安全的進化：未知攻，焉知防

齊岳峰

一個國家的網絡安防水平，與其黑客的技術水平密切相關

隨著威脅情報被日益頻繁地提及，如今，應對黑客攻擊的思路正在發生變化：建立事前預警機制比僅僅彌補缺漏更關鍵。

這一趨勢，使得網絡安全的悖論更加凸顯：一個國家的網絡安防水平，與其黑客的技術水平密切相關。美國、俄羅斯等在網絡安全技術領域領先的國家，亦是世界知名黑客的聚集地。

正如360安全系統的員工幾乎每個人都會對記者說的那句：“未知攻，焉知防？”

事前預警更關鍵

林偉，這個不是很善言辭的技術男，大學只讀了兩年，如今卻統領著國內最大的網絡安全公司奇虎360的網絡安防團隊。

360自身也需要一個可靠的安全系統支撐。林偉帶著他的團隊每天要對公司的8萬～10萬臺服務器“過一遍”，及時應對可能出現的威脅。

這個工作不僅包括尋找系統的既有安全漏洞，還要對黑客們的動態信息進行實時追蹤，力求做到對安全威脅的即時反饋。

業內曾經認為，只要彌補缺漏，即可規避被黑客攻擊，但這樣的設想往往是一廂情愿。

中國信息安全評測中心首席信息安全咨詢師蔣魯寧告訴《瞭望東方周刊》，而今談論信息安全領域的問題，都繞不開威脅情報。

人們可以從安全服務廠商、防病毒廠商、政府機構和安全組織那里看到的安全預警通告、漏洞通告、威脅通告等，這些都屬于典型的安全威脅情報。

在以往的網絡攻防中，安防員希望縮短發現高級威脅的時間，并摸清攻擊的來龍去脈與背后的信息，增加攻擊者的成本。在威脅情報被足夠重視之前，攻擊方利用漏洞攻擊，被攻擊方只能發現一個漏洞，補一個漏洞，或是發現一個惡意軟件，處理一個，面對高級持續威脅時非常被動。

但是，有了大數據驅動的威脅情報，只要攻擊被發現一次，馬上就會被全網數據進行關聯推演。攻擊者的所有手法、工具、跳板都會曝光，被攻擊者的防御周期從原來的幾周幾個月縮短到天、小時甚至實時。

威脅情報中心就是要時刻發現攻擊來源，并幫助用戶立即響應處理，避免損失。同時，威脅情報中心還可以通過對流量與安全輿情的監控，對大規模網絡攻擊進行監控與預測。

人是核心

人是威脅情報系統的核心。

在網絡安全的攻防之戰中，作為防御的一方，安全員們不但要有極強的搜素引擎排除能力，還要掌握黑客名單，而這些能力，都需要在行業里的長期浸潤。因此，不少情報分析人員都是黑客出身。

國外把黑客分為“黑帽子”和“白帽子”，對網絡安全漏洞的研究是雙方的共同興趣，不同的是，“白帽子”并不想借此進入黑產賺錢。因此，他們成為情報分析員，也是水到渠成。

林偉的職業生涯就是起自黑客。最早，像幾乎業內所有人一樣，他做了個網站，然后“受攻擊、反擊，持續往復”，直至自己功夫練成。這是頂級黑客的必修課，如今也成為網絡安防人員的必修課。

事實上，一方面是因為黑客們對威脅情報分析有著先天優勢，另一方面，隨著各國在網絡安全方面的法律建設日益完善，以及各大公司的重金招攬，黑客們轉身成為網絡安防員，這在近幾年已經成為常見的現象。

具備良好威脅情報分析能力的人卻并不好找。360副總裁譚曉生告訴《瞭望東方周刊》，篩選這些人員是一項極難的工作——安全人員的思維方式與程序員不同，他們的思維要有跳躍和突破，當然，還有悟性。

他們也需要經常參加業內大賽，積累經驗，也積累名次與名氣。不過，價值觀仍然是最重要的標準：“對底線怎么看？對獲得錢的手段怎么考慮？”

360目前有中國最大的該系統的數據庫，網絡安全從業者們的數據資料被收納其中，林偉們則負責監控黑客們的公開討論，并從這些公開信息中發現黑客們的行動脈絡，以便實現提前預警功能，也就是掌握威脅情報。

美國的領先將被強化

目前，美國已經成立了專門做政府和企業威脅信息共享的機構——網絡安全和通信整合中心，進而又成立了網絡威脅與情報整合中心，歸屬國家情報總監辦公室，專門為美國政府和企業收集信息和分析信息。

新的網絡威脅情報集成中心旨在協調政府各機構之間的情報，以更好的對網絡攻擊作出回應。他們會系統地分析黑客團體，收集黑客們的數字“簽名”，并與執法部門和情報機構共享威脅信息。

而在以威脅情報引領網絡安全的時代，美國因其黑客技術優勢，將擁有更高的網絡安全水平。

黑客的鼻祖是美國人。在美國，黑客技術最初并不帶有被批判的色彩。

2011年，五角大樓將針對美國的一切“網絡入侵行為”進行分級，將最高等級的網絡入侵定義為“戰爭行為”。在此之前，美國很少對黑客“下重手”。曾多次入侵美國人造衛星控制系統的20歲黑客杰森.德克曼，在2002年2月僅被判入獄21個月外加罰金8.8萬美元。

本世紀初期，美國已經有專門培養黑客的學校。不過，在幾乎所有的公開報道中，這些學校主要負責教會學生與黑客斗法，防范黑客攻擊。學生們畢業后，通過極其嚴格的考試，會獲得一份資格證書，進而進軍安全行業。

美國的強力機構也十分注重對信息安全領域人才的吸納。此外，一些政府和私人安保機構甚至開始面向高中學生開放實習機會，著眼于向他們灌輸興趣并展示網絡安全的就業前景與機會。

此外，一些面向大學學歷以下學生的網絡安全培訓活動，也在美國民間發展迅速。在信息安全領域的行業集會上，培訓機構也向有意向的與會者提供信息安全培訓。

美國國家安全局更公開稱“當涉及國家安全，沒有什么可以替代一個專業的、才華橫溢的網絡團隊，我們需要最好、最聰明的人，來幫助我們戰勝對手。”

因為美國黑客群體的基數大，技術先進，因此，某種程度上，美國網絡威脅和情報整合中心進一步強化了美國在信息情報威脅領域的地位。

聯合防御

不過，業內對于威脅情報的應用，始終存在一些爭議。

目前，企業和政府的配合走向常態化，行業內上下游的聯合走向常態化，這些都成為推動網絡安全升級的共識。

但在現實中，不乏有用戶要求其公司保留這些威脅情報作為公司的私有“財產”，以致于這些情報不能被供應商用于更廣泛的商業用途。

正是因此，威脅情報的信息共享機制在目前的條件下很難建立。

且不說個人用戶，即便是企業防護，在理論上都可能被攻破。一般來說，黑客獲得攻擊權限后，“分分鐘”就可以取得企業的高價值數據，最快不超過一天，但受害企業站發現被攻擊后，需要逐級匯報，響應非常緩慢，幾天甚至幾周時間才能發現數據泄漏。“盾和矛處于嚴重不平衡狀態。”安全威脅情報推進聯盟發起人金湘宇告訴《瞭望東方周刊》。

“再牛的技術一樣有漏洞，微軟很牛、思科很牛，但一樣有漏洞，無論是什么程序，一定會被入侵。”金湘宇說。

因此，聯合防御將是構建網絡生態的主要趨勢。

而在沒有國界的虛擬世界，這一點尤為重要。

據騰訊研究院安全研究中心發布的《中國網絡安全生態報告（2015）》顯示：跨境聯合犯罪、假設境外服務器、注冊海外網站和針對境內目標是中國當前互聯網安全領域面臨的挑戰，而境內90%以上的詐騙網站、釣魚網站、賭博網站的服務器位于境外，通過境外服務器vpn跳轉中國。