安全路透社
当前位置:安全路透社 > 网络转载 > 正文

腾讯云鼎实验室掌门人killer专访:安全路上,杀手没有假期

近期,感染了数百万台计算机的复杂木马暗云出现以后,腾讯安全团队在FreeBuf发布了一系列分析文章,其中名为《“暗黑流量”超大规模DDoS溯源分析》的文章署名为云鼎实验室。

事实上,云鼎实验室常在FreeBuf发表各种技术文章,云鼎实验室的工作不仅限于安全研究,在各类安全事件爆发之时,云鼎实验室也第一时间进行应急响应。不久前,席卷全球的WannaCry爆发前后,他们做了大量应对工作:

NSA的攻击工具包泄漏后,云鼎团队第一时间做了相关分析,发布了《NSA秘密黑客组织方程式攻击工具包解析》,并紧急向用户发送预警通知,督促和指导用户进行补丁修复。同时,他们对腾讯云官网的Windows镜像进行了全网更新,默认集成最新补丁,也督促第三方服务提供商进行本次补丁更新,将补丁更新作为生态准入条件。

WannaCry蠕虫爆发前一个月内,通过云镜多次普查云主机的补丁修复情况,针对有些安全意识薄弱的用户,甚至多次人工电话通知。

蠕虫爆发后,云鼎更多是以应急姿态预防突发事件,同时关注病毒疫情在全国的感染情况,也采取了一系列措施帮助用户对抗勒索病毒,联合其他实验室一起出具多种解决方案。

云鼎实验室,属于腾讯安全联合实验室之一,掌门人就是本文的主人公killer。

6月初的深圳,火红的凤凰花开得正盛,预示着新的毕业季又将到来,广大学子将纷纷踏入职场,开启新征程。在深圳大学的北门,远远可以望见街对面高耸入云的腾讯大厦。美丽的大学校园与互联网巨头的大楼竟有了些遥相呼应的意味。6月2日,在离深大和腾讯大厦几站之隔的深圳华侨城洲际大酒店,首届中国高校网络安全人才培养沙龙拉开帷幕,腾讯安全联合实验室旗下七大实验室掌门人悉数到场,与多所高校教师探讨当前形势下的网络安全人才培养之道。

2016年7月2日,腾讯正式发布安全联合实验室“矩阵”,旗下设了七大实验室,不禁让人想起“七剑下天山”的英雄与江湖,又让人想起“七龙珠”的冒险与奇迹。七大实验室掌门齐齐亮相,着实难得。而就是在这种难得的情况下,我们才得以见到传闻中神龙见首不见尾的杀手——腾讯云鼎实验室掌门人killer。

killer 其人 .jpg

这位“杀手”有点难约,因为他要管理云鼎实验室的各种事情,带领团队检测、阻挡各种安全威胁,开发实用的安全产品;他要参加最近几天的赛事和会议,发掘、发展更多人才;他还致力于宣传安全行业和安全活动,助力提升大众安全意识……

几经邀约终得在会议现场见面。当天killer穿着Polo衫和牛仔裤,让本来就高瘦的他看起来更加干净利落。他十分客气又略带歉意地低声说:

很高兴接收采访。但是抱歉,我这场会结束后还有别的会要参加,回头我再给你回复吧。

有趣的是,这位现在统辖云鼎实验室的杀手,早前专攻的可是反病毒,这种转变才令他的安全从业经验显得如此奇妙。

以爱之名,砥砺前行

安全圈关于killer的事迹,最著名的莫过于2006年截杀“熊猫烧香”,创建“超级巡警”了,超级巡警还一度因为熊猫烧香而招致“监守自盗”的争议,这都是前安全时代的那些事了。创业之后,他又加入了百度,去海外“开疆拓土”,在更大的平台施展身手。而近年来,随着云服务的兴起,云安全方兴未艾,这让killer又找到了实现抱负、将安全想法落地的新领域。因此,在2016年,他又加入了腾讯,开始在云安全方面深入探索。

细数信息安全行业的发展历程,本世纪初的那些年可以用荒芜来形容。许多高手都是凭着兴趣和热情自学钻研,然后才转入这一行,killer也是如此。很早的时候,killer就对计算机表现出极大的兴趣,凭着好奇心作探索——这实际上也是很多安全从业人员的早期经历。而如今赫赫有名的网名“killer”,也是在这个过程中诞生的。

早在“超级巡警”之前,killer就混迹于国内外的一些论坛、IRC,特别是网易聊天室等。当时web攻击还不流行,killer却能通过一些小技巧在聊天室隐身、穿墙、伪造管理员发言和踢人,就在那时,他想到killer这个id,自觉十分贴切,便沿用至今。大概这是killer获得成就感的某种途径。

超级巡警时期的killer就曾经说过对于当时的工作“非常热爱,是理想的一部分”,提及这么多年坚持在安全领域不断发展并有所成就的动力,killer是这么说的:

最初是因为热爱而入行,之后通过不断的学习和工作实践,逐渐对行业有了一些宏观的想法,想把自己对产品的理解、技术的积累贡献出来,让安全技术为保护用户服务。也在多次协助客户解决问题、与客户的沟通中,感受到了自己作为安全从业者身上肩负的责任和使命。

在安全圈里,许多人就是这样不断地学习研究,有了更深的积累。有些朋友则在钻研的过程中找到了相应的商业模式,走向创业的道路。

killer可能也算得上是国内最早一批让普通人改善对Hacker一词印象的人,即戴着墨镜、紧盯屏幕的不过是电影和小说情节。这批人的相同点恰在于好奇心与爱好。在热爱与好奇心的驱使下,这位有理想和情怀的“杀手”开始学习钻研,从反病毒到现如今的云安全,大致上也算是种大范围的跨界了。

从反病毒到云安全

如今作为云鼎实验室的掌门人,killer也向我们透露了云鼎起名的趣事。当初根据想传递的理念,他想了10多个备选的名字,然后找TK教主于旸(玄武实验室掌门人)商讨。在对其中两个比较看好的名字分析的过程中,TK提出可以用鼎字,最后确定了以“云鼎”为名。

云鼎logo-2.jpg

由此看来,腾讯各实验室的掌门之间互动着实不错。想来腾讯联合实验室这样的架构,让同为安全领域佼佼者但细分方向又各不相同的掌门强强联手,互相补充、促进,该是能为安全行业带来更多创新和发展吧。

早年killer曾经写过一篇题为《反病毒理念、历史、现状与未来》的文章,对反病毒软件的历史做了回顾——这个时期的killer可以说是前安全时代的风云人物。而从“超级巡警”到加入百度,再到组建腾讯安全云鼎实验室,虽然都还在安全行业内辗转,但无论是工作内容还是安全技术,都已经有了有很大变化。

究竟是什么促成了这样的变化也是我们在采访中相当感兴趣的话题。不过killer对于这种转变却相当轻描淡写:“从业多年,有了一定的积累之后,再去选择做一件事情,就会更在意事情本身:看这件事情是不是自己想做的,有没有成就感,其次价值能否得到认可。”而担任云鼎掌门人,killer显然也是经过深思熟虑的:

云计算,尤其是公有云的业务特性使得云对安全的诉求是骨子里的,而安全也是客户选择云计算平台的关键因素。此外,因为云这种形态使安全可以在云上闭环,便于把许多想法落地,在主机、虚拟化、网络各个层面实现不一样的安全产品。

这也便促成了killer从反病毒转向云安全,加入腾讯,扛起“云鼎”,在云安全这片新领域继续探索。换句话说,一切不过是兴趣和自己想要这么做罢了。如果要具体说,只是“便于把许多想法落地”。

近年来,腾讯的确在安全领域动作不断,打造联合实验室就是一个新举措。而随着企业上云成为一种趋势,云安全问题也受到越来越多的关注。云鼎实验室近期重点关注的就是主机安全产品的研发。

公有云安全体系中,主机是最后一层防御机制。对客户而言,数据是客户最重要的资产,主机安全防护产品是客户核心数据的最后一道防线。对厂商而言,主机安全是覆盖用户群最大的安全产品,主机是真相之源,适合在海量 威胁数据的支撑下,把专家服务能力落地。在研发过程中,主要难点在于对用户业务和风险的理解,以及在公有云的责任共担模型中定义各自的边界。

不过云鼎实验室平常究竟在做什么?从我们掌握的情报来看,成立以来,云鼎实验室的主要关注内容集中在四个方面:

1. 关注云恶意攻击的情况,进行攻击溯源,并形成情报;

2. 基于互联网分析识别外部流量和IP数据,做成态势感知;

3. 主机层面的安全,进行检测并上报安全问题,给出解决方案;

4. 与其它实验室合作,在云上进行漏洞挖掘等。

 killer说,如今关于主机安全的思路应当有所转变。对于出现的一些问题,仅仅靠人力很难全面分析,可以利用机器学习、深度学习等方法,达到足够高的问题检出率 ,并深入分析给出更多解决方案。他对于安全往人工智能的方向发展似乎相当赞同。

过去攻击链是断的,而如今,企业可以与安全厂商合作,将攻击信息及时上报或共享,进而把攻击链打通,实现更到位的安全防护。基于这一思想,云鼎会推出更多面向企业的安全产品和服务。

腾讯云安全本身的业务很广,覆盖范围包括网络安全、业务防控、主机安全、内容安全、移动安全、风控安全和密钥管理服务等。其中防护网络安全的大禹系统和针对业务防控的天御系统应该已经被很多人熟知。

要说云鼎的具体产品,killer倒是在访谈中主动提到了一款主机安全防护产品云镜。云镜基于腾讯云和腾讯内部安全产品线积累的威胁数据,依托腾讯云平台的计算能力,可以利用大数据和机器学习的方法在云端为用户进行入侵检测和整体的安全风险感知,为客户提供包括密码破解拦截,异常登录提醒、恶意木马文件检测、高危漏洞预警等安全服务。

说白了,云镜就是利用云上的大数据来进行威胁检测,用于降低云上业务被黑客入侵导致的数据泄露和业务中断风险。

QQ截图20170615133312.png

然而,仅仅推出产品并不能让云鼎和killer满意。“云安全亟待解决的问题还有很多,例如云平台的稳定性和数据的安全等。”云安全技术未来的发展也是云鼎和killer所关注的。killer认为,未来人工智能会是云安全技术的一大发展方向。

早年我们基于专家经验来定义产品,后来我们基于数据来定义产品。专家经验是一个粗粒度的强指标,这个指标不一定是事实真相。当有海量的数据后,你会发现,以前那些微不足道的细粒度指标形成的关联、展现的趋势能揭露更多的黑客活动线索。

killer也曾为自己和云鼎规划了这样一幅蓝图:

作为基础平台,云安全可以有一些新玩法,比如建立红蓝军,要形成闭环。简单来说,就是攻防一体化。我要做的,就是形成包括渗透测试、漏洞挖掘、 数据分析、机器学习等方面的能力,让攻防一体化落地。

对于云鼎来说,做云安全业务,打造如鼎一般厚重可靠的品牌,还有很长的路要走。从另一个角度来说,killer组建云鼎之后,要打造腾讯云安全的“扛鼎之作”,攀登新的高峰,着实任重而道远。

注重发掘人才

对于大部分安全企业,或者有安全业务的企业而言,人才短缺恐怕都是个老生常谈的话题。“扛鼎”的前提自然还是人们的“肩膀”。在killer看来,发展至今,云鼎遇到的最大困难,无非就是人才招聘,更何况还是云安全这个发展空间尚且很大的领域。

FreeBuf之前采访过安全投资人金湘宇,他认为安全行业的人才稀缺将是常态:

因为攻防对抗越来越激烈,对于安全人才的技能要求高了。现如今的安全行业,并非想做安全的人、在做安全的人少,而是有专业技能的人相对较少。来对于信息安全的需求是广泛而深入的,对抗也是深入的。解决对抗需求的一定是人,所以人才的缺少会是常态。

这个观点似乎在WannaCry大爆发以及《中华人民共和国网络安全法》全面实施之后,得到了印证,安全行业大概会一直缺人。腾讯举办网络安全培养沙龙,也是打算从基础抓起,发掘、培养更多安全人才。对此,killer表示:

现在安全人员稀缺,希望能有更多的优秀的人才加入我们。《网络安全法》全面实施之后,对网络安全违法行为有了清晰的界定和严格的处罚措施,同时,各行各业也会需要更多专业的网络安全企业和从业者参与到贯彻网络安全法的过程中。我在朋友圈看到有人吐槽招聘两年没有招聘到合适的人才,安全人才的稀缺使得职业猎头的猎聘目标更多的向网络安全人才转移,《网络安全法》的出台会进一步加剧安全人才缺口。

从自身做起,共建安全新生态

WannaCry爆发期间,许多安全从业者都在通宵达旦地工作,监控最新动向,第一时间对外发布最新疫情变化,为行业客户和普通互联网用户提供解决方案,并发布一系列分析报告作为业界研究使用。其实不只是病毒爆发期间,平日里,他们也在孜孜不倦地监测网络流量和动向,挖掘漏洞,修复漏洞,提供着全方位的安全保护。

killer专访--网络安全工作.jpg

如果不是这次WannaCry的大规模爆发,也许很多人都意识不到网络安全有多重要。killer对此感触颇深,也以自身从业多年的经验,给安全厂商、普通用户提出了一些评价和建议:“从这次事件可以看出安全厂商依然是独立作战的模式,在协同防御上做的工作比较少——这也是过去这些年来安全行业的主流价值观。所以“专业安全厂商应当尽最大所能提升透明度,加强信息交换,以此事件为契机,重新检视自身的安全产品,把每一次攻击作为改进产品的磨刀石。”

人类历史上有几次大规模的传染病,无数人付出了惨痛的代价。目前医学界有成熟的应对方案,打疫苗已经成为必选项。目前是从互联网时代过渡到物联网时代,种种安全攻击层出不穷,手法日新月异,而且会更为频繁。有统计显示,网络攻击每年给企业造成的损失高达5000亿美元,这个数字还在不断扩大。同时,值得注意的是,这里面也有一些规律可循,能造成大规模感染和入侵行为的攻击方式存在固有的特性,就目前已知暴露出来的攻击模型,也有很成熟的解决方案,但为什么会造成这么大的影响,这一点值得安全厂商、企业与普通用户我们所有人反思。

的确,我们可以回顾互联网发展史上的重大攻击事件,总结规律,未雨绸缪。而最重要的是,每个人都要提升安全意识,更多地了解安全行业,了解安全行业从业者,养成良好的互联网使用习惯,防患于未然。作为安全媒体而言,我们可以打破安全圈的小圈,更多地传播安全概念、报道安全事件,为普通用户多普及一些安全知识,助力提升大众的安全意识。

采访的最后,killer把话锋转到了安全行业所有的从业者身上:

“本土雄心,全球视野”,这句话送给同仁们共勉。

安全路上,杀手没有假期

6月3日是周六,大多数人在悠闲地享受着周末的美好时光,而killer仍然在忙于工作。这位杀手,在安全行业从未停下脚步,他跟随时代的步伐和转型的原因不过是对安全的更多追求罢了,这才是让人感觉最酷的事情。

“时光的河入海流,终于我们分头走。没有哪个港口,是永远的停留。”开得灿烂的凤凰花,站在风云变幻的路口,静静见证着人们的成长,见证着时代的进步。互联网安全行业身处自己的盛夏光年,正在蓬勃发展,容不得停留和止步不前。我们期待互联网安全行业能如killer所说,带着“本土雄心和全球视野”不断前行,像夏日的凤凰花一样,红火、绚烂!

6597763558494612275.jpg

* FreeBuf官方出品,作者:AngelaY,未经许可禁止转载

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册