對于所有的安全人員來說，每天都要面臨兩個終極難題：到底誰在黑我？為什么要黑我？

為了避免被黑，他們往往配置了“里三層、外三層”的防護手段和安全產(chǎn)品。

這樣造成的結(jié)果是：在發(fā)現(xiàn)異常情況時會有N條告警時，時間一長，人也逐漸麻木，他們不知道在眾多的告警中，哪些才是真正危急和需要馬上去處理的。

真要出了事，安全廠商也不會背鍋---你看，不是我們沒預(yù)警，是你們沒有重視起來?。?/p>

最終被劈的還得是苦逼的安全人員。

正所謂“不怕賊偷，就怕賊惦記”，令安全人員更加擔心的是，有些黑客在入侵的過程中，采用的是“潤物細無聲”的招式，他們潛伏已久，早已對你進行了長期和有計劃的摸底，知道你最關(guān)鍵的東西放在哪里，哪里有破綻，他們等的只不過是一個合適的時機，引爆那些早已布置好的“炸彈”，而你卻對此一無所知。

今天的故事，雷鋒網(wǎng)先從一個名為“Dragonfly”的黑客團伙講起。

“Dragonfly”背后的故事

2017年，一個名為“Dragonfly”的黑客團伙被賽門鐵克曝光，此前，這伙黑客是讓能源行業(yè)談之色變的“隱形人”，自 2011 年開始，能源行業(yè)就備受其騷擾，但“敵人”究竟能力有多強？武器如何？盯上了哪些國家的哪些設(shè)施？一直是個迷。

雖然安全人員此前對這伙人都早有耳聞，但在曝光之際，該團伙所具備的能力還是讓業(yè)內(nèi)人跌破了眼鏡。

他們可以對超過84個國家的數(shù)千座發(fā)電站進行遠程訪問，并能針對數(shù)十家能源公司同時發(fā)動攻擊，不僅能入侵能源公司的運營網(wǎng)絡(luò)，還能操控美國本土的配電網(wǎng)絡(luò)，這是我們第一次意識到攻擊者居然能夠操控如此大規(guī)模的電力系統(tǒng)運營。

告訴我這串數(shù)字的，是賽門鐵克華東及華南區(qū)售前經(jīng)理王景普。

王透露，針對能源等關(guān)鍵設(shè)施進行攻擊的，都是有備而來的黑客，即“針對性攻擊組織”，他們目標明確，而且在真正動手前往往都已經(jīng)用“魚叉”“水坑”等攻擊招式掌握了攻擊目標的關(guān)鍵信息，比如用釣魚郵件知道了某些關(guān)鍵員工的郵箱用戶名、密碼，獲取到核心數(shù)據(jù)，用“水坑”式攻擊了解企業(yè)員工平時都會訪問什么類型的網(wǎng)站，將企業(yè)經(jīng)常訪問并信任的網(wǎng)站作為攻擊目標……

但與此同時，安全人員卻對這些黑客不了解，尤其是每天收到 N 條告警時，他們更加分不清誰是誰，這就好比打仗時，一直處于敵暗我明的不利態(tài)勢，敵方早就刺探出你的排兵布陣，而你卻渾然不知對方的情況。

根據(jù)王景普多年的“戰(zhàn)斗”經(jīng)驗，要想把這伙黑客揪出來，得有兩個殺手锏。首先要掌握足夠多的作案數(shù)據(jù)，第二就是你要能在這么多數(shù)據(jù)中根據(jù)共性，分析出這伙黑客的特點，再順藤摸瓜的鎖定他們。

要做到這兩點，并不容易，第一要有充足數(shù)據(jù)，第二要有先進的算法，只有這兩項都具備，才能有跟黑客叫板的資格。

揪出 Dragonfly 的功臣－－“AI偵探”

對于神出鬼沒的黑客，只有廣撒網(wǎng)，才能尋覓到一些蛛絲馬跡。就像一位出色的偵探往往都會在前期做大量縝密的線索搜集工作。

（圖片來源：偵探游戲“9條線索2病房”）

所以對于安全人員來說，擺在面前第一件事是盡可能收集到黑客團伙充足的數(shù)據(jù)。據(jù)王景普透露，目前賽門鐵克在全球覆蓋了 1.75 億個終端和 9500 萬傳感器，所以可以針對端點流量、電子郵件甚至是誘餌郵箱收集廣泛的數(shù)據(jù)，形成了最終大數(shù)據(jù)分析的數(shù)據(jù)來源。

由于覆蓋了龐大的終端和傳感器，我們能對全球 157 個國家和地區(qū)的多個攻擊團體進行持續(xù)跟蹤，在此基礎(chǔ)上，我們也積累了相對龐大的漏洞數(shù)據(jù)庫。從二十多年前開始，該數(shù)據(jù)庫至今已經(jīng)記錄了超過將近9萬個漏洞。

有了數(shù)據(jù)倉庫后，接下來最關(guān)鍵的就是如何分析這些數(shù)據(jù)，最終揪出黑客團伙。

王透露，最終的分析結(jié)果其實得益于于近幾年開始使用的機器學習技術(shù)，工程師團隊要做的，就是在海量的數(shù)據(jù)中，把有共性的攻擊行為挑出來進行分析，從而鎖定背后的黑客團伙。這要求這個團隊既有機器學習的知識積累，還有網(wǎng)絡(luò)安全的專業(yè)知識，王把這項“偵探”技術(shù)稱為 TAA （針對性攻擊分析），雷鋒網(wǎng)編輯覺得，這更像是一個“AI偵探”的角色。

TAA 技術(shù)由攻擊調(diào)查團隊和安全數(shù)據(jù)科學家共同研發(fā)。

王透露，這個具有多元背景的團隊正是他們得以揪出 Dragonfly 的幕后功臣，它可以讓客戶無需更新產(chǎn)品，通過定期的重新訓練和更新分析來檢測新型攻擊手段。

那這跟之前的高級威脅分析有何不同？

王回應(yīng)，針對性攻擊的分析工具其實在 2011 年已經(jīng)有了，只是各方面還沒那么成熟，以前賽門鐵克只把它放在情報網(wǎng)里，相當于“試煉”，沒把它放在ATP設(shè)備里，因此無法向客戶提供詳細報告和信息，而現(xiàn)在，是把它從幕后拉到前臺，讓用戶直接看到分析結(jié)果。

分析結(jié)果的體現(xiàn)方式是一份份詳細的分析報告，解決的正是文章開頭所遇到終極難題，你被哪些黑客組織盯上了、他們以前有哪些黑歷史、慣用套路是什么、什么時候盯上你的、對你的攻擊進行到哪步了、接下來你需要采取哪些措施……

這些工作成果，都來自這位“AI”偵探，而這項技術(shù)之所以能實現(xiàn)，數(shù)據(jù)上云是一個關(guān)鍵點。

王景普解釋，由于原來的引擎一直在賽門鐵克自己的數(shù)據(jù)中心運行，所以計算能力有很大的局限性。現(xiàn)在憑借云端龐大的計算能力和大數(shù)據(jù)分析平臺，人工智能和高級機器學習專家的想法才得以實現(xiàn)，之后再做成有效的機器學習模型，最終輸出正確的分析結(jié)果。

黑客本身既了解人工智能，又了解分析，如何跟上他們的步伐？

你以為用了“AI偵探”就能叫板黑客了？

NONONO，你用AI，黑客也用AI，說不定人家的裝備不比你差！

其實，賽門鐵克在去年就曾預(yù)測，黑客將會利用人工智能和高級機器學習等手段發(fā)動攻擊，而安全人員能不能占上風，將取決于監(jiān)測范圍和數(shù)據(jù)量的大小，以及對于數(shù)據(jù)的處理分析。

對于做安全產(chǎn)品的企業(yè)來說，監(jiān)測范圍、數(shù)據(jù)量以及分析引擎都是縮短抓到黑客時間的關(guān)鍵，這也是為什么我們要把整套系統(tǒng)從原來自己的數(shù)據(jù)中心全部遷移到云上的原因，如果沒有云計算超大計算能力和大數(shù)據(jù)分析平臺的配合，我們也無法處理數(shù)據(jù)如此龐大的分析。

王景普告訴雷鋒網(wǎng)，為了使數(shù)據(jù)更加全面，質(zhì)量更高，他們除了自研，近幾年也在不斷的收購新公司，比如針對IOT、移動終端和云的安全，都收購了相關(guān)的產(chǎn)品和技術(shù)，黑客攻擊一個目標企業(yè)時可能利用到的傳統(tǒng)方式、通道和新的方式、通道都要覆蓋。

那么，如此大規(guī)模的收集數(shù)據(jù)，是否對業(yè)務(wù)會產(chǎn)生影響？是否會侵犯客戶的隱私？

王回應(yīng)，第一，不會對用戶的終端產(chǎn)生影響。對于企業(yè)的端點，在客戶明確允許的情況下，賽門鐵克會通過 SEP 收集來自企業(yè)端點的數(shù)據(jù)。由于ATP設(shè)備只接受從其他來源復(fù)制的流量，而不參與網(wǎng)絡(luò)中數(shù)據(jù)的交換，所以它不會對網(wǎng)絡(luò)本身的性能產(chǎn)生影響。

第二，在端點方面，賽門鐵克的軟件一旦打開某個事件，收集的只是日志，量非常小，所以電腦運行速度不會因為記錄日志而變慢。此外，由于收集這些數(shù)據(jù)不需要另外安裝客戶端軟件，所以不會導致它跟端點上的其他應(yīng)用產(chǎn)生沖突或者導致操作系統(tǒng)崩潰。

第三，會確保匿名性。他們所收集的數(shù)據(jù)只是事件日志，而不會記錄企業(yè)真正數(shù)據(jù)，所以不會涉及到企業(yè)機密相關(guān)信息的收集。針對企業(yè)端，在收集數(shù)據(jù)之前，客戶需要自行去配置功能，得到客戶明確允許后，才能進行數(shù)據(jù)收集，由客戶決定哪些數(shù)據(jù)可以被收集，并且不會收集客戶名字，也就是說，數(shù)據(jù)上傳后賽門鐵克也不知道這究竟是哪個客戶的數(shù)據(jù)，所以能夠確保匿名性。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。