這世間的故事，必有緣起。黑客的江湖，也不例外。兩位世外高手，是接下來這個故事的起源。

“神獸”降臨

我叫老王。不是隔壁老王，我就是老王。

這個低調(diào)了二十年的黑客，終于站在了聚光燈下。

在此之前，圈外人對于王俊卿的了解幾乎為零。事實上，作為中國最早的一批黑客，神秘的老王和他身后聲名顯赫的 0x557 統(tǒng)領(lǐng)了中國大半部黑客史。從互聯(lián)網(wǎng)安全的洪荒時代，老王就開始了“拿站”生涯，而隨著互聯(lián)網(wǎng)的發(fā)展，老王對世界上幾乎所有復(fù)雜的大型系統(tǒng)都進行過滲透測試。他符合人們對于一個黑客的全部想象。用所向披靡來形容他在賽博世界的狀態(tài)并不夸張。在他腦海中，有一萬種游走于企業(yè)甚至政府內(nèi)網(wǎng)的姿勢。

白衣如雪，來去如風(fēng)，往往是武林高手的生存狀態(tài)。在中國互聯(lián)網(wǎng)并不長的歷史中，他一直站在某個高地，俯視陵谷變遷。據(jù)此，他自嘲為“上古神獸”。

【老王 王俊卿】

然而，在老王眼中卻充滿了憂慮。他看到這個賽博世界正在聚集越來愈多的妖云，陣腳的龍柱傾覆在即。而不自知的人們卻仍然歌舞升平。

據(jù)此，“神獸”振開雙翼，決定降臨人間。而同時嗅到危險的，還有另一只“神獸”。

Jannock 這個名字，在百度上的信息寥寥無幾。他有三個身份：

靦腆而睿智的八零后。

老王的多年好友和親密戰(zhàn)友。

在曾經(jīng)叱咤風(fēng)云的“烏云平臺”上提交漏洞最多的那個人，沒有之一。人稱“烏云一哥”。

毋庸贅言，如果他想，只需要動動手指，可以突破幾乎所有企業(yè)的安全防護。有關(guān)烏云，他心中有很多故事。但是面對雷鋒網(wǎng)宅客頻道的好奇，他覺得現(xiàn)在還不是說出來的最好時機。

在這個超級白帽子心里，烏云曾經(jīng)是他保衛(wèi)世界的方法，他幫助企業(yè)發(fā)現(xiàn)的每一個漏洞，都是賴以抵擋子彈的盾牌。然而當(dāng)無數(shù)企業(yè)在面對黑客的戰(zhàn)爭中態(tài)勢急轉(zhuǎn)直下的時候，烏云卻告別了舞臺。

于是這位“一哥”似乎別無選擇地，走到了世人面前。

【Jannock】

榴蓮一樣的安全防護

老王和一哥究竟看到了什么？

我們社會對網(wǎng)絡(luò)安全的投入越來越多，理論上來說，網(wǎng)絡(luò)攻擊應(yīng)該越來越少。但是事實卻正好相反。這不是很奇怪嗎？

最近三年，每年都有幾起大的網(wǎng)絡(luò)攻擊事件爆發(fā)出來。被攻擊的對象不僅有世界五百強企業(yè)，還有專門研究攻擊控制軟件的安全廠商，甚至泄露別人數(shù)據(jù)的平臺，自己的數(shù)據(jù)也發(fā)生了泄漏。更可怕的是，很多專門盜取別人信息的黑客組織自己的工具也泄露了。這是很大的諷刺。

隱者老王已經(jīng)適應(yīng)了“布道者”這個新角色，向現(xiàn)場觀眾描述他眼中的網(wǎng)絡(luò)安全世界。

【老王在幻云發(fā)布會現(xiàn)場】

他陳述的是事實。各大頂級企業(yè)，包括專門從事網(wǎng)絡(luò)安全的企業(yè)和組織，不可能不重視網(wǎng)絡(luò)安全?？v然投入金山銀海，就是沒有辦法抵擋住老王和一哥這樣的黑客進攻。

在老王眼里，很多企業(yè)對于黑客如何思考和進攻一無所知。這使得他們精心構(gòu)建的“馬奇諾防線”淪為昂貴的擺設(shè)。因為黑客往往會在某一個特別的位置上發(fā)現(xiàn)弱點，從而整體繞過防護機制。

老王舉了一個例子：

每個人心里的密碼都不是孤立產(chǎn)生的。你的密碼一定帶有個人色彩，和你的經(jīng)歷或性格有關(guān)，這本身就為黑客破解密碼埋下了巨大隱患。如果管理員想要“合規(guī)”地編出一套和自己毫無關(guān)系的隨機密碼表，而且按照規(guī)定讓所有的密碼生存期都不超過90天，那么他一定需要維護一張長長的密碼表。

而這恰恰又觸及了安全的禁區(qū)——密碼落于紙面。

內(nèi)網(wǎng)滲透的基礎(chǔ)并不在于找到應(yīng)用漏洞或者沒打補丁的系統(tǒng)，很多時候在于找到那張密碼表。使用密碼表上的密碼入侵內(nèi)網(wǎng)，是完全符合內(nèi)網(wǎng)防護策略的。

這只是千萬條“黑客思路”中的一條。老王不覺得傳統(tǒng)的滲透測試可以很好地找到網(wǎng)絡(luò)存在的問題。

滲透測試就像是軍演，而軍演是有劇本的。在真正的戰(zhàn)斗中，戰(zhàn)斗機可以躲在客機底下，潛艇會隱藏在客輪下面。這些開腦洞的進攻方法是絕不可能出現(xiàn)在演習(xí)里的。

老王曾經(jīng)對雷鋒網(wǎng)宅客頻道講，

內(nèi)網(wǎng)，對于外人來說是一個神秘的地方，但是如果你去詢問任何一個黑客，他都會大笑著告訴你：只要突破邊界進內(nèi)網(wǎng)之后，就暢通無阻。內(nèi)網(wǎng)的安全最爛。

如果打個比方的話，很多企業(yè)的防護都像是榴蓮，外表鋒芒畢露，里面軟滑香糯，只要你能從裂縫進入，就可以暢享戰(zhàn)果。

目前并沒有很理想的技術(shù)來保護內(nèi)網(wǎng)安全。這也是他聯(lián)合一哥，還有另一只神獸黑客 CP 創(chuàng)建錦行科技的原因。這些“老奸巨猾”的“神獸”們，提出了一種全新的內(nèi)網(wǎng)防護策略——開門接客。

為黑客“造夢”的幻云

“開門接客”并不是放棄防護投降。恰恰相反，是接受黑客可能突破邊界防護的事實。但是，當(dāng)黑客歷盡艱辛終于攻進內(nèi)網(wǎng)，踏入的卻是早已備好的“盜夢空間”。

這個盜夢空間名為“幻云”。

幻云的基本原理是：模擬出和企業(yè)真實情況極其相似的內(nèi)網(wǎng)環(huán)境，讓黑客在這個“盜夢空間”里打轉(zhuǎn)，自以為正在一步步獲取目標(biāo)信息，接近想要的內(nèi)容。而實際上他的一舉一動都暴露在幻云的監(jiān)控下。

這個邏輯聽上去簡單而解恨。但是，黑客來犯的目標(biāo)肯定是企業(yè)的真實內(nèi)網(wǎng)，如何保證黑客一定會踏進幻云的陷阱中呢？

老王給雷鋒網(wǎng)宅客頻道舉了一個例子：

黑客就如同入室盜竊的小偷。如果他進入一幢房子，里面有五扇門。他沒辦法判斷哪個門后藏著想要的東西。事實證明，如果我是那個小偷，我會從我最容易打開的那把鎖開始攻擊，然后尋找是否有暗門、窗戶等等其它通道進入別的房間，就算沒有，也可以開辟一條進入別墅的通道，從而不必每次從大門出入，站穩(wěn)腳跟之后再來判斷周圍的環(huán)境。

實際上，幻云在真實的內(nèi)網(wǎng)系統(tǒng)部署了多個“捕獸夾”。這些捕獸夾都是有經(jīng)驗的黑客在進攻中非常感興趣的節(jié)點。只要黑客踩到任意一個獸夾，之后他所有的進攻都會被靜靜地引流到位于云端的幻云中。接下來，黑客的所有攻擊行為都不會對真實系統(tǒng)有任何影響。我們可以坐在屏幕前，看這只困獸如何一步步暴露形跡。

整個過程中，誘導(dǎo)黑客踩中捕獸夾，成為了問題的關(guān)鍵。

捕獸夾只是一個工具，而問題的關(guān)鍵是把捕獸夾放在什么位置。只有對獵物了如指掌的獵手才能把獸夾放到獵物的必經(jīng)之路上。而這時，需要的就是老王這樣的黑客前輩的經(jīng)驗。

錦行首席運營官 Oscar 如此解釋幻云的獨門絕技。

Oscar 曾經(jīng)擔(dān)任騰訊安全平臺不品牌運營及對外合作團隊負責(zé)人，曾在騰訊內(nèi)部和黑產(chǎn)斗爭多年，他深知用好這樣的捕獸夾對于打擊黑產(chǎn)黑客有多大的意義。

【幻云的主要功能】

“黑客意圖”——無價之寶

感知到黑客入侵固然重要，但是，判斷黑客的意圖同樣重要。Oscar 說，幻云系統(tǒng)不僅可以再現(xiàn)黑客攻擊的所有步驟，還可以根據(jù)黑客的行為判斷黑客的下一步意圖。

了解對方意圖有多重要呢？他舉了一個有趣的例子：

小時候我不喜歡寫作業(yè)，爸爸為了防止我一個人在家的時候偷看電視，進行了“關(guān)鍵節(jié)點對抗”——每天他出門時，都把那根閉路電視線裝在包里帶走。

但是，他不知道我的真正目的其實是打游戲。每次他一出門，我就用游戲機連接電視打游戲，而在他回來之前，我會把游戲機物歸原處。包括游戲卡的疊放順序，游戲機盒子的角度都絲毫不錯。我還會用濕毛巾為電視機降溫，銷毀電視機曾經(jīng)工作的證據(jù)。

你看，不知道對手的意圖有多可怕。

幻云產(chǎn)品總監(jiān)胡鵬講述了一個真實案例。

某公司被黑客入侵，但是黑客只對 VPN 登陸的信息感興趣，并且僅僅盜走了這部分信息。看起來這對于公司并沒有實質(zhì)性的傷害。但后來的調(diào)查表明，這家公司為其他公司提供服務(wù)，而這些 VPN 登陸信息，正好和它的服務(wù)對象相關(guān)。結(jié)果證明，黑客的真正攻擊對象是這家公司的客戶。對于攻擊者來說，拿到這些數(shù)據(jù)就足夠了。如果沒有對于黑客真實意圖的判斷，那么另一家公司已經(jīng)陷入了危險之中。

幻境或是雷區(qū)

嚴格來說，幻云的最小粒度是一個個蜜罐，而蜜罐之間相互聯(lián)系組成蜜網(wǎng)，而蜜網(wǎng)層疊形成蜜場。這種蜜場極其致密，以至于黑客無論進行怎樣的動作，都能夠得到應(yīng)有的回應(yīng)。

這就像《黑客帝國》中的場景，只要給人類的大腦輸入足夠細膩的信號，泡在營養(yǎng)液中的人們，會相信自己正幸福地走在寬敞的街道上。甚至有的時候，幻云并不需要完整地仿制它所保護的系統(tǒng)。

有時，完全和真實系統(tǒng)相同，未必會達到最好的效果，而最好的效果，是模擬一個和黑客想象中一樣的系統(tǒng)。

老王的總結(jié)意味深長。

實際上，黑客手中并沒有那個陀螺，來判斷自己究竟在真實世界還是在夢境之中。在這種情況下，故事的發(fā)展無外乎會有兩種可能：

1、黑客極有可能在幻云中打轉(zhuǎn)，每次覺得自己快要接近目標(biāo)的時候，就被困難阻攔，曙光在前，卻無法掙脫。他使用的所有工具和進攻方法，都被幻云掌握，而真實的系統(tǒng)毫發(fā)無損。

2、黑客也許會懷疑系統(tǒng)的真實性。但是他卻找不到任何的證據(jù)來證明自己處在虛擬世界。因為他的每一條指令都會得到應(yīng)有的回應(yīng)。這種情況，就像面對一片空曠的場地，有一個牌子提示：前方雷區(qū)。如果冒進，黑客擔(dān)心所有的行蹤，乃至使用的攻擊木馬，包括 0Day 漏洞武器，甚至把自己的身份都暴露給了對手。黑客此時冒進，無異于自廢武功，代價高昂不可承受。于是他躊躇不前。

這兩種劇情，我們都喜歡。

Oscar 說，幻云和傳統(tǒng)安全防護產(chǎn)品并不沖突。畢竟德軍是被馬奇諾防線逼迫無奈才鋌而走險最終選擇繞過，而在希臘使用“特洛伊木馬”之前，特洛伊人頑強抵抗了九年。

在電光火石的對抗中，幻云提供了寶貴的應(yīng)對時間、信息和不斷浮現(xiàn)的真相。這些，能夠給黑客最后的致命一擊。

幻云的核心理念可以總結(jié)為“欺騙防御”。而欺騙防御，在全球安全界都是一個最新的方向。“神獸”們的努力，讓中國人在欺騙防御的方向中，占得了先機。

據(jù)此，他們值得敬佩。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。