登录

“黑客情报官”薛锋:真相只有一个,我们必须找到它

浅黑专栏
0 7861

640.gif

我第一次知道薛锋是在 2015 年,当时一个程序员朋友跳槽投奔他,我就问朋友这人是谁?朋友说,一个离职创业的大牛,技术炸裂,我问有多炸裂,结果朋友给我说了一段绕口令:“当年薛锋挖微软漏洞挖得微软直接挖他到微软”。我花了半天才捋明白,伸出大小拇指直呼666。

 

朋友说,薛锋打算创业做“威胁情报”,我问他威胁情报是啥,他顿了顿神说:咳咳……谍战片看过没?战争情报知道吧,“威胁情报”就是黑客之间干仗用的攻防情报。

我当即脑补出薛锋的“情报大佬”形象:眼神犀利,身穿黑衣,面带刀疤,叼着雪茄,来去神秘,行踪不定……

 

直到后来认识了薛锋本人,才发现原来网络安全界的“情报大佬”长这样……

上周见到薛锋时,他一如往常穿着商务范 polo 衫和棕黄色长裤,戴着细框眼镜。讲到起劲时,他会立即起身在玻璃墙上写写画画,清瘦不高的他,颇像个青年教师。

4326f4e2-fd6b-4f29-a8c7-e717493dd671..jpg            

(薛老师正在上课)

事实证明电影里都是假的,现实中厉害的技术大牛都挺低调。

薛锋不仅是技术大咖,还是个出色的创业者。三年里,他的公司“微步在线”一年一融资,去年刚拿了1.2亿元,这在国内安全创业公司里并不多见。

更厉害的是,薛锋是中国最早一批做威胁情报的创业者,他的故事基本映射着国内威胁情报市场的整体发展。

今天浅黑来八一八他的创业故事。

 

时间回到2015年5月的一个夜里,薛锋激动得彻夜难眠,第二天一早他就约了几个好朋友出来,邀请他们一起辞职创业。

头一天,薛锋和这几个朋友聊起威胁情报,提到一家相关的公司,就建议大家趁着估值不高可以投资一下,大家一番讨论后都觉得方向不错,可谁也没料到薛锋的真实意图居然是想自己干,更没想到这么突然。

虽然薛锋事后说 “ 其实当时并没想太多,与其投资别人,不如自己干”,可那会儿他是亚马逊中国首席安全官,工作稳定待遇优厚,就这么说辞就辞了?

都说创业是九死一生,是什么能让他下这种决心?不做不行,连投资别人做都不行,非得自己做?家里有矿吗?

会议室里,薛锋淡定地推了推眼镜,说:

“那两年我常琢磨一个问题:为什么很多大公司都能被黑客组织扒个底朝天?哪怕他们雇佣了一流的安全技术人员。哪里出了问题?”

 当时他在一份数据泄露报告里看到一个惊人的数字:美国仅在2014年就有8万多家公司被黑客攻破,不少大公司被钉在信息安全的耻辱柱上。

“ 索尼影业,上到高管薪资,下到普通员工的个人信息全都被疑似来自朝鲜的黑客公诸于众。美国最大的金融服务机构之一,摩根大通集团丢失了七千多万的客户信息。”

真相是什么?

薛锋发现,当时的信息安全太过于依赖防御技术,一道防火墙,黑客突破之后便是一马平川,整个网络就像是唱空城计。

在那种格局下,攻防双方存在严重的不对等,攻击的一方占尽了便宜。

时间上,攻击者总是更快,防御者只能被动防护;工具上,攻击者可以随意尝试各种方式,而防御者一成不变;人数上,一家企业可能被几十个甚至上百个攻击团伙轮番上,姿势还各不相同。

更要命的是敌暗我明,防御者完全不知道对方是谁,用了什么工具,甚至不知道来过几波人。

“这就好比你天天听见撬门声,可每次开门都发现没人,又做不了任何事。” 

这恐怕是那时几乎所有安全防守方的焦虑。

2015年,薛锋接触到一家名叫 Crowdstrike 的安全创业公司,得到了灵感。

“他们彻底换了个思路,除了检测可疑样本,还会排查程序和程序之间的关系、电脑与服务器之间的网络关系,利用各种信息的关联分析来判断威胁来源。

“还说撬门的例子,光靠一把锁是不能阻止坏人的,你需要专业的监控设备,比如摄像头来发现闯入的坏人。

如果问题很严重,当警察来了,他们会通过撬锁痕迹辨别对方的工具、专业水准,会询问保安最近有什么可疑人员出入过小区,会调取摄像头监控记录,根据样貌比对是否附近的惯犯……他们会调取一切有用的线索来还原作案过程和嫌疑人画像,最终找到犯罪嫌疑人。

前半段是监控,后半段是溯源。”薛锋说。

显然,如果赛博世界里的防御者也拥有老警察一般的侦查能力,就也能利用各种数据来还原攻击过程,定位到攻击团伙,叫来警察上门查水表。

而这种方法在国外当时已被验证可行,这让薛锋兴奋不已。

 

“一个团伙黑客团伙的目标行业特点、攻击手法、工具、利用的漏洞、木马样本、服务器域名、IP、数字证书等等,这些都是有用的数据,能用来还原黑客的画像和攻击流程。”

 

薛锋的描述让我联想到警匪片里的经典场景:刑侦警察们在小黑屋里放着PPT分析罪犯线索,对着墙上的照片梳理出犯罪团伙的关系脉络图,最后把一个飞镖扎在最上方的肖像上。

 

有趣的是,薛锋最早就是公安出身。

“预测、响应、防御、发现,这四件事都很重要,可过去安全行业把大部分注意力集中在防御上,对安全数据运用的太少了。” 

薛锋找到了真相,像发现新大陆一样兴奋,依照多年的攻防经验,他笃定此路行得通。

 

一切发展得太快。从有想法到开干,薛锋只用了一个月多时间,他的笃定最终也让他获得资本的青睐。据说,当时薛锋的孩子即将出生,连投资洽谈都只得安排在医院附近。

 

事实证明薛锋的判断没错,几乎在同一时间,国内一票安全公司也都察觉到威胁情报的意义。

7、8月份,天际友盟和白帽汇进军威胁情报;9月,360 成立威胁情报分析中心,10月,烽火台威胁情报联盟成立……一阵风刮到国内,所到之处遍地开花。

 

2015年最后一天,12月31日,微步在线官方微步忽然发出一份威胁分析报告,开头附上一段希腊诗人卡瓦菲斯的《伊萨卡岛》,恰似他的心境:

 

“当你启程前往伊萨卡,但愿你的道路漫长,充满奇迹,充满发现…… ……以此纪念2015,即将逝去的中国威胁情报元年。”

55cbb448-0d0d-4012-9260-baab7b382cf5..jpg

(图片截取自微博@安全威胁情报)


2

“那会儿很多人都不了解威胁情报是什么,能干什么,怎么用,经常要解释半天。”  这是薛锋创业遇到的第一个问题。他想了一个办法 —— 搞事情。

 

说回上文提到的那份技术报告,当时国内某大厂的安全部给 Adobe 公司提交了一个 Flash 播放器的 0day 漏洞(首次公开发现的漏洞),Adobe 惊奇地发现这个漏洞居然已被黑客组织利用来针对攻击企业高管,于是紧急发布了补丁。

攻击者是谁?想干什么?是针对中国的吗?目的是窃取商业机密吗?这事儿当时就在圈里火了。

 

正当大家议论纷纷,薛锋赶紧带着手底下的分析师开始关联其中的各项数据,分析出一系列重要威胁情报:

这次的攻击团伙极有可能就是几年前出现过的黑客组织“暗黑客栈”。

不仅攻击手法流程相同,而且目标行业、国家、人群、反杀软技术以及服务器端框架等特征都非常吻合。

a8989365-6d81-42c6-b499-fccfb041ff97..jpg


根据以往的威胁情报,“暗黑客栈”团伙专门盯着出去开房的企业高管,他们会黑掉受害者所在酒店房间的 wifi 来实施网络钓鱼。

 

微步在线当即在报告中建议企业CXO 立即升级Flash播放器,谨慎开房连接酒店 WiFi,不要点击陌生链接与邮件附件……

“我就是想让大家知道,安全事件从威胁情报的视角出发,可以做那么多事情。” 薛锋说。

暗黑客栈并不是微步在线第一次“炫技”。早在那之前的几个月,网上爆发了轰动的  XcodeGhost 事件,苹果商店 AppStore 出现大量带病毒的应用 ,其中不乏一些我们每天都在用的大公司的应用,连不少银行的官方应用也中了招。

 

当时国内整个互联网开始沸腾,中国国家互联网应急中心 CNCERT 发布预警,各大网络安全公司和部门发出各种分析报告。微步在线也赶紧威胁情报的角度对事件进行了分析,通过样本特征 、IP、域名等数据之间的关联,他们直接锁定嫌疑人的身份,并且推测出该事件的始作俑者跟另外两款恶意程序有密切关联。

(这是当时梳理的威胁情报数据线索图)

 19d1c016-ef76-4bb6-9549-d5a2ca1816f2..jpg 


“那几件事过后,越来越多的业内人士开始关注威胁情报。”

除了发技术报告,薛锋还开启了“刷脸布道模式”。

2016年前后,他频繁以演讲者的身份出现在各大网络安全会议,观众往往先被他个人履历吸引:

“前亚马逊中国首席安全官、微软中国互联网安全战略总监,国际顶级 Blackhat 欧洲安全大会和微软 Bluehat 大会上首位中国演讲者”。

随后,观众才注意到“微步在线”这家公司,最后再被他的演讲内容所打动。

 

“薛锋的(技术)销售能力特厉害。” 同事海洋评价他。但偏偏我发现,薛锋不是那种巧舌如簧的人,他真正打动我的是他发自内心相信威胁情报,相信自己的事业,这种由内而外散发出的坚定很容易感染别人。

 

3

会议室里,薛锋试图给我讲明白微步在线的发展轨迹,他拿起笔在玻璃墙上画了一个圈,里头写上两个英文单词 “Threat graph”,威胁数据图,他说:

“这是微步的核心价值,一个庞大的威胁图库,包含从样本特征值到服务器、域名等一系列数据,经过分析师或机器学习模型的梳理,他们会成为一条条有用的威胁情报。”

我:“这些数据都从哪里来的?”

薛锋:“数据获取渠道主要有这么几类,包括公开渠道、商业渠道,微步自己的威胁情报社区,全球各地的安全人员每天都在提交;还有合作伙伴渠道,我们跟30多个AV厂商都有合作。”

我:等等,30多个AV厂商?A……V?

薛锋:Anti Virus,反病毒厂商,卡巴斯基、微软之类的!

我:……

c0828f50-8d26-4d88-b479-5114439da884..jpg

(我在微步的引擎里随手搜了个网站,发现了一些奇奇怪怪的东西)

 

薛锋说着,又在圈外面零星写了一堆词。

“剩下的全是落地方案,目的是把我们的核心威胁情报输出给客户,满足客户具体的安全需求。”

圈外的几个关键词连成的线,俨然是薛锋这三年来的“行军路线”。

4a858fb0-45d8-4acf-aa17-5aaa29963754..jpg

(幺哥试图还原薛锋画在墙上的图)

2017年前后,“威胁情报难落地” 一度是许多人津津乐道的话题,微步在线做过许多尝试。

起初,微步在线做了一套长得类似百度、Google 的威胁情报专用搜索引擎,用户上传可疑样本进行安全检查,企业可以通过 API 接口来实现大批量查询。

 

然而愿意用的企业并不多,一来 API 接口用起来有些复杂,二来国内的企业宁愿多下载几款杀毒引擎来检查,也不愿意把敏感文件上传到第三方厂商那里,这跟国外很不一样。

 

“ 三个?四个? 2016 年前后接 API 的客户就那么多。” 薛锋不避讳当时商业上的惨状,“主要精力还是在威胁情报分析图库的搭建上。” 

后来,薛锋干脆把这个威胁搜索引擎做成了社区,谁要是被搞了,可以把相关信息提交到上面供其他人免费查询,以防止攻击团伙再去搞别人,同时也能让大家一起揪出幕后黑手。

68528b9e-c7cd-4a20-a1ff-1ec9460076b3..jpg

社区没有给微步在线带来金钱上的收入,却为他们赢得了人气,为后来的事打下了基础。薛锋说,目前社区每天能收到30万到50万条威胁信息,社区也成了行业认识微步在线的主要来源之一。

到了2017年中旬,微步在线搞出TDP、TIP 两套系统,一套能对企业内部流量进行分析,并且结合外部威胁情报来综合判断威胁,一套能帮助企业高效地管理威胁情报。至此,他们才拿下了国内几大行业的标杆客户,开始客户暴涨的局面。

薛锋一口气罗列了几十个公司的名字,其中不乏我们熟悉的招商银行、交通银行、腾讯、中石油、国家电网、银河证券、证通、顺丰等等。

由于去年融了1.2亿不差钱,微步在线又收购了知名公共域名解析服务商 OneDNS,想用域名解析的形式来输出自己的威胁情报能力。

“直接把企业或者自己电脑的DNS域名解析服务器地址换成“117.50.11.11”或者“117.50.22.22” 就能获得我们的安全服务,一旦访问到危险的域名就会自动拦截和告警。” 薛锋说,重点是不用额外安装任何软件,不妨推荐给身边的朋友试试。我说好。(这也算兑现承诺了……)

2017年全球权威IT 分析机构 Gartner 发布了《2017全球威胁情报市场指南》,微步在线以唯一一家中国厂商的身份位列其中。从公司成立到入选,微步只花了两年时间,这创造了全球安全公司的一个纪录。薛锋把原因归结为“刀够快,针够尖。” 

 

4

2018年中旬,人们的注意力又被诸如区块链之类的新技术趋势吸引,关于“威胁情报”的话题没有了上一年的喧嚣。

一次参会间隙,有个朋友拍拍薛锋的肩膀说,“ 现在威胁情报怎么不火啦?” 薛锋当时没在意,可过了一阵,另一个朋友也说起这事儿,“怎么现在没几个在朋友圈里讨论威胁情报的啦?” 

“我当时想了想,觉得这事儿快成了。” 薛锋说,早一年每个创业公司都标榜自家用了深度学习算法、人工智能技术,今年大家的关注重点不再是你用没用 AI,而是你能用它解决什么问题,解决得怎么样。

任何一项新的技术和技术理念其实都这样,当它看似被‘冷落’,可能有两个结果,一是真的玩儿完了,二是它变成了公认的底层设施,就像自来水和电一样的存在。

而这也符合Gartner对于科技发展的普遍模型 – Hype Cycle 中文通常译作“成熟度曲线” 或者“炒作曲线”。从创新出现,到媒体大量报道和讨论,再到现实落地,最终到大量采用。

d90b98ac-272e-4d91-998f-defeec4be323..jpg

“创业毕竟得相信自己的判断,而不是朋友圈的热点。” 薛锋说。

那一刻我透过薛锋的眼睛,仿佛感受到三年前他决定离职创业前一夜,那种“天将降大任”的亢奋,仿佛看到了新年前夕敲下那首希腊诗时的背影。


当你启程前往伊萨卡,

但愿你的道路漫长,

充满奇迹,充满发现。

莱斯特律戈涅斯巨人,独眼巨人,

愤怒的波塞冬海神--不要怕他们:

你将不会在途中碰到诸如此类的怪物,

只要你高扬你的思想,

只要有一种特殊的感觉,

借出你的精神和肉体。

莱斯特律戈涅斯巨人,独眼巨人,

野蛮的波塞冬海神--你将不会跟他们遭遇

除非你将他们一直带进你的灵魂,

除非你的灵魂将他们树立在你的面前。

但愿你的道路漫长。

但愿那里有很多夏天的早晨,

当你无比快乐和兴奋地

进入你第一次见到的海港:

但愿你在腓尼基人的贸易市场停步

购买精美的物件,

珍珠母和珊瑚,琥珀和黑檀,

各式各样销魂的香水

--你要多销魂就有多销魂:

愿你走访众多埃及城市

向那些有识之士讨教并继续讨教。

让伊萨卡常在你心中,

抵达那里是你此行的目的。

但路上不要过于匆促,

最好多延长几年,

那时当你上得了岛你也就老了,

一路所得已经叫你富甲四方,

用不着伊萨卡来让你财源滚滚。

是伊萨卡赐予你如此神奇的旅行,

没有它你可不会启程前来。

现在她再也没有什么可以给你的了。

而如果你发现它原来是这么穷,那可不是

伊萨卡想愚弄你。

既然那时你已经变得很聪慧,并且见多识广,

你也就不会不明白,

这些伊萨卡意味着什么。

                               —— 卡瓦菲斯



66e4aaf2-2037-439b-96a8-022dc0d5e99a..jpg


最后再介绍一下我自己吧,我是谢幺,科技科普作者一枚,日常是把各种高大上的技术知识、黑科技讲得通俗有趣。如果有什么有意思的科技类问题,可以加我的个人微信:dexter0。

不想走丢的话,请关注公众号【浅黑科技】。


发表评论

0 个回复