田阗
以下内容整理自他的叙述,限于篇幅,有删减。
田阗:
2010年那会儿,我跟小伙伴们一起做QVM杀毒引擎,这是国内第一个启发式静态查杀引擎,跟“云查杀”部门一起对抗病毒木马产业链。
我记得很清楚,当时每天能看到1500万个新增恶意样本,我们花了一年时间,愣是给干到每日新增500万样本——整整干掉了一个数量级。
我印象比较深刻的一个木马叫 Hook007,一个新版本出来,我们能直接定位到它从哪台机器上出来的,因为它做出来新版本木马,总是要用360先试一下,到后来,病毒连它的测试机都出不去,就让我们给干掉了,很多木马家族愣是这样给我们杀没了!
90年代,还有不少人纯属为了兴趣爱好和显摆技术写病毒,互联网时代就很少了,都是为了搞钱。我们当时不能说是把所有病毒都杀绝,但是无限提升了对抗成本。
毕竟,当病毒制作者投入的时间成本跟赚的钱不成比例,他自然而然就不会做了。
跟这些病毒木马对抗的过程中,我们累积下来大量的攻击手法、样本、分布情况等安全数据。那会儿“云查杀”特别吃服务器资源,但我们真是完全不计成本地投入。
我记得当时跟老板申请服务器,公司都是预算制,但我们核心安全部门不需要,要多少给什么。比如某一次要加500台服务器,直接就买,根本不用走预算这个概念,现在回想起来还是挺牛X的。
有人可能疑惑,打小蟊贼、黑灰产的技术和数据积累,怎么能用来抵御国家之间APT网络威胁?
我这么说吧,就拿PC为例,这么多年过去了,还是以x86和x64体系为主,它的操作系统和计算机的基础架构就决定了不会有什么翻天覆地的变化,做了那么多年对抗,最后发现手法其实就那么多,技术都是通的,只是不断地排列组合罢了。
我承认,APT高级黑客组织肯定厉害,跟小蟊贼有明显区别,它会用到更多技术手段,而且有明确的组织和针对性,但万变不离其宗,再复杂的组织,工具也是由一个个模块构成的。
所谓的APT高级持续性威胁,并不是一个攻击样本,它可能是成千上百个样本,几十个、上百个模块、手法组织到一起。就像一个个原本分散行动的地痞流氓自己干不下去了,就形成组织,或投靠更大的犯罪团伙,有目的性地搞事情一样,但是具体的方法、工具、思路,之前大多都出现过。
360作为防守方,也是一点点过渡过来的,一开始跟小毛贼对抗,后来上升到跟有组织有目的的犯罪团伙对抗,然后是APT。
通过我们的安全大数据做溯源,有时从一个点进去,可以拼接出整个全貌。
所谓的高级黑客攻击者有多狡猾?我打个不太恰当的比方,当一个人具备了所有坏人的特质,你一眼就能看出来,但是如果这些特质分散在十个人身上,你单独看每个人,都不像是坏人。
第一个人只是过来望风,看看你在没在家,第二个人只负责过来做个记号,第三个人找保安问路吸引注意力……每个人单独看都正常,但是合在一起完成了一次有组织的攻击。
所以我们有很多关联、分析数据的维度,比如时间维度,如果只盯着某一小段时间,怎么也看不出问题,但是把视角拉到几年前,一切豁然开朗,因为这场网络渗透可能持续了好几年。
从2014年360追日团队建立开始,我们靠着这些安全大数据,跟APT黑客组织做溯源对抗,产量非常高,三年间我们发现了将近40起针对我国关键基础设施的攻击,有的以APT报告的形式对外公开,有些不太适合对外公开,如果再加上一些溯源到一半,仍在继续追踪的,那就更多了。
这些APT的技术点,除了靠0day漏洞(新发现的漏洞)去打的例外,其他基本也都是我们以前发现过的病毒木马和恶意行为的排列组合。
比如前面说到的病毒家族Hook007,喜欢用一招“白利用”。简单来说,就是你的操作系统的某个文件,一定是在360的白名单里,病毒伪装成系统文件需要调用的模块,当系统跑起来之后,自然而然把它给带起来,以此来绕过白名单机制。
这个“白利用”就属于一种通用套路,各种黑客团伙都可能会用。
2019年360进军政企安全,我受到感召,从阿里巴巴回到360,负责组建安全服务团队,当初我最大的顾虑的是:老周干这件事,到底有没有想好?
但是后来我的这个顾虑打消了。我相信老周做政企安全这件事,不是为了钱,起码不全是,否则以360的现金流,完全可以收购几家大的安全公司,继续卖“盒子”,一样可以赚钱,何必费这么大劲,做这么一套网络安全大脑的体系,去提升国家安全?在我眼里,老周还是有家国情怀和担当的。
我和病毒木马,和网络攻防打了十多年交道,回到360却选择做安服,而不是继续在安全能力中心,一来是给自己一点挑战,二来是之前的工作经历让我意识到,技术永远不是孤立存在的,永远帮别人解决实际问题。我希望我的技术和经验积累可以帮到广泛的人群。
回来之后,第一件事就是招人。我们用了不到5个月时间,拉起一支近200人的团队,回想起来真是相当不容易,多亏了兄弟们帮忙,硬生生靠着各种渠道、朋友圈找到这些人才。
虽然团队组建得快,但我们绝对没放水,也没有瞎给钱。不少人过来,工资没多少涨幅,甚至有人降薪也愿意来,大家还是认360这个牌子,觉得在这能学到东西,少拿点就少拿点。
万事开头难,2019年那叫一个风风火火,真是什么都干,不光做安服,还得干交付的活,偶尔还得做一些定制化开发,一边招兵买马,一边帮着销售去抢客户,人不多,愣是帮着销售抢了大量单子回来。
有客户刚开始也质疑我们,说360技术是牛逼,但是360是一家to C(面向消费者)的公司,我做得了to B的活吗?我们也不争辩,直接用实力证明我们可以。
凭心而论,传统安全公司的老一套to B做法也是有问题的,客户买了七八家厂商的安全产品:防火墙、网闸、杀毒客户端,结果各干各的,相互之间没有配合,客户不一定真正用得起来。这也是为什么360做安全大脑,用数据来赋能这些设备,让“手手脚脚”可以发挥最大的作用。
简单来说,360的安服有两种服务模式,一种叫“安全代托管”,一种是“安全能力共建”。
第一种“代托管”,顾名思义,把网络安全托管给我们。
我举个实例,某个省会城市的人民医院,他们的情况是:之前买了一堆安全设备,没人会用,也没人知道用了以后对整个医院有什么帮助,安全设备每天报警几百个,医院自己的人分辨不出来,他们虽然有IT运维,但IT运维只负责保证设备稳定运行,并不清楚安全设备警告的具体意义。
他们担心医疗数据泄漏,担心被网络勒索导致业务中断,也怕暴露出安全风险,被监管单位通报批评,领导担责,这都是很实际的问题。
我们到了以后,帮他们“翻译”这些安全设备出来的警告到底有什么意义,有多大的影响,究竟对你的业务会不会产生损害。
之后,再对医院的IT设备和安全设备做个梳理,做几次实战攻防演练,出报告,告诉他们有哪些风险。
最后出一整套安全运营方案,一期二期三期,每一期解决不同的问题,持续运营,让他们的安全水平每一期都提升一个阶段。
第二种“安全能力共建”,跟客户共建安全能力。
典型的客户是某大型银行,他们本身已经有自己的安全团队,而且能力不弱,我们就根据具体情况,帮他们查漏补缺,以360的数据和攻防能力优势,向他们输出我们的攻防实战和数据能力。
比如,我们会跟360网络靶场联动,帮客户做实战攻防演习,会跟360安全大脑联动,教用户使用里头的安全大数据来发现和处理威胁。但是这块说起来就太细太复杂了,因为不同的客户情况不一样。
如果你要问360的安服和别的公司安服有什么大的区别,那就是我们不搞“人海战术”,走的是精英化路线,我们要做“特种作战部队”。
市面上有些安全公司靠“人海战术”,安服人员很多,他们走的海量“普通士兵”的路线,构成一条安全的基线。
2019年到现在,我们光是“秀肌肉”的工作就做了两三千单,别人发现不了的问题,我们可以发现,客户觉得自己没问题,我可以证明有。
我们永远在安全攻防上要做到业内领先,道理很简单,如果你自己都没有能力,凭什么说你能保护别人呢?
全国各省会城市,我们都会放一支安服队伍,人数不多,就五到十人,保持精英化。每个城市都会有中小型的安全公司,360做安全生态,不去跟他们抢客户,搞通吃,而是一起去服务客户,这些合作伙伴都会经过标准化的培训。
平时,他们帮客户摆平日常问题,他们摆平不了,就远程呼叫炮火支援,360的特种部队出马,远程支援或者直接去现场。
这样一来,我们自己减少一些管理成本,也给客户省钱。
不屯兵,我们就不会有“卖人”的压力。
有的公司招了几千个安服人员,这些人一天不派出去,工资、福利等都是公司的成本,到头来,业绩压力就会逼着他们把人往客户那里“硬塞”。
保持精英化,既可以让我们在能力上维持最优,又可以解决客户最紧迫的问题。
未来,我们将作为先锋特种部队,冲刺在保卫国家安全、行业安全、城市安全和企事业安全的前线。
8
第三位大佬是360网络靶场负责人 张锦章。
这部分属于:
网络靶场本身就是一个典型的“安全基础设施”。
张锦章
以下内容整理自他的叙述,限于篇幅,有删减。
张锦章:
360网络靶场的故事始于2016年。
当时,国家监管单位组织了一场网络安全攻防实战演习,之后这个项目的名字响彻整个中国网络安全行业,几乎无人不知。
我正是2016年加入的360,负责重大项目管理工作,当时接到任务,为这场演习提供靶场平台技术支撑,我记得当时我们不到十个人,花了不到两个月时间,就搭起出一个实网靶场平台。
跟现在比起来,当时那个平台实在过于简单甚至简陋,但它却成了360网络靶场故事的开端。
为了避免误会,我必须得先澄清一下“网络靶场”的概念,因为市面上有三种东西都叫网络靶场。
一种是实训平台,主要用来做培训,学员们上完课,在仿真平台上虚拟出一个场景让他练习。
一种是虚拟靶场,比如某个大型央企,按照它真实的网络,一比一构建出一个虚拟网络,但是花费的成本可能只有真实的千分之一,因为可以用虚拟化技术在一台机器上跑十台或者一百台虚拟机。
这种虚拟靶场主要用来验证攻击,一个病毒、一次攻击、一次老设备升级导致的危害究竟有多大,可以直接在虚拟靶场里试一试。
另一种是实网靶场,里头的目标都是真实的,打也是真打。
就像现实世界的狩猎场,在真实的野外环境里围出一片区域当狩猎场,里头的鹿、野猪都是真的,枪也是真的。这种主要用于网络安全实战攻防演习。
听起来,是不是感觉实网靶场最简单?只要圈出一片区域,然后随他们去打就好了?这么想就大错特错了。
网络安全攻防演习跟现实世界的军事演习一样,要真打,否则达不到演练效果,但是假如完全没限制,又很容易打出事故,所以实网演练靶场的第一个目标是:安全可控。
其次,实战演练不能打完就打完了,得复盘,总结出经验教训,所以第二个目标是:攻防知识的沉淀。
简单来说,我们做了一个靶场云平台,实战演习开始之后,所有攻击队队员都要接入平台,每个队员相当于得到一台可以远程访问的虚拟机,攻击队只能通过这台机器去发起攻击,队伍之间完全隔离,不能相互通信,全程所有用到的工具、攻击流程都会受裁判的监控,攻击得分之后,攻击队也必须向裁判提交一份报告,讲清楚是怎么打的。
我们会给攻击队限定一个目标,比如某个核心业务系统,但不会限定攻击路径,攻击队可能从任何方向打进来,四处找跳板。
整个过程中,平台必须要做全流量监控,并且实时分析攻击行为,确保演习方的正常业务不受影响,防止有人“为了抓一头鹿,直接烧掉半座山”。一旦发现异常,平台要立刻处理,比如切断网络通道等等。
一场攻防演练结束,我们要对整场演习进行统计分析,包括攻击方法、工具、漏洞武器。当然,涉密的实网演练,我们会直接把整个“录像”的密钥交给有关部门处理。
参加这场实战攻防演习的,都是国内最顶尖的网络攻防高手,你永远也想不到他们能使出什么怪招。
有一次,我们惊讶地发现,居然有一支攻击队在试着做虚拟机逃逸——他们想直接黑进靶场平台,拿到裁判权限,修改数据,或者借鉴其他队伍的攻击思路(抄作业)之类的。
折腾裁判和靶场平台的可不止攻击队,还有防守队。
防守方经常会“过度防守”。什么是过度防守?最典型,也最极端的情况是直接拔网线——“我直接断网,看你怎么黑进来!”
网上有很多攻防演练拔网线的讨论
但是许多情况下防守方没法拔网线,因为会影响业务系统的正常运作,这时他们就会祭出第二招:封IP —— 发现一个攻击源,直接把它的IP拉黑,不允许任何来自它的流量通过。
正常情况下,封单个IP是被允许的,但是防守队有时会发起大面积封IP,只要发现一个攻击源,直接封掉一整个C段的所有IP。
最开始,我们给攻击队分配的IP地址是在同一个网段的,结果其中一支攻击队被防守队发现了IP地址,防守队直接把整个网段的IP都给封掉,这下好了,别的队也没法玩了。
2018年那场,有攻击队不停地抱怨,说自己的IP被封,刚换了一个IP,一试,发现也是被封的。
当时我们压力真的非常大,短时间内找到大量公网IP资源并不容易,只好跟公司的各个部门“紧急征用”IP资源,结果导致那段时间360公司的许多IP在演习期间被大范围封杀。
有一天,我接到公司游戏部门的电话,对方吐槽:还得持续多久?什么,半个月?! 有两个省的玩家半个月都玩不了我们这款游戏,你知道损失多大么?
那些游戏一年给公司挣好几个亿,半个月两个省的人玩不了,这让我们团队确实压力很大,这件事倒逼着我们改进IP切换技术。
现在,我们提供给攻击队的IP都是完全随机的,找不到任何规律,再也不怕“大范围封禁”,而且可以做到随时切换也不影响业务。至于怎么做到的,暂时先保密,因为这属于技术壁垒之一~
讲到这,你可能已经意识到在整个演习过程,靶场平台有多难——既要安全可控,又要知识沉淀,左手要管住攻击队,右手要抗住防守队。
不仅如此,还得满足领导们提出来的各种需求。
比如复盘演习时,领导想知道某一段时间里,弱口令(过于简单的密码)占比是多少,放在以前统计这些零散数据是很麻烦的,所以我们现在写攻击报告都不是用的word文档,而是用标签化或者填表的形式,演习一打完,各类统计数据就出来了。
这些沉淀下来的数据和知识,也可以灌注到360安全大脑,用来解决实际情况中的安全威胁。
一场场实战演习下来,攻击队和防守队不断对抗,国内政企的整体实战攻防水平和网络风险意识以肉眼可见的速度提升,而我们360的靶场技术也在这个过程中不断打磨。
2016年时,实战演习还不火,我们当时并没想到会演变到今天的样子。
2017年,公安部下发了一个关于网络安全演练的规范,我当时有幸参与了这个规范的起草,直到现在,很多方案都在用这个规范。
2018年,这场攻防演习已经涉及到二十多个行业,有几十家防守单位,攻击队有几十支。
自此,攻防演习成为惯例,规范落到省市地三级,一年比一年阵势大。当初那颗星星之火俨然已成燎原之势。
2019年,360决定成立政企安全集团,从那时起,我们团队才开始背负业绩要求,但跟压力相比,我更感到兴奋,因为我们团队本来就是做To B政企业务的,所以当360决定做政企安全时,我第一时间就主动加入。
在那之前,360做网络靶场是不挣钱的,老周在承担这部分成本,当时完全没有考虑商业化,虽然当时并没有遇到什么技术上的困难,但我们团队其实内心有些困惑:实网攻防演习这件事,能给公司创造多大的价值?
尤其是当我们团队不断地跟公司要服务器,要各种资源,尽管公司总是无条件地支持,但我们会反思,自己好像没能给公司带来任何市场回报。
2018年攻防演习火起来之后,有人说,它让网络安全市场凭空多出了200亿的市场价值,虽然我也知道做靶场这件事是给国家、给行业做贡献,但毕竟一家商业公司,不能完全不考虑市场回报。在那时,由于涉密,我们甚至都不能告诉别人我们做了这件事。
但是埋头努力终究不会被辜负,等到2019年我们开始做政企安全业务,我才意识到,恰恰是因为2016年就开始,让我们在实网靶场这块领先其他对手两年时间。
那几年走过的路,踩过的坑,为我们积累了非常多的靶场技术,比如隔离技术、地址切换技术、数据分析技术、安全能力的分析等等,形成了技术和产品壁垒。
就像海明威所说:身上的伤口,都会变成我们最强壮的地方。
这些年,我们从刚开始的一个小作坊一点一点进化成一家专业工厂。
最初,我们把公司的一个会议室当成实验室,现在我们有一条完整的软硬件供应链,销售许可、保修卡等等一切完备。
最初,我们用一些成熟的产品来做行为审计,现在我们大量组件都是基于安全可控的自主研发。
最初,我们团队没有专门的销售,我得自己扮演销售的角色,跟客户交流,现在,我可以专心放在产品和研发上。但也恰恰是因为早期跟客户密切交流,让我们产品能更贴近客户需求。
以前我们没有供应链,就找自己运维部门要一台服务器,就把软件往里一装。那之后我们意识到,哪怕只是一张光盘,一个软件,也需要一个专业的封装、包装,有保修机制等等。
做一个网络靶场并不难,但是做一个好用的靶场需要时间的累计,在不断的使用中去迭代改版去打磨。
到现在,除了实网靶场,我们已经有七八个产品,包括实训平台、竞赛平台、虚拟靶场等等。
从2019年公司提出业绩要求,到2020年,我们已经做了一个多亿,今年的任务又有了新的挑战,上半年看来已经超额完成任务,整个势头和市场接受度都还可以。
但更重要的是,我们可以拍着胸脯告诉客户:每年像全国范围这么大规模的实网攻防演练,只有我们做过。这些坑我们都结结实实地踩过,换了别人,还得从头踩一遍,一个也少不了。
9
和他们聊完,为期三天的ISC互联网安全大会也结束了,我从国家会议中心走出来。
我想:现有的几个故事虽然不足以描述360政企安全的全貌,但至少能勾勒个大概,让我们能感受到几个关键团队扮演的角色和他们之间的配合关系。
和他们的聊天中过程中,其中一位说的一句话让我印象深刻:“我觉得老周其实也是一步一步被架到今天这个位置(网络战)的。”
这让我想到《功夫》里一个片段,火云邪神和神雕侠侣扭打在一起,斧头帮老大命令阿星上去帮忙,此时阿星要决定上不上,应该打谁。
他当时可以选择不上,像别人一样找各种理由推脱。
但他思考片刻,挥棍打向火云邪神。
我猜那一刻,他也许回想起小时候那个“维护世界和平”的梦想,想起自己砸破存钱罐,用全部积蓄从乞丐手里买下那本《如来神掌》。
虽然阿星中途也曾想过放弃功夫梦,想彻底做一个坏人,在庸俗的灯红酒绿之中度过平凡的一生,但在那个关头,他还是选择做回自己,那么想要惩恶扬善,维护世界和平的英雄。
棍子敲下去,火云邪神怒了,用砂锅大的拳头打爆了阿星的头,打得他连他亲妈都认不出来,可他依然拿起地上的小木棍继续战斗。
2015年时,周鸿祎也面临一个选择,要不要把360从美国股市“买回来”,没有犹豫太久,他开始四处借钱,抵押了360大楼和360一系列商标,借到200亿人民币。
而他当时正在做360手机、直播、智能设备……这些都需要花钱。
后来为了在A股上市,周鸿祎又签下一份对赌协议,如果三年完不成共计130.5亿的利润承诺,完不成就要给对方赔钱。而周鸿祎在几年前自己还劝创业者们不要对赌,风险太大,容易造成双输的局面。
截取自360公司2020年半年度报告
最后可算是完成了利润承诺,这场对赌“赌赢了”。
360私有化对安全业务和其他业务究竟有多少影响,又给周鸿祎带来多大的压力,都已无从考究,只有他自己知道。
周鸿祎也吐槽网络安全行业太苦逼,他羡慕腾讯一款《王者荣耀》的收入就能顶得上一整个网络安全行业,他感慨安全行业赚钱太辛苦,干的其实都是苦力活。
他说:“我们这个行业的从业人员,像是希腊神话里的西西弗斯一样,每天辛辛苦苦推石头上山,第二天石头又落下来,你在这个行业里工作,就要不断经历成功到失败,失败到成功,所以这个行业能坚持下来的人,我觉得都是理想主义者。”
人生无常,很多时候我们被命运裹挟,但大多数时候其实还是有自主选择的空间,就像阿星选择以凡人之力挥棍打向火云邪神,周鸿祎决定留在网络安全行业,把针对我国政企和关键基础设施的黑客组织作为对手,和他们打“网络战”。
我们终于到了小时候最羡慕的年纪,却没成为小时候想成为的人。有的人已经放弃,有的人还想再试一试。
不论阿星最后有没有施展出一套从天而降的掌法打败火云邪神,他挥棍的那一瞬间,已经值得观众的赞许。
周鸿祎这么个战斗狂,如今找到了一群志同道合的战士们,面对极其强大的对手,要打一场也许永远也打不完的战斗。
对他,对你我都是一件好事。
正如一位军区师司令曾这样评价乔治·巴顿:和平的时候,他就是一个捣乱分子,在战争时期,他是无价之宝。