当年为揪住黑客,他做了“天眼”,不小心就成了“网安一哥”的拳头产品
共 8495字,需浏览 17分钟
· 2021-08-18
0
前阵子,我去了一趟北京市动物园……旁边的奇安信——目前中国市值最高的网络安全公司,去拜访奇安信的拳头产品“天眼”。
聊着天,我忽然想起中学语文课本里的那句“生于忧患”,孟子当初用这句话来描述一个人和国家的发展规律,结果套用到一千多年以后一家科技公司的产品上,也毫无违和感。
奇安信“天眼”的诞生,就是一个“生于忧患”的故事。
1
2013年底,“忧患”两个字写在张卓的脸上。
忧,是因为他们当时买了一套市面上最好的入侵检测和防御系统,结果发现是个摆设,防不住黑客,钱白瞎了。患,是怕如果再想不出解决方案,外面的黑客迟早要黑进来。
“当时老大就说,我们想想办法,自己做。”张卓回忆道。
张卓
只要思想不滑坡,办法总比困难多。2014年前后,一个低调的内部创新项目在齐向东的拍板之下成立,齐向东那时的身份还是360创始人兼集团总裁。
张卓的任务目标很明确:做一套系统,能防住就防住,防不住(毕竟没有100%安全的系统)至少也得能“看得见”威胁,知道是不是有黑客在搞我,是不是已经得手。
这任务说起来简单,可是从何下手呢?
2
说到这里,先卖个关子,交代一个背景知识:为什么当时市面上的入侵检测系统防不住黑客?
从大逻辑上来讲,是因为魔高一尺,道还没来得及高一丈——当时黑客们的主流攻击模式已经发生改变,大部分网络安全产品却还是老一套,没跟上形势。
具体来说,2010年之前,黑产主要“以量取胜”,主要针对普通网民,他们传播病毒木马,尽可能多地控制人们的电脑,用来点击广告、盗号、发起流量攻击等等。
比如当年国内很有名的“熊猫烧香”就是这样。
但是2010年之后,免费杀毒逐渐普及,“以量取胜”的活儿就越来越不好做,毕竟大家都接种了“免费疫苗”。
零散的网络攻击者们面对杀毒软件厂商的围剿,也“生于忧患”,开始寻找新的商业模式,逐渐抱团作案,把目光瞄向高质量目标,比如企业和政府单位。
之所以我用2010年当分界线,是因为那年发生了一起震惊全网的病毒攻击——Stuxnet震网事件。
为了防止有读者没听过震网事件,我简单回顾一下:
美国情报部门在总统授意下,用黑客手段打击伊朗的核计划,在完全隔离于互联网的情况下黑了进去,让几台核设施当场扑街。
要知道,在震网事件发生的几十年前,两伊战争时期,美国也联合以色列用军事力量打击过伊拉克的核反应堆,那叫一个大动干戈,动用了不少的情报人员、战斗机,光是飞行员都挂了好几个,成本极高,代价极大,效果却并不比一个“小小”木马病毒更好。
震网病毒带火了一个词:APT。
APT全称 Advanced Persistent Threat,翻译过来是“高级持续性攻击”,说白了就是“不怕贼偷,就怕贼惦记”,APT的目标价值都很高,贼一盯就是几个月甚至好几年。
震网事件之前,在百度谷歌上搜APT,关于黑客攻击的解释很少,震网事件之后明显增多。
我猜也许是震网事件让无数攻击者们意识到:还有这种操作?干一票顶三年啊!于是大家开始有样学样,就跟当年小混混学着电影《古惑仔》拉帮结派一样。
那之后,针对性的网络安全事件也变得频发,我随便举几个例子:
2011年9月日本三菱旗下军工企业遭黑客入侵。2012年12月赛门铁克承认两款企业级产品源代码被盗(你看,老牌安全公司也会中招吧), 2012年4月VMware确认源代码被盗;6月雅虎服务器被黑。
“脱裤”这个词也是那两年兴起的,指一家公司的数据库被黑客拖走。当时放眼整个互联网,大街都是光屁股,天空乌云密布,时不时飘过几条内裤。
老一套安全产品之所以防不住APT(或者说是“针对性的渗透攻击”),是因为它们的防御思路是“城墙+通缉令”模式。
弄一道“墙”,把整个公司内网围起来,城门口设个闸(入侵检测系统),进出挨个检查,看看有没有通缉令上的人。所谓“通缉令”就是基于特征码的黑名单。
它的问题在于:只能解决已知威胁,如果新出现的威胁,没有在通缉名单里,就很难判断。坏人也不傻,进来之前肯定先给它易个容(做个病毒免杀),避免出现在通缉令里。
更大的问题是,“城墙模式”缺少响应机制,即便是发现了威胁,也没有联动防御机制,不能溯源,只能被动地防守。
这样一来,坏人一天可以尝试攻击几千几万次,入侵防御系统一天报警几千次,弄得安保人员疲惫不堪,但坏人只要成功一次,就溜进来了。
3
背景铺垫完,回到故事。
张卓要肿么办呢?
他们当时想到一个思路:数据采集+数据分析,就像是现实世界里用摄像头采集数据,再放一间监控室里综合研判一样。
他们找到公司网络的流量出入口和一些关键位置,部署上流量采集系统,试图在数字洪流里分辨出各种文件和动作:域名解析、网络连接、Web访问、文件传输、登录动作、邮件、数据库操作……找出那些可疑的。
前文我提过,这件事说起来逻辑简单,做起来可不容易。
首先是性能问题:这么大的网络流量,要全量采集,怎么能有条不紊地采集、存储、处理?
起初,张卓找了些开源项目,很快遇到性能瓶颈,他只能一点一点调优。“工程化”这件事也没什么捷径,只能日拱一卒,不断想办法替换模块、调整架构,像短跑运动员一样,一天天地琢磨怎么让速度快那么0.01秒。
其次,流量采集过来,要怎么分辨出是不是异常呢?
这就好比摄像头都布好了,但是让你坐在监控室里盯着10086路摄像头,画面里人来人往,你根本处理不过来。
大概是这么个意思
人当然处理不过来,但是人工智能兴许可以。
那时人工智能技术还不火,张卓就试着去用机器学习相关的技术,比如半监督学习、SVM支持向量机、神经网络等等,去识别流量里的异常。
在逻辑上就类似于,一些公共场所用AI图像识别技术来检测人们有没有戴口罩,只不过张卓做的事情发生在网络流量里,识别的是网络攻击。
但人工智能显然也不能百分之百准确,为了降低漏报和误报,所以还得结合其他办法,像过滤器一样层层过滤,才能得到最精准的答案。
一个方法是去公司外部收集“威胁情报”,用来匹配内部数据。
威胁情报:“最近有个团伙在流窜作案,手法是这样这样的,长相是这样这样的,大家注意!”
内部流量分析系统:“收到,咦?这不是刚才进来的那几个?难怪我感觉有点奇怪,赶紧告警!”
用了人工智能和威胁情报匹配,张卓觉得还是不够准。
美国网络安全行业比中国起步早个十多年,他决定去取取经。
2013年,美国网络安全的街上,最靓的仔叫FireEye,火眼,当年刚上市,市值蹭蹭往上窜,而且这家公司凭着看家本领,据说拿到了美国中央情报局的订单和投资。
火眼的看家本领叫“沙箱”,它的原理我用一个小故事来打个比方:
城门口,士兵拦住一个可疑之人,例行检查,却发现此人并不在通缉令上,就放他进去了(这就是传统的防火墙和入侵检测系统干的事)。
此人进入城中,撕下伪装,竟是怪盗鸡der,他在城中潜伏数日,溜入藏宝阁,杀伤数人,偷得至宝,以为得逞,仰天长笑。
顷刻间,整个世界开始扭曲折叠,随后化作砂砾,就像《盗梦空间》里演的那样。
他醒了,发现自己在审讯室里,原来,一切都是假的,这座城是一个“沙箱”,里头的时间流速被加快了,他以为已经过去了三个月,实际外面只过去一秒钟。
张卓找到当时公司负责“云查杀”的同事张聪,因为“云查杀”背后就有用到沙箱技术。
他俩分工,张卓这边负责把前几轮用人工智能和威胁情报匹配等技术发现的异常流量还原成样本文件,扔到给张聪这边,张聪负责用沙箱来观察样本放到沙箱里,进一步判断是好是坏。
经过这么层层筛查确认,准确率就更高了。
张卓给这个大工程起了个名字,天眼,SkyEye,当时的想法也挺简单,对标美国的火眼。
美国有“火眼”,中国也得有一只照出妖魔的“天眼”。
那时闷头搭建天眼的张卓怎么也想不到,自己手中的代码,竟为日后一家市值几百亿,目标是万亿市值的安全公司埋下伏笔。
4
这个世界上的很多优秀的产品都遵循同样的轨迹:先是被逼得没办法,只好自己捣鼓出一套东西,解决自己的需求——“穷则独善其身”,随后发现,诶?别人也有一样的问题呀,于是推己及人,成就一番事业——“达则兼济天下”。
天眼也是一样。
解决完自己的安全问题,他们自然想到:有没有可能做成商业化产品,拿去帮别人解决问题?
正好赶上2014年 ,网络安全和信息化领导小组成立,人们开始频繁地在电视和网络报道中见到一句话:“没有网络安全就没有国家安全” 。
他们隐隐感觉,网络安全的春天要来了。
于是这一年,一个又一个在企业安全领域浸染多年的大牛纳入齐向东麾下,比如现在奇安信的二把手吴云坤。
吴云坤到了奇安信,带的第一个产品就是天眼,没过多久,天眼便一战成名,因为发现了针对我国关键基础设施的境外黑客团伙——海莲花。
5
事情经过是这样的:
2014年夏天,某不便透露的地市级侦查部门交给天眼团队一个木马样本。这个木马水平不低,且已经被查杀过。你可以理解为抓到个刺客,但刺客立马咬毒自尽了,溯源难度很大。
他们很快分析出一些线索。
“按照以往绝大多数安全公司的做法,到这一步也就为止了。它(木马)连过这个,干过这个事儿,报告就交上去了。”
张卓回忆:“当时老吴(吴云坤)提议说,公司积累了这么多安全数据,可以往前多挖一挖。”
也许是出于一个老安全人的直觉:高级黑客团伙的作案手法通常很娴熟,不太可能让你直接抓到把柄,但存在一种可能性:若干年前的其他案件也许是同一个团伙干的,当时他们还没那么娴熟,暴露过一些破绽。
他们赶紧向公司申请数据权限,开始深挖,做同源性分析。
负责调查的几个人像打了鸡血一样亢奋,通过域名知道样本,通过样本找到爬虫……就这么一环扣一环,愣是在一堆看似零散的点里连出一条证据链。
天眼之下,鬼怪现形。
线索指向某省一所高校的留学生宿舍,对方电脑输入法用的是某东南亚国家的语言,跟后来侦查部门的现场勘察结果完全吻合。
所有人都惊呆了:“我们就守在一个大宝藏上,以前居然没意识到。连侦查部门都很震撼,他们没想到一家民营企业能输出一份这样的APT报告。”
2015年5月,一份编号为APT-C-00的安全报告公诸于世,这是中国首份APT报告,发布者为“天眼实验室”,详细还原了一个被命名为“OceanLotus”(海莲花)的组织在如何对中国政府、科研院所、海事机构等重要领域实施长达数年的、有组织、有计划、有针对性的不间断攻击,以及如何利用木马秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取机密资料。
报告全文有兴趣的自己可以搜搜看,我简单摘出一点料来帮助大家理解。这是当时伪装成各种形式的木马文件,分别伪装成合同、Flash更新和QQ:
这是“海莲花”长达3年多的攻击时间轴:
这份报告意义重大。
对内,让我们清楚看到被攻击的事实。
对外,则告诉全世界:中国是网络攻击的受害者,而不是美国一直不惜余力地渲染的“网络威胁者”。
2010年蓝翔技校被怀疑是“军方黑客大本营”
天眼一战成名。
虽然“数据对安全很重要”这个道理大家以前也知道,但是真正经历过一次,那种扑面而来感受是完全不同——“上没上过战场的士兵还是不一样的。”
2015年,张卓和小伙伴们将一本外国著作翻译到国内出版,书名叫《数据驱动安全》,也是这一年,齐向东把“数据驱动安全”确立为公司的第一个业务战略。
“数据驱动安全”成了奇安信企业故事的序章,帮他们在2016年拿到28.5亿元的A轮融资,当时的投前估值为100亿元,已经超过当时大部分已上市网络安全公司的市值。
6
不过话说回来,千万不要以为天眼能抓APT,就能分分钟卖爆,取得商业上的成功。
这就好比金庸小说里的张三丰,要成为武林高手,只需要自己闷着头练武就行,但是要开宗立派,那就得考虑柴米油盐,解决整个门派的生计问题,也不能光他自己一个人武艺高强,得让大家都能学得会一招两式,传承下来才行。
总之,掌门人自己必须完成一次从高手到宗师的蜕变。
奇安信独立融资后,张卓要扛起天眼产品市场和收入的担子,他也得完成从一个单纯技术人向一个产品负责人的蜕变。
起初他跑到客户那,拍着胸脯说“我要打十个”,被客户一句话就给噎回来:
“天眼要走向规模化和商业化,不能光靠沙箱和威胁情报。”张卓意识到,大多数客户都觉得自己离国家级的APT攻击太远,所以常规的威胁发现、响应处置而溯源分析才是普遍需求。
他们开始疯狂补齐产品和方案上的短板。从事前的检测、响应,到事后的取证、溯源,每个环节都不能放过。
据张卓回忆,天眼团队人数最多时一度超过400人,当时团队内部冒出特别多的想法和方向,每个方向都想对标一家美国上市安全公司。后来齐向东觉得这样不行,便主持把天眼拆成三支团队,好让每个队伍都各自专注在自己的方向。
第一支独立出来的团队,叫网络空间安全态势感知与协调指挥系统,专门为监管部门提供网络安全态势感知和协调指挥,满足国家监管部门对态势感知的标准要求,由李虎博士带队。
第二支独立出来的是奇安信另一个拳头产品:态势感知与安全运营平台NGSOC,它相当于企业内部的态势感知和网络协调指挥中心,更侧重于满足企业日常安全运营和管理的需求。
我们之后有机会再给大家单聊这两支团队的故事。
第三支则是依然由张卓带队的天眼团队,聚焦于实战攻防。
正当奇安信内部在梳理产品线,窗外“炮火声”已经响起。2016年起,响应国家号召和有关部门的指示,一场场网络实战攻防演习在各个行业如火如荼地进行。
天眼在跟黑客的实战中诞生,又一头扎进实战中。
7
实战中,武器好不好用,士兵说了算,谁是天眼的士兵?两类人,一类是企业的安全人员,一类是奇安信的安全服务人员,所以天眼要迭代升级,得听安服和客户的意见,这样才能真正适应实战。
但当时他们发现一个问题,天眼这个产品,张卓他们团队自己用着非常爽(一是因为是他们自己做的,二是因为他们本身就是攻防高手),但是别人用不来。
但这可不行啊,如果安服和企业安全人员用不起来,就没法发挥天眼最大的价值。
2018年,为了让产品和安服两支队伍尽快磨合,奇安信做了一个非常激进的动作:把天眼和安服两个部门的业绩直接绑定。
公司内部戏称:天眼和安服结婚了。
技术上的困难,张卓从来没在怕的,却差点被这场“包办婚姻”搞得心态崩溃。
“这简直就是人性的挑战!”张卓告诉我,产品经理都把产品当自己孩子一样,控制欲很强,看到别人干涉自己孩子的成长肯定心里不爽,但“市场驱动”对他们而言就意味着失控,就像孩子要跟着别人出远门。
更关键,对方还要时常给你打来电话,说你孩子这不好,那也不好。
每周,他们都开电话会议,有时会开着开着就变成吐槽大会,二十多位分布在全国各地的安服团队区域负责人一人说几句:
“你这个界面展示不合理,应该这样这样……”
“数据结构列表看不懂,弄不明白。”
“告警还不够准。”
“你这个产品到底行不行啊?客户用不明白,都跟我说不想买了,我怎么解释,你这不是坑我们嘛?”
实际比这更难听的话多了去,出于和谐,就不一一列举了。整个会议里,产品团队就张卓和另一个人,其他二十多个人都是安服的,一场会开下来,张卓是头皮发麻,额头冒汗,如坐针毡。
“仿佛要把你一切努力都否定掉。”张卓说,曾经的技术自信和骄傲,被撕碎,然后狠狠地扔到地上,再踩两脚。
有一次,张卓正办着公,一位同事冲进办公室,招呼他赶紧过去看,他团队里的一位同事跟安服团队的老大张翀斌聊着聊着就吵了起来,面红耳赤,马上就要打起来了!
还有一次,张卓让手下一位同事过去和安服部门开会,听听意见,同事眼睛瞥到一边:“我才不去,要去你去!”
那段时间,张卓特别低落,茫然不知所措。
8
他意识到,问题的答案可能在自己身上。
“因为很多时候,领导的风格就是整个团队的风格”,他扪心自问,是不是因为自己爱面子,放不下所谓技术人的骄傲,不敢承认产品的不足,不够信任安服团队,才导致两个团队磕磕碰碰?
“还是得从自己身上找解决办法,要改变两个团队的关系,得先改变我自己。 ”
之后,他跟张翀斌的主动交流越来越多。
他开始用“幸存者效应”来向自己和团队解释整件事:“你做得好,别人会记在心里,做的不好,别人会告诉你,久而久之你就会感觉全是批评声,但你得理解这件事。”
“真正关心你的人,是骂你的那个。”他说。
后来两个团队都意识到,很多时候双方都各自往前一小步,产品只要再加一个小小的功能,服务上再做一点点的补充,配合起来,客户就会很满意。
“不碰撞,安服永远不知道产品能帮他做什么,哪些是产品做不到的,产品团队也无法真正理解安服人员在一线经历的状况。”
当初不愿意听安服声音的同事,也开始主动跟着安服的同事往客户现场跑。
有一次一个同行跟张卓聊天,问:“怎么你们的安服和产品结婚就那么甜蜜,我们这边一结合,都快完蛋了,天天拍桌子骂人,产品团队都想拍屁股不干了。”
张卓说着说着就笑了,这跟他在技术上取得成就的骄傲不太一样,有一种老婆孩子热炕头的幸福感。
“结婚”的好处显而易见,产品更贴近实战,更符合真实需求,安服人员手上的武器更趁手。
张卓告诉我,从聚焦攻防的天眼团队独立出来,再到和安服结婚,天眼经历了三个阶段的跨越:
从2017年开始,天眼在易用性攻防检测方面显著提升,达到了在安服人员手里也“管用”的地步;
2018年到2019年,天眼还处于“安服用的好,但客户用不起来”的阶段;
到2020年初,天眼已经从“管用”演进到“好用”的阶段,不光是安服人员,许多客户也在直接使用。
张卓完成了从技术研究者向产品负责人的蜕变,天眼也成为许多政企实战攻防演习的“标配武器”。
而且“天眼”不光是本身得到打磨,也衍生出许多组件产品,比如邮件安全、欺骗诱捕、安全DNS、渗透测试、全包存储系统等等,形成了一个“天眼家族”。
看得出“婚后生活”还是很幸福的,这都有家族了……
9
如果要用八个字概括天眼的故事,我想用“生于忧患,兴于实战”。
张卓告诉我:“最早我们还说数据驱动安全,还讲威胁情报,现在我们不怎么提了,就是实战。就像协和医院的专家一样,看的病例多了,医术才会提高。”
不过有点可惜的是,因为客户保密之类的缘故,许多攻防实战的过程不能说。
我问他:注重实战有哪些具体体现?
他举了几个例子:市面上声称做“欺骗诱捕”的公司很多,本质上还是蜜罐。以往大家都是守株待兔,布置一堆假的服务器,等着攻击者来访问,留下痕迹。
“他们觉得只要蜜罐做得足够仿真,攻击者就会被骗,但那其实根本不叫欺骗。你的主站业务都没连着这台服务器,服务器都没什么外部流量访问,攻击者两下就看出来了。”这大概就像是,你穿着精心伪装的迷彩服,活像一棵灌木,却趴在洁白的雪地里。
“欺骗是要真的去骗,要让攻击者从一开始收集到的线索就是假的。”张卓说,“如果一个产品声称能放钓鱼邮件,我就真给你发钓鱼邮件,用20种、30种方法,看你能防住几种!”
从2016年起,除了每年雷打不动的实战攻防演习,平均下来每年他们要组织和参与200多场的攻防演习,“全国一半左右都是我们组织或参与的。你就说我们这个医生看的病多不多吧~”张卓笑着说。
一次内部攻防演习现场
10(结语)
和张卓聊完,我从奇安信走出来,心想这世界实在太奇妙,如果当年不是因为怕被黑客攻击,说不定张卓就不会做出天眼,如果没有天眼,说不定就没有今天号称“网安一哥”的奇安信。
有一种多米诺骨牌的既视感。
但我转念又觉得,当年即便张卓没做出天眼,也一定会有一个李卓、刘卓来做出另一个天眼。
天眼的诞生故事,背后是奇安信崛起的故事,奇安信的崛起故事,背后又是整个网络安全行业的兴起和变革,前景和背景层层交叠。
看似一个个偶然的背后,其实是必然的趋势在推动着一切。但历史又恰恰因为一个个偶然,才显得尤其浪漫。
最后再介绍一下我自己吧,我是谢幺,科技科普作者一枚,日常是把各路技术讲得通俗有趣。想跟我做朋友,可以加我的个人微信:xieyaopro。不想走丢的话,请关注【浅黑科技】!(别忘了加星标哦)