“撒旦”在人間

李昊原

曾經(jīng)有某機(jī)關(guān)單位的計(jì)算機(jī)被黑客入侵，但黑客沒有竊取價(jià)值重大的敏感信息，而是植入了挖礦程序。這件看起來有點(diǎn)好笑的事情，原因其實(shí)很簡(jiǎn)單——無關(guān)“盜亦有道”，只是攻擊者根本不知道這是哪里的計(jì)算機(jī)。

對(duì)這一攻擊方式，華順信安CSO鄧煥解讀說，攻擊者是得知了一個(gè)漏洞后，在全網(wǎng)進(jìn)行搜索，然后攻擊有這個(gè)漏洞的所有計(jì)算機(jī)，注入挖礦程序。這種情況下，他并不清楚攻擊的是哪里的機(jī)器，也不關(guān)心，做好“薄利多銷”就夠了。

但對(duì)受攻擊的企業(yè)和組織來說，這件事卻一點(diǎn)也不好笑。新的漏洞被發(fā)現(xiàn)，黑客可能只需要幾個(gè)小時(shí)就能發(fā)動(dòng)攻擊，這么短的時(shí)候很少有誰來得及打上相應(yīng)的補(bǔ)丁。新的漏洞總是層出不窮的被發(fā)現(xiàn)，就像鄧煥所說：“互聯(lián)網(wǎng)只要開放，那么被黑是必然的。”

華順信安是成立于2015年的一家網(wǎng)絡(luò)安全公司，CEO趙武在黑客圈有一個(gè)響亮的名字“Zwell”;他開發(fā)的安全工具“Pangolin”在2009年的時(shí)候，全球日活數(shù)就達(dá)到了10萬，后來他受邀加入了360，補(bǔ)天漏洞平臺(tái)就是他的杰作。

從大學(xué)開始對(duì)技術(shù)著迷而走上了攻防之路的趙武見證了網(wǎng)絡(luò)攻擊的發(fā)展，從2000年前后蠕蟲肆虐的黑客狂歡時(shí)代，到之后紛紛轉(zhuǎn)向針對(duì)網(wǎng)站的腳本漏洞時(shí)代，再后來，大集成化的框架平臺(tái)出現(xiàn)，如斯諾登事件，體系化的漏洞平臺(tái)開始變成一種武器，MIRAI病毒顛覆性的將漏洞集成為自動(dòng)化攻擊平臺(tái)，網(wǎng)絡(luò)攻擊從惡作劇、商業(yè)利益行為上升到了國家安全。

一個(gè)明顯的變化是，發(fā)現(xiàn)一個(gè)漏洞越來越難，但其價(jià)值，或者說可以造成的危害卻也越來越大。“現(xiàn)在一個(gè)漏洞賣上百萬元太正常了。”趙武說，以前發(fā)現(xiàn)漏洞就無償?shù)亍靶恪背鰜怼莻€(gè)時(shí)代一去不復(fù)返了。

“撒旦”降臨

在2009年舉辦的全球黑客大會(huì)DEFCON上，黑客約翰·馬瑟利發(fā)布了一款名為“Shodan”的搜索引擎，不久后就獲得了“世界最可怕的搜索引擎”的稱號(hào)。

Shodan可以搜索網(wǎng)絡(luò)設(shè)備的信息，比如服務(wù)器、路由器、交換機(jī)、打印機(jī)、攝像頭等，并根據(jù)其所屬國家、操作系統(tǒng)、品牌等屬性進(jìn)行分類，而其危險(xiǎn)性顯而易見。某個(gè)漏洞被發(fā)現(xiàn)后，以前黑客需要對(duì)想要攻擊的對(duì)象進(jìn)行掃描，確認(rèn)是否有這個(gè)漏洞。而現(xiàn)在，只要在Shodan搜索對(duì)應(yīng)的軟件或是設(shè)備，就能找到全網(wǎng)的結(jié)果，然后進(jìn)行攻擊，效率極大提升，也難怪會(huì)被翻譯成“撒旦”（Shodan原是游戲《網(wǎng)絡(luò)奇兵》中邪惡主機(jī)的名字）。

對(duì)黑客來說，這無疑是打開了新的思維。“他們?cè)瓉頃?huì)盯著某一個(gè)企業(yè)進(jìn)行攻擊，近兩年越來越多的事件是針對(duì)通用的漏洞發(fā)動(dòng)大規(guī)模的入侵，只要是受漏洞影響的資產(chǎn)都可能被入侵，然后數(shù)據(jù)遭到竊取。”鄧煥提到，作為Shodan起源地的美國，不久前的選民數(shù)據(jù)泄露事件便和這個(gè)平臺(tái)有關(guān)，而在全球引起恐慌的永恒之藍(lán)，同樣是針對(duì)Windows主機(jī)的漏洞進(jìn)行大范圍的勒索。

趙武漏洞出來后，同樣用網(wǎng)絡(luò)測(cè)繪的技術(shù)且比黑客更快，在黑客進(jìn)攻前就通知有漏洞的資產(chǎn)小心防護(hù)，和黑客打時(shí)間差對(duì)攻

趙武從2013年開始跟蹤UpGuard的風(fēng)險(xiǎn)分析師克里斯·維克利，他曾經(jīng)先后爆料過2017年共和黨2億選民數(shù)據(jù)泄露事件和墨西哥9300萬選民數(shù)據(jù)泄露事件，甚至還有美國軍方的數(shù)據(jù)泄露。“他的敏感性非常強(qiáng)，可以將全球的數(shù)據(jù)采集過去，有記者來采訪，他拿著一個(gè)硬盤，里面儲(chǔ)存了幾個(gè)T的數(shù)據(jù)，包括公民、軍隊(duì)和商業(yè)公司的。”趙武曾專門為他寫過專題，但其實(shí)維克利“黑遍天下”的技巧并不復(fù)雜，就是通過漏洞加搜索。

解釋這類搜索引擎的原理并不復(fù)雜，其核心技術(shù)就是網(wǎng)絡(luò)空間測(cè)繪。全球大概有42億的IP，而網(wǎng)絡(luò)空間測(cè)繪就是進(jìn)行不間斷地掃描然后記錄，因此可以對(duì)搜索快速響應(yīng)。“以前黑客想要了解一個(gè)漏洞影響全球多少數(shù)據(jù)資產(chǎn)是不可能的，但現(xiàn)在平臺(tái)可以提供數(shù)據(jù)，比如只要幾秒鐘就能告訴你全球有多少攝像頭。”趙武做過統(tǒng)計(jì)，這種模式下，從一個(gè)漏洞出現(xiàn)到黑客完成一次大規(guī)模攻擊，只需要一個(gè)小時(shí)。

然而對(duì)企業(yè)來說，傳統(tǒng)的安全體系難以跟上這樣的速度，假如企業(yè)有10萬臺(tái)資產(chǎn)，漏洞掃描器掃描一臺(tái)資產(chǎn)需要一個(gè)半小時(shí)，那么全部掃完就是一個(gè)季度。而由于漏洞是全新的，以前的防火墻和安全軟件防不住，而黑客“廣撒網(wǎng)多捕魚”的攻擊方式，企業(yè)早晚會(huì)有中招的時(shí)候。那時(shí)還在360企業(yè)安全的趙武，長期在一線研究攻防，他有了一個(gè)新的想法：既然防是防不住的，那只有打一個(gè)時(shí)間差，和黑客對(duì)攻。在漏洞出來之后，同樣用網(wǎng)絡(luò)測(cè)繪的技術(shù)，而且比黑客更快，在黑客進(jìn)攻前就通知有漏洞的資產(chǎn)小心防護(hù)。

速度與安全

最初趙武在360企業(yè)安全做了一個(gè)Demo（原型），但那更多是屬于部門使用的工具產(chǎn)品。“360太大了。”趙武告訴《IT經(jīng)理世界》，網(wǎng)絡(luò)安全有很多細(xì)分的領(lǐng)域，網(wǎng)絡(luò)空間測(cè)繪只是其中之一。彼時(shí)360企業(yè)安全在產(chǎn)品方向上需要考慮收入，產(chǎn)品不但要市場(chǎng)清晰，更重要的是，需要有行業(yè)內(nèi)的銷售許可。而網(wǎng)絡(luò)空間測(cè)繪技術(shù)，在這兩個(gè)問題上至今沒有很好的解決，因此也難以得到資源的傾斜，充滿想法和激情的趙武最終決定自己跳出來創(chuàng)業(yè)。

華順信安搭建的FOFA平臺(tái)，每天都會(huì)不間斷地通過對(duì)IP發(fā)出數(shù)據(jù)包，獲得響應(yīng)進(jìn)而分析的方式，爬取全網(wǎng)42億的IP，大約一周就可以更新一次，從而了解每一個(gè)IP上面的應(yīng)用和屬性。趙武打了個(gè)比喻，企業(yè)就像是千家萬戶，每個(gè)家庭都會(huì)買防盜門，而防盜門有不同的品牌和鎖芯，以前的黑客是去看看這家的防盜門有沒有漏洞，而現(xiàn)在的黑客則是先知道某個(gè)品牌或鎖芯有漏洞了，再去挑這樣的門。

而FOFA的平臺(tái)，是這樣一個(gè)防盜門的數(shù)據(jù)庫，一旦得知有新的漏洞，就可以提醒對(duì)應(yīng)的品牌和鎖芯“你們有漏洞了”——雙方用同樣的手段進(jìn)行攻防。而對(duì)企業(yè)來說，這樣的提醒讓響應(yīng)快了許多，原本對(duì)10萬臺(tái)機(jī)器的檢測(cè)，縮短變?yōu)閷?duì)100臺(tái)會(huì)受特定漏洞影響的機(jī)器的檢測(cè)。2017年1月，Elastic Search被曝出漏洞，一個(gè)月內(nèi)全球上萬臺(tái)設(shè)備遭遇勒索，而白帽匯短時(shí)間內(nèi)就給出了威脅情報(bào)預(yù)警——全球受影響美國最多4380臺(tái)，其次是中國944臺(tái)，并針對(duì)性地給出了防御建議。

同樣是一線出身的趙武團(tuán)隊(duì)，獲取漏洞的速度并不比黑客們慢，除了博客、郵件組、討論群外，美國的CVE漏洞庫、中國的CNNVD和CNVD，都有漏洞信息公開的渠道。而同樣是2015年成立的白帽匯，聚集了2萬多名白帽子，他們可以在發(fā)現(xiàn)漏洞之后遞交給白帽匯從而獲得獎(jiǎng)勵(lì)。這樣的獎(jiǎng)勵(lì)除了現(xiàn)金外，還可以用于FOFA平臺(tái)使用，在平臺(tái)上進(jìn)行搜索和研究。比如在某個(gè)系統(tǒng)出漏洞后，可以查詢具體的分布情況和感染量，或是用于商業(yè)決策，例如看不同的OA系統(tǒng)的使用量。趙武強(qiáng)調(diào)，F(xiàn)OFA采集的資產(chǎn)都是公開的，像核電等敏感的公共系統(tǒng)不會(huì)進(jìn)行公開，而精確的二次確認(rèn)，也會(huì)在得到企業(yè)或相關(guān)部門授權(quán)之后才進(jìn)行。

鄧煥介紹，網(wǎng)絡(luò)空間測(cè)繪的核心就是爬蟲技術(shù)，雖然門檻不高，但是會(huì)在資產(chǎn)識(shí)別上衍生新的問題，比如被禁止或屏蔽，因此也會(huì)有相應(yīng)的提升技術(shù)。當(dāng)FOFA爬取到設(shè)備和應(yīng)用信息后，會(huì)將數(shù)據(jù)打散成細(xì)粒度的特征，讓FOFA的使用者在平臺(tái)上也可以對(duì)這些特征進(jìn)行篩選和組合，這就要求針對(duì)不同的資產(chǎn)不斷疊加規(guī)則增加新的特征，而目前FOFA可以識(shí)別的設(shè)備已經(jīng)達(dá)到3萬多種。

從國家到企業(yè)

和網(wǎng)絡(luò)攻擊從企業(yè)到國家的發(fā)展不同，強(qiáng)調(diào)緊跟潮流的趙武，公司的業(yè)務(wù)卻是從國家再到企業(yè)，一個(gè)直接的原因是，他們不可能直接給企業(yè)發(fā)提醒。

如同文章開頭那位不知道自己攻破了部委系統(tǒng)的黑客，他們也不清楚那些IP具體是誰。“以前在做補(bǔ)天的時(shí)候就遇到過這個(gè)問題，給他們提醒漏洞，但他們的第一反應(yīng)是警覺地問，你怎么知道我這里有漏洞？”談起往事，趙武還有點(diǎn)哭笑不得。

就在趙武還在思考怎么辦的時(shí)候，政府機(jī)構(gòu)找上門來。當(dāng)時(shí)趙武和團(tuán)隊(duì)通過國外的情報(bào)點(diǎn)得知Redis數(shù)據(jù)庫存在一個(gè)漏洞，經(jīng)過全網(wǎng)測(cè)繪，發(fā)現(xiàn)大面積的數(shù)據(jù)庫都受到漏洞影響，甚至已經(jīng)有黑客團(tuán)體利用漏洞進(jìn)行批量入侵工作，于是當(dāng)晚他們通宵出了報(bào)告，并發(fā)出了預(yù)警。

“那個(gè)時(shí)候影響到國內(nèi)特別多企業(yè)，比如說首都機(jī)場(chǎng)等大型的機(jī)構(gòu)都受到了影響，是我們的成名之作。”趙武說，“實(shí)戰(zhàn)型的、有價(jià)值性需求的最認(rèn)同我們，那批人是誰？是監(jiān)管單位。”

華順信安隨之順理成章地開始接政府機(jī)關(guān)的項(xiàng)目，而網(wǎng)絡(luò)空間測(cè)繪技術(shù)在國家層面尤其適用。“以前他們對(duì)漏洞的影響程度，往往是霧里看花，現(xiàn)在變成了可以量化的結(jié)果。尤其是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施，例如醫(yī)療、社保、通信、軍工等，及時(shí)的響應(yīng)會(huì)非常重要。”

原本沒有辦法直接通知企業(yè)的問題也得以解決，“就像是醫(yī)生和你說有病癥要買藥很正常，陌生人和你說就非常詭異。”他說，華順信安目前是國家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心和國測(cè)的支撐單位，會(huì)例行輸送安全事件的分析和漏洞通報(bào)，再由政府通報(bào)給企業(yè)。

不過，B端的市場(chǎng)同樣重要。考慮到企業(yè)并不愿意被測(cè)繪，華順信安開發(fā)了新的產(chǎn)品——“FOEYE”盒子。這個(gè)硬件產(chǎn)品會(huì)置于企業(yè)的內(nèi)網(wǎng)之中，在企業(yè)內(nèi)部進(jìn)行爬取，但不會(huì)對(duì)外傳輸。而華順信安則會(huì)定期的向盒子發(fā)送威脅情報(bào)，再由盒子分析和對(duì)企業(yè)預(yù)警。趙武說，2018年，公司的重點(diǎn)將是B端市場(chǎng)。就在今年年初，曾先后在瑞星、安全寶、360擔(dān)任高管的鄭政也受邀加入了華順信安并擔(dān)任COO。

鄧煥“互聯(lián)網(wǎng)只要開放，那么被黑是必然的。”

據(jù)了解，新的產(chǎn)品將按照企業(yè)的資產(chǎn)規(guī)模收取軟硬件費(fèi)用，并收取年費(fèi)，而華順針對(duì)不同行業(yè)的企業(yè)也會(huì)進(jìn)行定制化服務(wù)，以適應(yīng)行業(yè)的系統(tǒng)和軟件。今年3月，華順信安剛剛完成了丹華資本千萬元級(jí)別的融資，趙武說，今年也將是公司團(tuán)隊(duì)擴(kuò)張和豐富產(chǎn)品線重要的一年。