撰稿:贾宁 编辑:刘惜墨
01
2017年5月12日,薛锋彻夜不眠。他的客户也一样。
这一天,勒索病毒WannaCry在世界范围内爆发,包括中国在内的百余个国家遭受大规模攻击。
病毒首先在英国肆虐,波及各个行业,甚至造成手术被迫中止,危及生命;在中国,机场、银行、医院、甚至出入境等事业单位也受到影响。
不过中国病毒爆发于当天晚上8点,正好是周五,尚且有一个周末做缓冲时间。
薛锋的公司微步在线紧急分析WannaCry勒索病毒,证实了国际上传言的「秘密开关」,该病毒执行时会访问一个很长的域名,一串由没有任何意义的英文和数字组成的字符,后面跟着「.com」。经过深入分析,微步在线发现如果勒索程序可以访问这个域名,病毒就会自毁。
现实中这个域名并没有指向任何网站。但企业将它设置为「可访问」,勒索病毒感染企业机器时,发现域名可访问,就会自毁,黑客的勒索阴谋不攻自破。
凌晨两点半,微步在线将报告发给客户。
半小时后,有客户微信回复「已上线实施」。
也有客户半信半疑:「我要上(实施)了,要是中招被开除了,你得收留我。」
「你上吧。」这是微步在线的回答。
这场网络安全攻防战的关键在于,能否识破黑客的伎俩,而不是跳进一个黑客故意留下的陷阱。 情报分析必须准确可靠。
▲微步在线CEO薛锋
5月15日,星期一。
Wannacry勒索病毒爆发后的第一个工作日,也是全球各大安全公司预测的「二次爆发日」。
微步在线的所有客户,数百万台机器,无一新增发作案例。
自从微步在线2015年创立以来,已经经历了无数次这样与黑客针锋相对的战役。他们监控着世界上最活跃的一百多个黑客团体的举动。
微步在线是一家典型的威胁情报公司。IT调研与咨询服务公司Gartner对威胁情报的定义是,对攻击者的情报包括动机、方法等进行收集、分析和传播,帮助各个层面的安全业务成员保护企业关键资产。
2017年7月,Gartner发布《全球安全威胁情报产品及服务市场指南》,微步在线是唯一一家入选的中国公司。 9月,微步在线宣布完成1.2亿元的融资,由高瓴资本高瓴智成人工智能基金领投,如山资本和北极光跟投。
02
黑客与安全公司永远在上演你追我赶的猫鼠游戏。
传统的安全方式,以被动防御为主,构建强大的防火墙,以尽可能少的漏洞抵御黑客入侵。但漏洞是补不完的,黑客总会找到可趁之机。
威胁情报则是主动出击。它预先掌握黑客的动向,了解病毒的攻击方式和弱点,从而改进自身的防御工事。
▲微步在线产品演示图
「这个世界好人占大多数,坏人是很少一撮,有能力发起攻击的坏人更少。与其辨别纷乱的、数不清的攻击,还不如抓住根本,找到发起攻击的人。一旦找到他们,世界就清净了。」微步在线创始人兼CEO薛锋告诉「新经济100人」。
2015年,他创办微步在线的时候,威胁情报在国内还属于新鲜事物。类似云计算早期,亚马逊的AWS如一颗冉冉升起的新星,国内还一片迷茫,以为云计算与IDC机房相似。
最初,微步在线只有一个类似百度的威胁搜索引擎界面,用于搜索可疑文件(样本)。
样本上传之后,来自全球24家厂商的杀毒引擎对它同时进行定性查杀。如果有大量文件需要查询,可以通过API接口快速上传,拿到结果。
微步在线联合创始人任政解释,当初他们认为很多安全分析人员受到环境与条件限制,微步在线提供的搜索引擎有24款杀毒软件,帮助安全人员发现最新的未知威胁,并且是免费服务。
但,这种免费服务刚推出的时候,没有多少企业买账。
在国外,很多企业愿意把自己的敏感文件发到SaaS厂商进行检查,因为有相对成熟的信用体系和法律约束,保护数据不被泄漏。但是国内不行,即便当时微步在线说,只需上传可疑的带有动态链接的exe执行程序就行。但一些保守的行业,依然认为没有必要,不如自己多装几款杀毒软件。
微步在线搜索引擎的扩散是从个人开始,他们大部分是安全产业从业人员。通过他们,微步在线的多引擎查杀在行业内得以分享。
现在,微步在线每天接收30万至50万个疑似恶意样本。这个威胁搜索引擎,也是客户接触微步在线的主要来源之一。
03
随着数据积累,薛锋他们意识到,单单搜集恶意样本,产品非常单薄,于是开始对样本深入分析。
沙箱,是捕捉到恶意样本后进行分析的场所。它可以理解为小孩在沙滩上玩游戏时垒起的城堡。当恶意的代码进入这个虚拟城堡中的某个房间时,它会认为自己是在真实的电脑环境中,进行肆意的破坏。
病毒在沙箱中的行为会被监控记录,它对外连接了谁,接受了谁的控制?对沙箱有什么破坏?这些档案被记录下来,进行深度加工,由此产生坏人的「黑名单」。
沙箱是受控制的模拟环境。微步在线在全球网络上布置了数千台沙箱,这是其情报系统的主要构成。除此之外,还有「蜜罐」作为补充。你可以把蜜罐想象成猪笼草,分泌**引诱着捕食的小虫。
沙箱和蜜罐时刻等待着黑客的攻击。黑客在网络上扫描时扫到有漏洞的机器,会自动化渗入机器装上木马。他以为黑了一个正常的网站,但实际是入了蜜罐的陷阱,他们的一举一动都在微步在线的监控中。
客户在公司的防火墙、路由器和缓冲区上加载攻陷指标(黑客用于控制的网站)。员工电脑尝试连接这些攻陷指标时,就可以知道这台电脑存在安全风险。
这些攻陷指标中包含了黑名单(有风险的网站)、白名单(安全的网站)以及丰富的上下文和判断依据(可被证伪的技术证据),并且都是实时动态变化。
如果把威胁情报比做新闻,那提供威胁情报的公司相当于报纸,每天刊载新闻。对客户来说,购买能力强的话,多订几份报纸获得全方位的详细信息是不冲突的。
「客户愿意为情报数据买单。」薛锋说。
过去两年,微步在线拿下了国内几大行业的标杆客户,包括能源、电力、金融、证券以及大型互联网企业。目前,付费客户二三十家,交易价格60万元到数百万元。
04
2016年,微步在线基本是SaaS平台+情报库的模式。薛锋他们很快发现,拓展空间有限。
薛锋和金融行业客户谈合作,对方说你这个模式很好,但我们不能上网,金融行业是封闭式网络。
国内诸多限制,推动他们做出了第二代产品——威胁情报平台TIP(Threat Intelligence Platform)。
TIP是一个软件平台,含有在线的数据库情报。部署之后,客户的网络数据经由TIP进行溯源和检测。一旦报警,TIP就通知客户。
这好比验血,一般人们去医院抽血获得报告结果。企业使用TIP,相当于自己购买血糖监测仪器,自己抽血自己验。
当重大安全事件发生时,微步在线首先把这个攻击抽取出最紧急的情报,如IP地址、域名等,录入库中,通过网络或者TIP把数据拿给客户。因为在这一秒钟,国内可能就有机器受到攻击。
微步在线继续跟踪事件和IP,弄清楚背后的控制者,弄清楚是否是一次误报、有没有特定的攻击对象。一旦发现这次攻击背后有黑客团伙、有经济利益勾连的话,分析师用各种公开线索摸清黑客团伙背景,历史档案、甚至能查到这个团伙里有谁、长什么样、在哪上过学……写成报告,提交给客户。
大数据和云计算的时代,攻防形势逆转。原来防守非常被动,锁好100扇窗户,结果第101扇漏锁了,攻击者就进来了。现在是社会上的一切都在数据化,大数据忠实记录了所有正在发生的事情,攻击者只要犯一次错,防守者就有可能顺藤摸瓜找到对手。
「防御是必要的手段,但不能解决所有安全问题。因为防御只是提升了攻击门槛。以前我们是做到『知己』,现在『知彼』在国内逐渐重视起来,就像部署防空导弹,那我得知道我要瞄准谁,在什么时候去打。」 微步在线市场合伙人李秋石说。
05
「我们可以说是亚太地区的代表,北美也有在当地有优势的威胁情报公司。就像各地警方的情报能力很强,也需要和其他单位的情报网络合作。」李秋石说。
「报纸越订越多」,企业多元化情报管理的需求日益明显。微步在线2017年推出了威胁情报管理平台TIM(Threat Intelligence Management)。
微步在线产品负责人黄雅芳介绍,TIM可以替客户管理好已经采购的情报数据,平台接各种不同的数据源进来,将其标准化,整合在一起。客户不需区分情报来源是微步在线还是其他公司,直接调用已整合的情报数据,统一管理。
▲微步在线产品路线演进图(制图:彭瑞)
TIM只是一个开始。
在薛锋眼里,未来安全产业的一大机会是智能化。企业买了10家厂商的100台设备,买了这家的杀毒、那家的防火墙,难道还能一台一台地登陆操作,将黑客信息一条条复制到这100台设备上么?未来肯定会出现安全的智能化,进行自动操作。
就像家居智能化里必然有一个人机交互的入口。原来冰箱、空调、电视不联网,需要3个遥控板分别控制它们。现在冰箱、空调、电视可以联网,又有了亚马逊的智能音箱Echo。人们回到家,只需要下达「Echo开空调」「Echo开电视」的指令就行了。
薛锋希望TIM就是所有安全系统的管家,安全智能化里人机交互的入口。
「安全行动的驱动常常来自情报,下一步我们试图成为企业安全行动的大脑。这个市场空间是千亿级的。」
他顿了顿,接着说:「在这个阶段,我们有再多想法,还是得一步步走。」
Gartner发布报告说,目前全球大型企业运用威胁情报的比例是1%,到2020年将增长到15%。
过去企业对信息安全的投入主要是在防御上,到2020年,投入的60%会转向检测与响应。威胁情报解决的就是检测与响应的问题。
这是一块蓝海市场。国内目前想做威胁情报的公司很多,既有绿盟、奇虎360这样的老牌安全企业,也有嗅到商机的初创公司。
「我们无非是刀够快、针够尖,不管同行公司多大,在(威胁情报)这个细分领域里我们就是比他们做得更专业、更深,因为我们只切这个方向。」薛锋说。
就像两百多年前的工业革命带来了环境忧患一样,如今整个世界都在快速地数字化,带来了数字化忧患。
谁来为安全负责?
夜幕降临,在巨大利益诱惑下,一群黑帽不辞辛苦。他们有人甚至可遥控数百万台服务器,轻而易举攻陷所有的互联网终端。夜色中同样还有另外一双双眼睛,追踪黑帽们的行迹,打退一次次攻击。
这是一个再平凡不过的夜晚。天又要亮了。
延伸阅读
这家公司通过「跨行业联防联控」做金融反欺诈 切入大数据风控
评论(0)