在做壞事的黑客眼里，這個(gè)世界充滿(mǎn)了“金礦”。僅僅在2016年，黑客們就玩了好幾票“大的”：

• 2016年初，專(zhuān)為波音公司生產(chǎn)零部件的航天零部件公司 FACC 遭到了黑客攻擊，被盜取5000萬(wàn)歐元；

• 2016年4月，德國(guó) Gundremmingen 核電站因?yàn)樵馐軔阂獬绦蛉肭郑黄汝P(guān)閉；

• 2016年6月，希拉里競(jìng)選團(tuán)隊(duì)的兩萬(wàn)封郵件被黑客竊取披露；

• 2016年9月，雅虎披露了自家十億郵箱數(shù)據(jù)被黑客盜取泄露的事實(shí)。

黑客入侵和數(shù)據(jù)泄露，成為了網(wǎng)絡(luò)世界最大的“恐怖主義”。而之所以黑產(chǎn)和黑客熱衷于此，是因?yàn)槿肭直澈?，巨大的?jīng)濟(jì)利益。

不過(guò)，這個(gè)世界總有正義存在。三位來(lái)自阿里巴巴的安全專(zhuān)家決定肩負(fù)起對(duì)抗黑客的責(zé)任，他們是在安全圈赫赫有名的三劍客：汪利輝、聶萬(wàn)泉、云舒。

【默安科技創(chuàng)始人：左起汪利輝、聶萬(wàn)泉、云舒】

在他們眼里，黑客之所以能夠得逞，并不僅僅是因?yàn)榉烙α康拇嗳?，還因?yàn)榉烙乃悸愤^(guò)于簡(jiǎn)單。

云舒曾經(jīng)為雷鋒網(wǎng)宅客頻道舉了二戰(zhàn)史上的經(jīng)典戰(zhàn)例：

1944年6月6日，艾森豪威爾率領(lǐng)盟軍在諾曼底搶灘登陸。希特勒措手不及，班師救急，卻因?yàn)殄e(cuò)過(guò)了反擊登陸的黃金時(shí)間而一敗涂地。

這就是每個(gè)人都熟悉的“諾曼底登陸”。很多人都知道，諾曼底登陸之所以能成功，很大程度上歸功于人類(lèi)歷史上一個(gè)經(jīng)典的騙局。

在登陸之前，除了幾位盟軍統(tǒng)帥，所有人從傳言中得到的信息都是：盟軍將在加萊登陸。為了讓這個(gè)信息坐實(shí)，盟軍甚至不惜派出最為忠誠(chéng)的間諜到德軍的包圍圈中執(zhí)行任務(wù)，而這些忠誠(chéng)的間諜毫無(wú)意外地被德軍俘獲。其中一些受不過(guò)嚴(yán)刑拷打，痛苦地把自己從長(zhǎng)官口中得到的命令交代給德軍：為加萊港登陸做準(zhǔn)備。

所謂兵不厭詐。欺騙，是這個(gè)世界上成本最小、收效最大的攻擊。

【加萊和諾曼底】

鑒于這些帶著“黑帽子”的黑客如同希特勒的軍隊(duì)一樣兇殘，而那些被攻擊的企業(yè)，卻遠(yuǎn)沒(méi)有盟軍這么強(qiáng)大。為了拯救這些苦守防線的企業(yè)，聶萬(wàn)泉、云舒、汪利輝組建了“默安科技”。

他們的目的，就是用兵不厭詐的思路來(lái)“圍獵”這些可惡的黑客。

黑客的“加萊”和“諾曼底”

早期的黑客攻擊，都是炫耀技巧，進(jìn)攻思路五花八門(mén)。但是如今黑客對(duì)于企業(yè)的攻擊，都采用相同的行為模式。他們進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，第一時(shí)間就會(huì)翻看高管郵箱、查看會(huì)員系統(tǒng)，或者進(jìn)入財(cái)務(wù)系統(tǒng)尋找財(cái)報(bào)。也就是說(shuō)，他們的目標(biāo)非常明確。

默安科技 CTO，安全圈“網(wǎng)紅”云舒如是說(shuō)。

【默安科技 CTO 云舒】

同樣在阿里巴巴從事了八年安全防御，人稱(chēng)老聶的默安科技 CEO 聶萬(wàn)泉告訴雷鋒網(wǎng)：

而且根據(jù)可靠的信息，從事這類(lèi)黑產(chǎn)的黑客，進(jìn)攻的成功率可以達(dá)到95%。

這個(gè)成功率讓人感到絕望。

從某種程度上講，諾曼底的故事啟發(fā)了他們。早在阿里巴巴的時(shí)候，老聶和云舒就已經(jīng)在阿里云的防護(hù)技術(shù)中，使用了“欺騙”的招數(shù)。

【默安科技 CEO 聶萬(wàn)泉】

把這些“騙術(shù)”最終做成一個(gè)整體，就是“幻盾”。

云舒告訴雷鋒網(wǎng)，黑客雖然智商普遍不低，但卻不是無(wú)法欺騙的。

黑客攻擊的時(shí)候，看到的是企業(yè)邏輯上的資產(chǎn)，而不是物理上的資產(chǎn)。在這種情況下，黑客無(wú)法遠(yuǎn)程驗(yàn)證他所入侵的系統(tǒng)究竟是不是企業(yè)的真實(shí)系統(tǒng)。他只能依靠自己的經(jīng)驗(yàn)來(lái)判斷獲取的情報(bào)是不是真實(shí)的。

和黑客打了十二年交道的云舒，最知道的就是黑客想要的到什么東西，還有他們會(huì)用什么方法尋找這些信息。他詳細(xì)講述了幻盾“欺騙防御”的原理：

如果黑客在突破企業(yè)外圍防護(hù)之后，看到五扇相同的門(mén)，理性的黑客一定會(huì)最先推開(kāi)需要力道最小的那扇。而在這扇門(mén)之后，我們布置了一個(gè)虛擬的房間——和企業(yè)正常系統(tǒng)極為相似的環(huán)境。而黑客完全沒(méi)有能力分辨真?zhèn)?，依然按照自己的方法尋找他的目?biāo)，殊不知他的一舉一動(dòng)已經(jīng)被我們完全監(jiān)視。

這些容易打開(kāi)的門(mén)，就是為黑客準(zhǔn)備的“加萊”，更準(zhǔn)確的名字是“蜜罐陷阱”。

然而，很多人都會(huì)存在這樣的疑問(wèn)?？吹竭@些“虛掩的門(mén)”，黑客不會(huì)產(chǎn)生懷疑嗎？

云舒說(shuō)，這樣做，正是因?yàn)槌浞至私饬撕诳偷男睦砗土?xí)慣。

正常的企業(yè)都會(huì)存在這樣那樣的漏洞，甚至很多低級(jí)的漏洞都毫不罕見(jiàn)。所以，黑客并不會(huì)對(duì)這些“好推開(kāi)的門(mén)”產(chǎn)生懷疑。另外，我們知道一般企業(yè)會(huì)在哪些地方存在疏忽和漏洞，所以我們展現(xiàn)給黑客的，都是在黑客看來(lái)再正常不過(guò)的漏洞。

老聶告訴雷鋒網(wǎng)，他們還有一種獨(dú)門(mén)技術(shù)，可以實(shí)現(xiàn)反向定位。通俗來(lái)講，就是萬(wàn)一黑客喜歡挑戰(zhàn)極限，攻入了真實(shí)的生產(chǎn)系統(tǒng)，部署在其中的節(jié)點(diǎn)也可以把黑客的攻擊“無(wú)縫轉(zhuǎn)移”到“虛擬環(huán)境”中，整個(gè)過(guò)程，進(jìn)攻者完全無(wú)法感知。

也就是說(shuō)，進(jìn)入幻境，是入侵黑客的宿命。

黑客能否逃出“楚門(mén)的世界”？

黑客的處境，和一部電影的描述極為相近。

電影《楚門(mén)的世界》中，楚門(mén)從出生就身處一場(chǎng)巨大的真人秀，他身邊的所有人，包括父母都是劇組的演員。而只有他一個(gè)人蒙在鼓里，每天認(rèn)真地生活和奮斗。

然而，電影的結(jié)局是，楚門(mén)終于意識(shí)到了世界的虛假，最終逃出了這個(gè)巨大的片場(chǎng)。但這些被困在幻像中的黑客，能否識(shí)破“幻盾”的幻覺(jué)呢？

讓黑客完成一次“完整的攻擊”，是黑客不能察覺(jué)自己在“騙局”中的奧義。

云舒說(shuō)。他把這種技巧稱(chēng)為“欺騙鏈”。

也就是說(shuō)，無(wú)論黑客要尋找的是企業(yè) Q3的財(cái)務(wù)數(shù)據(jù)，還是高管郵箱中的密碼信息，每一步都不會(huì)超出他的預(yù)期，而他最終也都會(huì)得手。得手之后，他有可能會(huì)利用這些信息進(jìn)行下一步攻擊。但是在整個(gè)的過(guò)程中，他的個(gè)人信息已經(jīng)被成功地“反偵察”。

云舒說(shuō)，對(duì)于入侵黑客的身份采集，最快只需要兩秒的時(shí)間。采集到的數(shù)據(jù)包括：黑客的進(jìn)攻路徑、黑客使用的進(jìn)攻工具、黑客進(jìn)攻使用的設(shè)備等等。

這個(gè)世界看來(lái)不會(huì)給黑客第二次機(jī)會(huì)。因?yàn)橐坏┱莆樟撕诳腿绱嗽敿?xì)的信息，所有之前沒(méi)能成功抵擋黑客的防御組件此時(shí)都可以全力聯(lián)動(dòng)，讓同一組黑客的進(jìn)攻再也無(wú)法突破圍墻。

電影中，留給楚門(mén)發(fā)現(xiàn)真相的時(shí)間，是他的一生。而在幻盾中的黑客，一旦在兩秒鐘之內(nèi)沒(méi)能識(shí)破幻境選擇急流勇退，他就再也沒(méi)有扳平比分的機(jī)會(huì)了。

“圍獵”入侵的黑客

僅僅是阻擋黑客的進(jìn)攻，聽(tīng)起來(lái)似乎不太“過(guò)癮”。而如何溯源到黑客，正是云舒一眾關(guān)心的下一步技術(shù)。

而在溯源黑客的過(guò)程中，“指紋技術(shù)”是一個(gè)重要的錨點(diǎn)。

云舒在阿里的最后兩年，任務(wù)是管理風(fēng)控團(tuán)隊(duì)。彼時(shí)他就已經(jīng)開(kāi)始利用指紋技術(shù)管理黑客的威脅了。通俗地說(shuō)，指紋標(biāo)注了就是一臺(tái)設(shè)備各方面參數(shù)所組成的特征，從不同途徑感知到的入侵設(shè)備，一旦指紋相同，就可以認(rèn)定為是同一臺(tái)設(shè)備。

之前的安全產(chǎn)品都是定位到 IP 地址，而現(xiàn)在我們的技術(shù)可以定位到背后的設(shè)備。這樣的好處是，無(wú)論經(jīng)過(guò)多少代理，多少次 IP 跳轉(zhuǎn)，在終端的特征都是沒(méi)有變化的。而一般黑客并不具備欺騙指紋技術(shù)的大數(shù)據(jù)風(fēng)控知識(shí)，所以很難逃脫定位。為了進(jìn)一步增加門(mén)檻，我們還做了一些獨(dú)特的算法變化，讓他們對(duì)抗起來(lái)更加困難。

云舒說(shuō)。

這樣做的好處是，黑客們?cè)诓煌瑘?chǎng)合，對(duì)于不同目標(biāo)的攻擊，都可以通過(guò)指紋聯(lián)系起來(lái)。在后臺(tái)的大數(shù)據(jù)中，甚至可以繪制出不同黑客組織的團(tuán)伙結(jié)構(gòu)圖。

在這個(gè)基礎(chǔ)上，加之對(duì)黑客入侵行為證據(jù)鏈的保存，對(duì)于把幕后的黑客繩之以法，已經(jīng)是一步之遙了。

目前，我們的技術(shù)可以自動(dòng)溯源到攻擊行為背后的設(shè)備，未來(lái)，我們可以更深入地把真實(shí)的黑客身份和這些設(shè)備結(jié)合起來(lái)，這樣的溯源就更加徹底了。

老聶說(shuō)。

誠(chéng)實(shí)或許是一種美德，然而有時(shí)美德并不是解藥，尤其是當(dāng)善良的人們面對(duì)黑客毫無(wú)底線的進(jìn)攻時(shí)。諾曼底的故事證實(shí)了一個(gè)顛撲不破的真理：越真實(shí)的假想，越能營(yíng)建最牢固的陷阱。

3000萬(wàn)背后的信任

三位網(wǎng)絡(luò)安全領(lǐng)域的軍事家，就是在用這種方式構(gòu)建自己的“加萊”和“諾曼底”。

也正是出于這種思路和產(chǎn)品形態(tài)的稀缺，在成立不到半年的時(shí)間里，默安科技就獲得了 3000 萬(wàn)元的 Pre-A 輪融資——由元璟資本領(lǐng)投，真格基金、盈動(dòng)資本跟投。

領(lǐng)投方元璟資本表示，

隨著網(wǎng)絡(luò)安全進(jìn)入DT（數(shù)據(jù)科技）安全時(shí)代，接入網(wǎng)絡(luò)的設(shè)備及資產(chǎn)不斷增長(zhǎng)，數(shù)據(jù)量極大爆發(fā)，安全形勢(shì)愈加復(fù)雜，安全服務(wù)正在成為常態(tài)化的基本需求。而投資方看重的是，擁有阿里巴巴職業(yè)經(jīng)歷的團(tuán)隊(duì)對(duì)DT有深刻的理解，在安全技術(shù)上更有領(lǐng)先創(chuàng)新，是一個(gè)具有“全面安全”服務(wù)能力的團(tuán)隊(duì)。

 用普通人容易理解的話(huà)來(lái)說(shuō)，幻盾有一個(gè)巨大的優(yōu)勢(shì)，那就是“從攻擊者視角出發(fā)”。由此衍生出了聽(tīng)起來(lái)很性感的“欺騙防御”，“蜜罐陷阱”。

2016年，全世界的黑客攻擊越來(lái)越猖狂，甚至已經(jīng)影響到了政治、經(jīng)濟(jì)決策的走向（希拉里郵件門(mén)對(duì)她的敗選顯然負(fù)有責(zé)任）。而網(wǎng)絡(luò)世界顯然比以往任何時(shí)候更加期待如盟軍一樣的正義之師。

三位安全專(zhuān)家和他們一手締造的幻盾，顯然被寄予了厚望。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。