對(duì)于所有的安全人員來說，每天都要面臨兩個(gè)終極難題：到底誰在黑我？為什么要黑我？

為了避免被黑，他們往往配置了“里三層、外三層”的防護(hù)手段和安全產(chǎn)品。

這樣造成的結(jié)果是：在發(fā)現(xiàn)異常情況時(shí)會(huì)有N條告警時(shí)，時(shí)間一長，人也逐漸麻木，他們不知道在眾多的告警中，哪些才是真正危急和需要馬上去處理的。

真要出了事，安全廠商也不會(huì)背鍋---你看，不是我們沒預(yù)警，是你們沒有重視起來?。?/p>

最終被劈的還得是苦逼的安全人員。

正所謂“不怕賊偷，就怕賊惦記”，令安全人員更加擔(dān)心的是，有些黑客在入侵的過程中，采用的是“潤物細(xì)無聲”的招式，他們潛伏已久，早已對(duì)你進(jìn)行了長期和有計(jì)劃的摸底，知道你最關(guān)鍵的東西放在哪里，哪里有破綻，他們等的只不過是一個(gè)合適的時(shí)機(jī)，引爆那些早已布置好的“炸彈”，而你卻對(duì)此一無所知。

今天的故事，雷鋒網(wǎng)先從一個(gè)名為“Dragonfly”的黑客團(tuán)伙講起。

“Dragonfly”背后的故事

2017年，一個(gè)名為“Dragonfly”的黑客團(tuán)伙被賽門鐵克曝光，此前，這伙黑客是讓能源行業(yè)談之色變的“隱形人”，自 2011 年開始，能源行業(yè)就備受其騷擾，但“敵人”究竟能力有多強(qiáng)？武器如何？盯上了哪些國家的哪些設(shè)施？一直是個(gè)迷。

雖然安全人員此前對(duì)這伙人都早有耳聞，但在曝光之際，該團(tuán)伙所具備的能力還是讓業(yè)內(nèi)人跌破了眼鏡。

他們可以對(duì)超過84個(gè)國家的數(shù)千座發(fā)電站進(jìn)行遠(yuǎn)程訪問，并能針對(duì)數(shù)十家能源公司同時(shí)發(fā)動(dòng)攻擊，不僅能入侵能源公司的運(yùn)營網(wǎng)絡(luò)，還能操控美國本土的配電網(wǎng)絡(luò)，這是我們第一次意識(shí)到攻擊者居然能夠操控如此大規(guī)模的電力系統(tǒng)運(yùn)營。

告訴我這串?dāng)?shù)字的，是賽門鐵克華東及華南區(qū)售前經(jīng)理王景普。

王透露，針對(duì)能源等關(guān)鍵設(shè)施進(jìn)行攻擊的，都是有備而來的黑客，即“針對(duì)性攻擊組織”，他們目標(biāo)明確，而且在真正動(dòng)手前往往都已經(jīng)用“魚叉”“水坑”等攻擊招式掌握了攻擊目標(biāo)的關(guān)鍵信息，比如用釣魚郵件知道了某些關(guān)鍵員工的郵箱用戶名、密碼，獲取到核心數(shù)據(jù)，用“水坑”式攻擊了解企業(yè)員工平時(shí)都會(huì)訪問什么類型的網(wǎng)站，將企業(yè)經(jīng)常訪問并信任的網(wǎng)站作為攻擊目標(biāo)……

但與此同時(shí)，安全人員卻對(duì)這些黑客不了解，尤其是每天收到 N 條告警時(shí)，他們更加分不清誰是誰，這就好比打仗時(shí)，一直處于敵暗我明的不利態(tài)勢(shì)，敵方早就刺探出你的排兵布陣，而你卻渾然不知對(duì)方的情況。

根據(jù)王景普多年的“戰(zhàn)斗”經(jīng)驗(yàn)，要想把這伙黑客揪出來，得有兩個(gè)殺手锏。首先要掌握足夠多的作案數(shù)據(jù)，第二就是你要能在這么多數(shù)據(jù)中根據(jù)共性，分析出這伙黑客的特點(diǎn)，再順藤摸瓜的鎖定他們。

要做到這兩點(diǎn)，并不容易，第一要有充足數(shù)據(jù)，第二要有先進(jìn)的算法，只有這兩項(xiàng)都具備，才能有跟黑客叫板的資格。

揪出 Dragonfly 的功臣－－“AI偵探”

對(duì)于神出鬼沒的黑客，只有廣撒網(wǎng)，才能尋覓到一些蛛絲馬跡。就像一位出色的偵探往往都會(huì)在前期做大量縝密的線索搜集工作。

（圖片來源：偵探游戲“9條線索2病房”）

所以對(duì)于安全人員來說，擺在面前第一件事是盡可能收集到黑客團(tuán)伙充足的數(shù)據(jù)。據(jù)王景普透露，目前賽門鐵克在全球覆蓋了 1.75 億個(gè)終端和 9500 萬傳感器，所以可以針對(duì)端點(diǎn)流量、電子郵件甚至是誘餌郵箱收集廣泛的數(shù)據(jù)，形成了最終大數(shù)據(jù)分析的數(shù)據(jù)來源。

由于覆蓋了龐大的終端和傳感器，我們能對(duì)全球 157 個(gè)國家和地區(qū)的多個(gè)攻擊團(tuán)體進(jìn)行持續(xù)跟蹤，在此基礎(chǔ)上，我們也積累了相對(duì)龐大的漏洞數(shù)據(jù)庫。從二十多年前開始，該數(shù)據(jù)庫至今已經(jīng)記錄了超過將近9萬個(gè)漏洞。

有了數(shù)據(jù)倉庫后，接下來最關(guān)鍵的就是如何分析這些數(shù)據(jù)，最終揪出黑客團(tuán)伙。

王透露，最終的分析結(jié)果其實(shí)得益于于近幾年開始使用的機(jī)器學(xué)習(xí)技術(shù)，工程師團(tuán)隊(duì)要做的，就是在海量的數(shù)據(jù)中，把有共性的攻擊行為挑出來進(jìn)行分析，從而鎖定背后的黑客團(tuán)伙。這要求這個(gè)團(tuán)隊(duì)既有機(jī)器學(xué)習(xí)的知識(shí)積累，還有網(wǎng)絡(luò)安全的專業(yè)知識(shí)，王把這項(xiàng)“偵探”技術(shù)稱為 TAA （針對(duì)性攻擊分析），雷鋒網(wǎng)編輯覺得，這更像是一個(gè)“AI偵探”的角色。

TAA 技術(shù)由攻擊調(diào)查團(tuán)隊(duì)和安全數(shù)據(jù)科學(xué)家共同研發(fā)。

王透露，這個(gè)具有多元背景的團(tuán)隊(duì)正是他們得以揪出 Dragonfly 的幕后功臣，它可以讓客戶無需更新產(chǎn)品，通過定期的重新訓(xùn)練和更新分析來檢測(cè)新型攻擊手段。

那這跟之前的高級(jí)威脅分析有何不同？

王回應(yīng)，針對(duì)性攻擊的分析工具其實(shí)在 2011 年已經(jīng)有了，只是各方面還沒那么成熟，以前賽門鐵克只把它放在情報(bào)網(wǎng)里，相當(dāng)于“試煉”，沒把它放在ATP設(shè)備里，因此無法向客戶提供詳細(xì)報(bào)告和信息，而現(xiàn)在，是把它從幕后拉到前臺(tái)，讓用戶直接看到分析結(jié)果。

分析結(jié)果的體現(xiàn)方式是一份份詳細(xì)的分析報(bào)告，解決的正是文章開頭所遇到終極難題，你被哪些黑客組織盯上了、他們以前有哪些黑歷史、慣用套路是什么、什么時(shí)候盯上你的、對(duì)你的攻擊進(jìn)行到哪步了、接下來你需要采取哪些措施……

這些工作成果，都來自這位“AI”偵探，而這項(xiàng)技術(shù)之所以能實(shí)現(xiàn)，數(shù)據(jù)上云是一個(gè)關(guān)鍵點(diǎn)。

王景普解釋，由于原來的引擎一直在賽門鐵克自己的數(shù)據(jù)中心運(yùn)行，所以計(jì)算能力有很大的局限性?，F(xiàn)在憑借云端龐大的計(jì)算能力和大數(shù)據(jù)分析平臺(tái)，人工智能和高級(jí)機(jī)器學(xué)習(xí)專家的想法才得以實(shí)現(xiàn)，之后再做成有效的機(jī)器學(xué)習(xí)模型，最終輸出正確的分析結(jié)果。

黑客本身既了解人工智能，又了解分析，如何跟上他們的步伐？

你以為用了“AI偵探”就能叫板黑客了？

NONONO，你用AI，黑客也用AI，說不定人家的裝備不比你差！

其實(shí)，賽門鐵克在去年就曾預(yù)測(cè)，黑客將會(huì)利用人工智能和高級(jí)機(jī)器學(xué)習(xí)等手段發(fā)動(dòng)攻擊，而安全人員能不能占上風(fēng)，將取決于監(jiān)測(cè)范圍和數(shù)據(jù)量的大小，以及對(duì)于數(shù)據(jù)的處理分析。

對(duì)于做安全產(chǎn)品的企業(yè)來說，監(jiān)測(cè)范圍、數(shù)據(jù)量以及分析引擎都是縮短抓到黑客時(shí)間的關(guān)鍵，這也是為什么我們要把整套系統(tǒng)從原來自己的數(shù)據(jù)中心全部遷移到云上的原因，如果沒有云計(jì)算超大計(jì)算能力和大數(shù)據(jù)分析平臺(tái)的配合，我們也無法處理數(shù)據(jù)如此龐大的分析。

王景普告訴雷鋒網(wǎng)，為了使數(shù)據(jù)更加全面，質(zhì)量更高，他們除了自研，近幾年也在不斷的收購新公司，比如針對(duì)IOT、移動(dòng)終端和云的安全，都收購了相關(guān)的產(chǎn)品和技術(shù)，黑客攻擊一個(gè)目標(biāo)企業(yè)時(shí)可能利用到的傳統(tǒng)方式、通道和新的方式、通道都要覆蓋。

那么，如此大規(guī)模的收集數(shù)據(jù)，是否對(duì)業(yè)務(wù)會(huì)產(chǎn)生影響？是否會(huì)侵犯客戶的隱私？

王回應(yīng)，第一，不會(huì)對(duì)用戶的終端產(chǎn)生影響。對(duì)于企業(yè)的端點(diǎn)，在客戶明確允許的情況下，賽門鐵克會(huì)通過 SEP 收集來自企業(yè)端點(diǎn)的數(shù)據(jù)。由于ATP設(shè)備只接受從其他來源復(fù)制的流量，而不參與網(wǎng)絡(luò)中數(shù)據(jù)的交換，所以它不會(huì)對(duì)網(wǎng)絡(luò)本身的性能產(chǎn)生影響。

第二，在端點(diǎn)方面，賽門鐵克的軟件一旦打開某個(gè)事件，收集的只是日志，量非常小，所以電腦運(yùn)行速度不會(huì)因?yàn)橛涗浫罩径兟?。此外，由于收集這些數(shù)據(jù)不需要另外安裝客戶端軟件，所以不會(huì)導(dǎo)致它跟端點(diǎn)上的其他應(yīng)用產(chǎn)生沖突或者導(dǎo)致操作系統(tǒng)崩潰。

第三，會(huì)確保匿名性。他們所收集的數(shù)據(jù)只是事件日志，而不會(huì)記錄企業(yè)真正數(shù)據(jù)，所以不會(huì)涉及到企業(yè)機(jī)密相關(guān)信息的收集。針對(duì)企業(yè)端，在收集數(shù)據(jù)之前，客戶需要自行去配置功能，得到客戶明確允許后，才能進(jìn)行數(shù)據(jù)收集，由客戶決定哪些數(shù)據(jù)可以被收集，并且不會(huì)收集客戶名字，也就是說，數(shù)據(jù)上傳后賽門鐵克也不知道這究竟是哪個(gè)客戶的數(shù)據(jù)，所以能夠確保匿名性。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。