齊岳峰

一個(gè)國(guó)家的網(wǎng)絡(luò)安防水平，與其黑客的技術(shù)水平密切相關(guān)

隨著威脅情報(bào)被日益頻繁地提及，如今，應(yīng)對(duì)黑客攻擊的思路正在發(fā)生變化：建立事前預(yù)警機(jī)制比僅僅彌補(bǔ)缺漏更關(guān)鍵。

這一趨勢(shì)，使得網(wǎng)絡(luò)安全的悖論更加凸顯：一個(gè)國(guó)家的網(wǎng)絡(luò)安防水平，與其黑客的技術(shù)水平密切相關(guān)。美國(guó)、俄羅斯等在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域領(lǐng)先的國(guó)家，亦是世界知名黑客的聚集地。

正如360安全系統(tǒng)的員工幾乎每個(gè)人都會(huì)對(duì)記者說(shuō)的那句：“未知攻，焉知防？”

事前預(yù)警更關(guān)鍵

林偉，這個(gè)不是很善言辭的技術(shù)男，大學(xué)只讀了兩年，如今卻統(tǒng)領(lǐng)著國(guó)內(nèi)最大的網(wǎng)絡(luò)安全公司奇虎360的網(wǎng)絡(luò)安防團(tuán)隊(duì)。

360自身也需要一個(gè)可靠的安全系統(tǒng)支撐。林偉帶著他的團(tuán)隊(duì)每天要對(duì)公司的8萬(wàn)～10萬(wàn)臺(tái)服務(wù)器“過(guò)一遍”，及時(shí)應(yīng)對(duì)可能出現(xiàn)的威脅。

這個(gè)工作不僅包括尋找系統(tǒng)的既有安全漏洞，還要對(duì)黑客們的動(dòng)態(tài)信息進(jìn)行實(shí)時(shí)追蹤，力求做到對(duì)安全威脅的即時(shí)反饋。

業(yè)內(nèi)曾經(jīng)認(rèn)為，只要彌補(bǔ)缺漏，即可規(guī)避被黑客攻擊，但這樣的設(shè)想往往是一廂情愿。

中國(guó)信息安全評(píng)測(cè)中心首席信息安全咨詢(xún)師蔣魯寧告訴《瞭望東方周刊》，而今談?wù)撔畔踩I(lǐng)域的問(wèn)題，都繞不開(kāi)威脅情報(bào)。

人們可以從安全服務(wù)廠商、防病毒廠商、政府機(jī)構(gòu)和安全組織那里看到的安全預(yù)警通告、漏洞通告、威脅通告等，這些都屬于典型的安全威脅情報(bào)。

在以往的網(wǎng)絡(luò)攻防中，安防員希望縮短發(fā)現(xiàn)高級(jí)威脅的時(shí)間，并摸清攻擊的來(lái)龍去脈與背后的信息，增加攻擊者的成本。在威脅情報(bào)被足夠重視之前，攻擊方利用漏洞攻擊，被攻擊方只能發(fā)現(xiàn)一個(gè)漏洞，補(bǔ)一個(gè)漏洞，或是發(fā)現(xiàn)一個(gè)惡意軟件，處理一個(gè)，面對(duì)高級(jí)持續(xù)威脅時(shí)非常被動(dòng)。

但是，有了大數(shù)據(jù)驅(qū)動(dòng)的威脅情報(bào)，只要攻擊被發(fā)現(xiàn)一次，馬上就會(huì)被全網(wǎng)數(shù)據(jù)進(jìn)行關(guān)聯(lián)推演。攻擊者的所有手法、工具、跳板都會(huì)曝光，被攻擊者的防御周期從原來(lái)的幾周幾個(gè)月縮短到天、小時(shí)甚至實(shí)時(shí)。

威脅情報(bào)中心就是要時(shí)刻發(fā)現(xiàn)攻擊來(lái)源，并幫助用戶(hù)立即響應(yīng)處理，避免損失。同時(shí)，威脅情報(bào)中心還可以通過(guò)對(duì)流量與安全輿情的監(jiān)控，對(duì)大規(guī)模網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控與預(yù)測(cè)。

人是核心

人是威脅情報(bào)系統(tǒng)的核心。

在網(wǎng)絡(luò)安全的攻防之戰(zhàn)中，作為防御的一方，安全員們不但要有極強(qiáng)的搜素引擎排除能力，還要掌握黑客名單，而這些能力，都需要在行業(yè)里的長(zhǎng)期浸潤(rùn)。因此，不少情報(bào)分析人員都是黑客出身。

國(guó)外把黑客分為“黑帽子”和“白帽子”，對(duì)網(wǎng)絡(luò)安全漏洞的研究是雙方的共同興趣，不同的是，“白帽子”并不想借此進(jìn)入黑產(chǎn)賺錢(qián)。因此，他們成為情報(bào)分析員，也是水到渠成。

林偉的職業(yè)生涯就是起自黑客。最早，像幾乎業(yè)內(nèi)所有人一樣，他做了個(gè)網(wǎng)站，然后“受攻擊、反擊，持續(xù)往復(fù)”，直至自己功夫練成。這是頂級(jí)黑客的必修課，如今也成為網(wǎng)絡(luò)安防人員的必修課。

事實(shí)上，一方面是因?yàn)楹诳蛡儗?duì)威脅情報(bào)分析有著先天優(yōu)勢(shì)，另一方面，隨著各國(guó)在網(wǎng)絡(luò)安全方面的法律建設(shè)日益完善，以及各大公司的重金招攬，黑客們轉(zhuǎn)身成為網(wǎng)絡(luò)安防員，這在近幾年已經(jīng)成為常見(jiàn)的現(xiàn)象。

具備良好威脅情報(bào)分析能力的人卻并不好找。360副總裁譚曉生告訴《瞭望東方周刊》，篩選這些人員是一項(xiàng)極難的工作——安全人員的思維方式與程序員不同，他們的思維要有跳躍和突破，當(dāng)然，還有悟性。

他們也需要經(jīng)常參加業(yè)內(nèi)大賽，積累經(jīng)驗(yàn)，也積累名次與名氣。不過(guò)，價(jià)值觀仍然是最重要的標(biāo)準(zhǔn)：“對(duì)底線怎么看？對(duì)獲得錢(qián)的手段怎么考慮？”

360目前有中國(guó)最大的該系統(tǒng)的數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)安全從業(yè)者們的數(shù)據(jù)資料被收納其中，林偉們則負(fù)責(zé)監(jiān)控黑客們的公開(kāi)討論，并從這些公開(kāi)信息中發(fā)現(xiàn)黑客們的行動(dòng)脈絡(luò)，以便實(shí)現(xiàn)提前預(yù)警功能，也就是掌握威脅情報(bào)。

美國(guó)的領(lǐng)先將被強(qiáng)化

目前，美國(guó)已經(jīng)成立了專(zhuān)門(mén)做政府和企業(yè)威脅信息共享的機(jī)構(gòu)——網(wǎng)絡(luò)安全和通信整合中心，進(jìn)而又成立了網(wǎng)絡(luò)威脅與情報(bào)整合中心，歸屬?lài)?guó)家情報(bào)總監(jiān)辦公室，專(zhuān)門(mén)為美國(guó)政府和企業(yè)收集信息和分析信息。

新的網(wǎng)絡(luò)威脅情報(bào)集成中心旨在協(xié)調(diào)政府各機(jī)構(gòu)之間的情報(bào)，以更好的對(duì)網(wǎng)絡(luò)攻擊作出回應(yīng)。他們會(huì)系統(tǒng)地分析黑客團(tuán)體，收集黑客們的數(shù)字“簽名”，并與執(zhí)法部門(mén)和情報(bào)機(jī)構(gòu)共享威脅信息。

而在以威脅情報(bào)引領(lǐng)網(wǎng)絡(luò)安全的時(shí)代，美國(guó)因其黑客技術(shù)優(yōu)勢(shì)，將擁有更高的網(wǎng)絡(luò)安全水平。

黑客的鼻祖是美國(guó)人。在美國(guó)，黑客技術(shù)最初并不帶有被批判的色彩。

2011年，五角大樓將針對(duì)美國(guó)的一切“網(wǎng)絡(luò)入侵行為”進(jìn)行分級(jí)，將最高等級(jí)的網(wǎng)絡(luò)入侵定義為“戰(zhàn)爭(zhēng)行為”。在此之前，美國(guó)很少對(duì)黑客“下重手”。曾多次入侵美國(guó)人造衛(wèi)星控制系統(tǒng)的20歲黑客杰森.德克曼，在2002年2月僅被判入獄21個(gè)月外加罰金8.8萬(wàn)美元。

本世紀(jì)初期，美國(guó)已經(jīng)有專(zhuān)門(mén)培養(yǎng)黑客的學(xué)校。不過(guò)，在幾乎所有的公開(kāi)報(bào)道中，這些學(xué)校主要負(fù)責(zé)教會(huì)學(xué)生與黑客斗法，防范黑客攻擊。學(xué)生們畢業(yè)后，通過(guò)極其嚴(yán)格的考試，會(huì)獲得一份資格證書(shū)，進(jìn)而進(jìn)軍安全行業(yè)。

美國(guó)的強(qiáng)力機(jī)構(gòu)也十分注重對(duì)信息安全領(lǐng)域人才的吸納。此外，一些政府和私人安保機(jī)構(gòu)甚至開(kāi)始面向高中學(xué)生開(kāi)放實(shí)習(xí)機(jī)會(huì)，著眼于向他們灌輸興趣并展示網(wǎng)絡(luò)安全的就業(yè)前景與機(jī)會(huì)。

此外，一些面向大學(xué)學(xué)歷以下學(xué)生的網(wǎng)絡(luò)安全培訓(xùn)活動(dòng)，也在美國(guó)民間發(fā)展迅速。在信息安全領(lǐng)域的行業(yè)集會(huì)上，培訓(xùn)機(jī)構(gòu)也向有意向的與會(huì)者提供信息安全培訓(xùn)。

美國(guó)國(guó)家安全局更公開(kāi)稱(chēng)“當(dāng)涉及國(guó)家安全，沒(méi)有什么可以替代一個(gè)專(zhuān)業(yè)的、才華橫溢的網(wǎng)絡(luò)團(tuán)隊(duì)，我們需要最好、最聰明的人，來(lái)幫助我們戰(zhàn)勝對(duì)手。”

因?yàn)槊绹?guó)黑客群體的基數(shù)大，技術(shù)先進(jìn)，因此，某種程度上，美國(guó)網(wǎng)絡(luò)威脅和情報(bào)整合中心進(jìn)一步強(qiáng)化了美國(guó)在信息情報(bào)威脅領(lǐng)域的地位。

聯(lián)合防御

不過(guò)，業(yè)內(nèi)對(duì)于威脅情報(bào)的應(yīng)用，始終存在一些爭(zhēng)議。

目前，企業(yè)和政府的配合走向常態(tài)化，行業(yè)內(nèi)上下游的聯(lián)合走向常態(tài)化，這些都成為推動(dòng)網(wǎng)絡(luò)安全升級(jí)的共識(shí)。

但在現(xiàn)實(shí)中，不乏有用戶(hù)要求其公司保留這些威脅情報(bào)作為公司的私有“財(cái)產(chǎn)”，以致于這些情報(bào)不能被供應(yīng)商用于更廣泛的商業(yè)用途。

正是因此，威脅情報(bào)的信息共享機(jī)制在目前的條件下很難建立。

且不說(shuō)個(gè)人用戶(hù)，即便是企業(yè)防護(hù)，在理論上都可能被攻破。一般來(lái)說(shuō)，黑客獲得攻擊權(quán)限后，“分分鐘”就可以取得企業(yè)的高價(jià)值數(shù)據(jù)，最快不超過(guò)一天，但受害企業(yè)站發(fā)現(xiàn)被攻擊后，需要逐級(jí)匯報(bào)，響應(yīng)非常緩慢，幾天甚至幾周時(shí)間才能發(fā)現(xiàn)數(shù)據(jù)泄漏?！岸芎兔幱趪?yán)重不平衡狀態(tài)?！卑踩{情報(bào)推進(jìn)聯(lián)盟發(fā)起人金湘宇告訴《瞭望東方周刊》。

“再牛的技術(shù)一樣有漏洞，微軟很牛、思科很牛，但一樣有漏洞，無(wú)論是什么程序，一定會(huì)被入侵。”金湘宇說(shuō)。

因此，聯(lián)合防御將是構(gòu)建網(wǎng)絡(luò)生態(tài)的主要趨勢(shì)。

而在沒(méi)有國(guó)界的虛擬世界，這一點(diǎn)尤為重要。

據(jù)騰訊研究院安全研究中心發(fā)布的《中國(guó)網(wǎng)絡(luò)安全生態(tài)報(bào)告（2015）》顯示：跨境聯(lián)合犯罪、假設(shè)境外服務(wù)器、注冊(cè)海外網(wǎng)站和針對(duì)境內(nèi)目標(biāo)是中國(guó)當(dāng)前互聯(lián)網(wǎng)安全領(lǐng)域面臨的挑戰(zhàn)，而境內(nèi)90%以上的詐騙網(wǎng)站、釣魚(yú)網(wǎng)站、賭博網(wǎng)站的服務(wù)器位于境外，通過(guò)境外服務(wù)器vpn跳轉(zhuǎn)中國(guó)。