有一種對(duì)抗，“殺人”不見(jiàn)“血”，卻更可怕；

它的主戰(zhàn)場(chǎng)在網(wǎng)絡(luò)，有時(shí)針對(duì)一個(gè)人或者企業(yè)悄然攻擊，有時(shí)是國(guó)與國(guó)之間廝殺戰(zhàn)斗；

攻方，狡詐無(wú)比，守方，斗智斗勇。

這就是網(wǎng)絡(luò)安全領(lǐng)域的攻防對(duì)抗，外人看上去驚心動(dòng)魄，守者，卻視為常態(tài)，處變不驚。

但這是每一個(gè)身處賽博世界的人無(wú)法逃離的戰(zhàn)場(chǎng)，有時(shí)被波及，有時(shí)是主要受害人，我們，無(wú)法置身事外。

綠盟科技的高級(jí)副總裁葉曉虎已經(jīng)置身這種戰(zhàn)斗 15 年，2002 年，他初加入綠盟科技時(shí)，就卷入了與 DDoS 的對(duì)抗。時(shí)刻警惕與抵抗賽博世界的攻方來(lái)襲，揪出背后的始作俑者，這是他 15 年來(lái)最重要的工作。

“唐山黑客”和“證券幽靈”

15 年來(lái)，讓這個(gè)經(jīng)驗(yàn)豐富的守方老將印象深刻的攻守戰(zhàn)斗有兩場(chǎng)。

2005 年，一名“唐山黑客”的案子震驚了全國(guó)，甚至驚動(dòng)了國(guó)家公安部。

事情是這樣的：從 2004 年 10 月份開(kāi)始，原本并不火爆的北京境內(nèi)的某音樂(lè)網(wǎng)站，卻突然“熱鬧”起來(lái)，在某些時(shí)段，要想登錄這家網(wǎng)站非常困難，后經(jīng)該網(wǎng)站技術(shù)人員確認(rèn)造成這一問(wèn)題的原因在于有人惡意實(shí)施攻擊。

為了擺脫困境，網(wǎng)站的經(jīng)營(yíng)者曾專(zhuān)門(mén)請(qǐng)來(lái)專(zhuān)家“會(huì)診”，試圖“死里逃生”，但事與愿違，面對(duì)這種攻擊手法，似乎無(wú)計(jì)可施，期間專(zhuān)家在試圖抵御攻擊時(shí)，結(jié)果是你一動(dòng)，攻擊者下手更狠。無(wú)奈，為了躲避攻占，網(wǎng)站經(jīng)營(yíng)者將網(wǎng)站服務(wù)器轉(zhuǎn)移到了我國(guó)臺(tái)灣境內(nèi)，但攻擊者仍然一路窮追猛打，網(wǎng)站依然頻頻告急，網(wǎng)站經(jīng)營(yíng)者又生一計(jì)，越跑越遠(yuǎn)，干脆將服務(wù)器轉(zhuǎn)移到美國(guó)境內(nèi)，結(jié)果再次失敗，攻擊者如影相隨，跑到哪兒打到哪兒，大有致其于死地而后快之勢(shì)。疲于“奔命”的網(wǎng)站經(jīng)營(yíng)者無(wú)奈之下最后向國(guó)家信息產(chǎn)業(yè)部上報(bào)了這一情況，接著國(guó)家信息產(chǎn)業(yè)部向公安部緊急報(bào)案。 

葉曉虎和團(tuán)隊(duì)配合有關(guān)部門(mén)，對(duì)該網(wǎng)站進(jìn)行防護(hù)和調(diào)查了好幾個(gè)月，沒(méi)有線(xiàn)索。直到有一天，他們發(fā)現(xiàn)了系統(tǒng)的一條毫不起眼的攻擊日志，從而定位了位于某部門(mén)內(nèi)部的一臺(tái)機(jī)器，在機(jī)器上捕獲了攻擊樣本，最后定位到背后的這位“唐山黑客”。

葉曉虎告訴雷鋒網(wǎng)宅客頻道（微信ID：letshome），“唐山黑客”案的攻擊手法不斷變化，且頻率非常高，而 2016 年報(bào)道的“證券幽靈”案攻擊者潛伏時(shí)間之長(zhǎng)實(shí)屬罕見(jiàn)。

這是一起典型的 APT 攻擊，在一些證券商報(bào)告發(fā)現(xiàn)賬戶(hù)異動(dòng)后，邀請(qǐng)綠盟科技專(zhuān)家排查，發(fā)現(xiàn)一名操作人員的電腦“被搞了”，內(nèi)部的服務(wù)器都被攻陷，再一查，嚇人一跳！

這場(chǎng)“潛伏”與“信息盜竊”已經(jīng)持續(xù)了 10 年。讓人不可思議的是，中途入侵行為還曾被發(fā)現(xiàn)和處理過(guò)，但詭異的是，看上去已經(jīng)打掃干凈的戰(zhàn)場(chǎng)卻仍有敵人潛伏，而且此后的入侵手段還發(fā)生了變化和升級(jí)。

葉曉虎說(shuō)：

“我們調(diào)查分析發(fā)現(xiàn)，幾乎所有漏洞都已經(jīng)修復(fù)，但是，唯一一臺(tái)對(duì)外的服務(wù)器端口被開(kāi)了，這就導(dǎo)致了攻擊還能持續(xù)進(jìn)行，我們在其他地方也發(fā)現(xiàn)了類(lèi)似情況，做了很多取證，前一段時(shí)間攻擊者已經(jīng)被判刑?！?/span>

“搞一場(chǎng) DDoS 萬(wàn)把塊錢(qián)都算貴的”

事實(shí)上，在攻防對(duì)抗的“金字塔”中，這種造大案的對(duì)手只占據(jù)頂尖的 20 %，剩下的 80 %都是“小毛賊”。

葉曉虎告訴雷鋒網(wǎng)，“小毛賊”雖然單個(gè)收益少，但有時(shí)社會(huì)影響大；而塔尖的人會(huì)用高精尖的技術(shù)，比如，花血本進(jìn)行“零日攻擊”、“組合攻擊”和 APT攻擊。

葉曉虎說(shuō)：

“現(xiàn)在，很多企業(yè)一個(gè)基礎(chǔ)的問(wèn)題還解決得不太好，認(rèn)識(shí)不到網(wǎng)絡(luò)資產(chǎn)的價(jià)值、脆弱性、暴露面，甚至連連資產(chǎn)都不清楚，防護(hù)就更難了。IT技術(shù)發(fā)展非?？欤髽I(yè)管理的資產(chǎn)和暴露面呈現(xiàn)幾何級(jí)地增長(zhǎng)，大點(diǎn)公司安全防護(hù)人員也就是幾個(gè)人，小的公司更難說(shuō)了。在有的公司，安全團(tuán)隊(duì)和IT 團(tuán)隊(duì)是分開(kāi)的，安全團(tuán)隊(duì)不了解業(yè)務(wù)，這也是安全管理的困難?！?/p>

頂尖的金字塔上的攻擊者如果發(fā)動(dòng) APT攻擊，長(zhǎng)時(shí)間攻擊一個(gè)企業(yè)，成功率非常高?！?span style="line-height: 1.8;">在某一個(gè)時(shí)刻保持安全不難，但要一直不犯錯(cuò)誤很難，在網(wǎng)絡(luò)安全上保持很高的水平，投入會(huì)要很大，不是每個(gè)企業(yè)都能負(fù)擔(dān)得了。”

不怕賊偷，“最怕賊惦記”。

這位攻防領(lǐng)域的老將還在長(zhǎng)時(shí)間的對(duì)抗中意識(shí)到，攻防對(duì)抗的形勢(shì)越來(lái)越嚴(yán)峻。

葉曉虎在早期做攻防對(duì)抗時(shí)，其實(shí)相當(dāng)清楚一場(chǎng)龐大的 DDoS 的幕后黑手是誰(shuí)。那些黑手在國(guó)內(nèi)都掌握了很多資源，甚至對(duì)抗雙方還電話(huà)溝通。對(duì)方都能猖狂地承認(rèn)，但是攻擊者“背后的資源”讓人動(dòng)不了他。

這種“看破卻不能說(shuō)破”的境地還不是最艱難的。現(xiàn)在，有人明目張膽，卻還行蹤隱秘。

還是以 DDoS 為例，現(xiàn)在它已形成了比較完整的產(chǎn)業(yè)鏈，由背后的人提供基礎(chǔ)設(shè)施，把攻擊作為一種服務(wù)進(jìn)行售賣(mài)。

發(fā)起一場(chǎng) DDoS 攻擊，只要簡(jiǎn)單填寫(xiě)一個(gè)需求，成本非常低，一個(gè)“肉雞”甚至只要幾分錢(qián)，搞一場(chǎng)“萬(wàn)把塊錢(qián)”都算貴的。

“電話(huà)詐騙的一個(gè)窩點(diǎn)在我的老家福建龍巖，一些人拿柴油機(jī)躲到山里發(fā)電，這樣就很難監(jiān)控，而且這些地區(qū)的人只是馬仔，真正老板在臺(tái)灣。”葉曉虎說(shuō)。

被攻擊方和防守方都很難找到敵人在哪里——這讓守方很難受，攻擊者的行蹤越來(lái)越隱蔽。

“攻防對(duì)抗的軍備競(jìng)賽”

從 RSA 大會(huì)回來(lái)后，葉曉虎對(duì)攻防對(duì)抗的新形勢(shì)感受更深刻了。他和同事們甚至因此做了一份“攻防對(duì)抗的軍備競(jìng)賽”清單：

如何攻

攻1：各種攻擊元素出租，灰色市場(chǎng)居然可以這樣搞？

灰色市場(chǎng)已進(jìn)入更為精細(xì)化的“專(zhuān)業(yè)分工”，漏洞、利用、工具開(kāi)發(fā)、 僵尸出租、社工庫(kù)等成了“各種專(zhuān)門(mén)服務(wù)”。

某勒索軟件要求受害者在一個(gè)星期內(nèi)支付贖金或查找兩個(gè)新的受害者。如果事件中另外兩名“下線(xiàn)”受害者支付了贖金要求，原始的受害者可以免費(fèi)獲得解密密鑰。不管這種類(lèi)“傳銷(xiāo)模式“最終是否會(huì)帶來(lái)更大的殺傷力，但灰產(chǎn)挖掘人性弱點(diǎn)并在運(yùn)作模式中區(qū)充分利用的嘗試得以充分展現(xiàn)。

另外，臭名昭著的 DDoS 攻擊者在直接敲詐和煙幕服務(wù)等之外，提供非常低廉 DDoS as a Service(DDoS即服務(wù))，5 美元起賣(mài)和分銷(xiāo)。

攻2：守方使勁搞的機(jī)器學(xué)習(xí)，攻方也在盯著

各種機(jī)器學(xué)習(xí)和人工智能算法和工具被引入安全產(chǎn)品和系統(tǒng)。但是，機(jī)器學(xué)習(xí)只是一個(gè)數(shù)學(xué)工具，攻守雙方都可以使用。

通過(guò)對(duì)抗性圖像攻擊可以欺騙機(jī)器學(xué)習(xí)模型，在一個(gè)圖像識(shí)別的例子中，識(shí)別引擎給出了公共汽車(chē)車(chē)窗的誤判。以此類(lèi)推，如果攻擊者面對(duì)機(jī)器學(xué)習(xí)的安全產(chǎn)品及系統(tǒng)，同樣有可能利用這樣的誤判，發(fā)起致命的攻擊。

機(jī)器學(xué)習(xí)作為一種數(shù)學(xué)工具，其輸出的“智能”并不是真正的“智能”，而是由其設(shè)計(jì)和運(yùn)作過(guò)程中所使用的攻防模型、機(jī)器學(xué)習(xí)算法以及訓(xùn)練樣本所決定的“計(jì)算”。這樣，如果攻擊者通過(guò)某種手段可以獲取這些信息，并進(jìn)行針對(duì)性模仿、甚至“注入”，就可以達(dá)到“免殺”和“誤導(dǎo)”的效果。

但是現(xiàn)在，攻擊方的技術(shù)真的可以達(dá)到這么高的境界了？

葉曉虎告訴雷鋒網(wǎng)，攻守雙方都能利用機(jī)器學(xué)習(xí)的技術(shù)，目前攻方利用技巧干擾機(jī)器學(xué)習(xí)的公開(kāi)案例較少，但不代表以后不會(huì)大規(guī)模流行。

“機(jī)器學(xué)習(xí)作為自動(dòng)化工具讓安全管理人員解放雙手。一個(gè)研究員手工分析一個(gè)樣本，至少需要2-3個(gè)小時(shí)，一天幾十萬(wàn)個(gè)樣本怎么辦？只能靠機(jī)器學(xué)習(xí)。攻擊者也能利用機(jī)器學(xué)習(xí)來(lái)干壞事，比如，把防守方的機(jī)器學(xué)習(xí)規(guī)則和參數(shù)摸清楚后，稍微進(jìn)行調(diào)整，就能繞過(guò)防守方建起來(lái)的墻。”

攻3：從廣撒網(wǎng)到“24小時(shí)”定向“盯梢”

定向攻擊（TA）和高級(jí)持續(xù)威脅（APT）通常被認(rèn)為是高級(jí)的技術(shù)對(duì)抗，而廣譜的、也就是非定向的攻擊被認(rèn)為是一般的技術(shù)對(duì)抗。

廣譜攻擊不區(qū)分行業(yè)和目標(biāo)屬性，單次收益低，強(qiáng)調(diào)海量重復(fù)和自動(dòng)化。定向攻擊者針對(duì)防護(hù)目標(biāo)進(jìn)行“免殺”校準(zhǔn)，此時(shí)防守方所采用的已被攻擊者掌握的一般商業(yè)化防護(hù)措施已經(jīng)失效。這時(shí)，防守成功要求攻方所不掌握的“獨(dú)特性“。這種“獨(dú)特性”對(duì)于攻方來(lái)說(shuō)意味著成本和“風(fēng)險(xiǎn)”。

“廣譜攻擊，我攻擊你，收益就一點(diǎn)點(diǎn)，最暴力、重復(fù)，而定向攻擊中，手段技術(shù)高不可怕，最可怕的還是持續(xù)性一不小心就會(huì)中招。尤其一個(gè)企業(yè)有那么多員工，如果其中一個(gè)中招，可能會(huì)對(duì)整個(gè)公司帶來(lái)可怕的后果。”葉曉虎說(shuō)。

攻4：物聯(lián)網(wǎng)的各種低防護(hù)目標(biāo)被盯上

2016年美國(guó)東部地區(qū)大斷網(wǎng)事件是這一觀點(diǎn)的最佳佐證。物聯(lián)網(wǎng)被利用來(lái)發(fā)起大規(guī)模拒絕服務(wù)攻擊是 2016 年的熱點(diǎn)事件，尤其 Mirai 和 DYN 攻擊事件中大眾傳播達(dá)到一個(gè)新的高度。

一個(gè)相對(duì)保守的預(yù)計(jì)是在 2020 年將會(huì)有 200 億以上的物聯(lián)網(wǎng)設(shè)備上網(wǎng)。

大量低防護(hù)水平的目標(biāo)涌入互聯(lián)網(wǎng)，如同原來(lái)院子里玩耍的孩子們突然跑到車(chē)水馬龍的大街上，必然對(duì)灰色產(chǎn)業(yè)和攻防態(tài)勢(shì)產(chǎn)生深刻的影響。

如何守

葉曉虎告訴雷鋒網(wǎng)，要應(yīng)對(duì)這四種可怕的攻擊趨勢(shì)，需要從這些方面來(lái)考慮：

1.跟蹤云物大移時(shí)代信息系統(tǒng)的所有環(huán)節(jié)的漏洞和攻防細(xì)節(jié)、并實(shí)時(shí)做出準(zhǔn)確的判斷，對(duì)于數(shù)十人規(guī)模的專(zhuān)業(yè)安全團(tuán)隊(duì)都是極度困難的。依托威脅情報(bào)系統(tǒng)和“生態(tài)伙伴”成為一種必然的選擇。

雷鋒網(wǎng)了解到，現(xiàn)在，北美地區(qū)的情報(bào)共享和分析中心比較成熟，在國(guó)內(nèi)，出于各方面的原因，還沒(méi)有形成很好的合作機(jī)制。

葉曉虎分析，從企業(yè)角度看，現(xiàn)在有些人會(huì)考慮分享對(duì)KPI 有沒(méi)有影響，是否會(huì)產(chǎn)生負(fù)面影響。從安全公司角度看，他們會(huì)考慮是否會(huì)損害企業(yè)的技術(shù)競(jìng)爭(zhēng)力。

因此，這確實(shí)是擺在眼前需要解決的一道題。

“但是，建立生態(tài)伙伴卻是一個(gè)不可逆轉(zhuǎn)的趨勢(shì)，企業(yè)、安全公司和主管機(jī)構(gòu)都會(huì)涉身其中，這樣才可能把安全形勢(shì)變得更可控。”

2.威脅方將會(huì)利用機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)來(lái)優(yōu)化“攻擊”，并不意味著機(jī)器學(xué)習(xí)之于網(wǎng)絡(luò)安全沒(méi)有用處，恰恰相反，不掌握機(jī)器學(xué)習(xí)技術(shù)的安全防御方將會(huì)處于類(lèi)似冷兵器對(duì)熱兵器的“劣勢(shì)”局面。

洞察網(wǎng)絡(luò)系統(tǒng)中的各種用戶(hù)和設(shè)備行為，尋找源自合法用戶(hù)、合法供應(yīng)鏈組件等的可能攻擊和濫用，針對(duì)安全事件的溯源和追蹤，對(duì)全局安全態(tài)勢(shì)的感知和研判等等，需要大量的安全數(shù)據(jù)分析、可見(jiàn)性、威脅情報(bào)等能力的聯(lián)合運(yùn)用，都需要機(jī)器學(xué)習(xí)為代表的新一代計(jì)算工具的支撐。

葉曉虎對(duì)機(jī)器學(xué)習(xí)的期待是，希望能夠構(gòu)建一個(gè)系統(tǒng)，具備對(duì)攻擊手段自演化的功能。

3.在動(dòng)態(tài)縱深防御模型下，局部的“失敗”并不可怕，但需要防守方能夠及時(shí)的檢查到“失敗”并調(diào)整防護(hù)手段，保證掌控或重新奪回戰(zhàn)場(chǎng)優(yōu)勢(shì)。

以前，大家觀點(diǎn)是，要把自己的網(wǎng)絡(luò)守得死死的，把危險(xiǎn)、入侵都擋在門(mén)外。都擋住了，你連攻擊者進(jìn)化的手段都不會(huì)了解。不如，在一臺(tái)服務(wù)器故意放一些表面上很重要的信息，吸引黑客訪問(wèn)數(shù)據(jù)，就可以鎖定這個(gè)行為用來(lái)定位。利用這種手段跟蹤攻擊方的行為，放長(zhǎng)線(xiàn)、釣大魚(yú)。雖然擋住了，但不知道黑客想要干什么，知道發(fā)生了什么事情更重要。

為此，葉曉虎也曾做過(guò)實(shí)驗(yàn)，為一個(gè)客戶(hù)模擬一個(gè)交易系統(tǒng)，做業(yè)務(wù)型的蜜罐，故意放了一些漏洞，前端發(fā)現(xiàn)了可疑，就把流量引到蜜罐上來(lái)，追溯攻擊者，讓守方有所準(zhǔn)備。

但是，每個(gè)公司的業(yè)務(wù)系統(tǒng)不一，再造一個(gè)模擬系統(tǒng)，在技術(shù)上要求很高，成本也高。這就需要企業(yè)權(quán)衡和選擇不同的防守策略和方式。

4.防護(hù)無(wú)死角，S（社交）M（移動(dòng)）T（物聯(lián)網(wǎng)）都需要考慮。

這一點(diǎn)要求守方要預(yù)先準(zhǔn)備對(duì)應(yīng)方案，適時(shí)預(yù)判。但比較麻煩的是，大部分安全公司做傳統(tǒng) IT，在物聯(lián)網(wǎng)領(lǐng)域了解不多，尤其是工控領(lǐng)域，對(duì)安全理解不太多，這是一大挑戰(zhàn)。

葉曉虎最后總結(jié)了最重要的秘籍：

1.整個(gè)安全行業(yè)，連接和共享才能快速響應(yīng)。2.整個(gè)安全需要持續(xù)運(yùn)營(yíng)，它不是靜態(tài)的，某個(gè)時(shí)間點(diǎn)的安全不能說(shuō)明什么，需要持續(xù)投入。3.從安全角度來(lái)說(shuō)，檢測(cè)比防護(hù)更重要，要知道企業(yè)安全態(tài)勢(shì)。4.人工智能和機(jī)器智能是防守方技術(shù)層面最重要的手段。提高效率，才能做得更好。

【葉曉虎（被同事稱(chēng)為“虎博”、“虎博士”）擺了兩款pose，是不是跟你想象中嚴(yán)肅的安全守衛(wèi)者形象不一樣？】

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。