有一種對抗，“殺人”不見“血”，卻更可怕；

它的主戰(zhàn)場在網(wǎng)絡(luò)，有時(shí)針對一個(gè)人或者企業(yè)悄然攻擊，有時(shí)是國與國之間廝殺戰(zhàn)斗；

攻方，狡詐無比，守方，斗智斗勇。

這就是網(wǎng)絡(luò)安全領(lǐng)域的攻防對抗，外人看上去驚心動魄，守者，卻視為常態(tài)，處變不驚。

但這是每一個(gè)身處賽博世界的人無法逃離的戰(zhàn)場，有時(shí)被波及，有時(shí)是主要受害人，我們，無法置身事外。

綠盟科技的高級副總裁葉曉虎已經(jīng)置身這種戰(zhàn)斗 15 年，2002 年，他初加入綠盟科技時(shí)，就卷入了與 DDoS 的對抗。時(shí)刻警惕與抵抗賽博世界的攻方來襲，揪出背后的始作俑者，這是他 15 年來最重要的工作。

“唐山黑客”和“證券幽靈”

15 年來，讓這個(gè)經(jīng)驗(yàn)豐富的守方老將印象深刻的攻守戰(zhàn)斗有兩場。

2005 年，一名“唐山黑客”的案子震驚了全國，甚至驚動了國家公安部。

事情是這樣的：從 2004 年 10 月份開始，原本并不火爆的北京境內(nèi)的某音樂網(wǎng)站，卻突然“熱鬧”起來，在某些時(shí)段，要想登錄這家網(wǎng)站非常困難，后經(jīng)該網(wǎng)站技術(shù)人員確認(rèn)造成這一問題的原因在于有人惡意實(shí)施攻擊。

為了擺脫困境，網(wǎng)站的經(jīng)營者曾專門請來專家“會診”，試圖“死里逃生”，但事與愿違，面對這種攻擊手法，似乎無計(jì)可施，期間專家在試圖抵御攻擊時(shí)，結(jié)果是你一動，攻擊者下手更狠。無奈，為了躲避攻占，網(wǎng)站經(jīng)營者將網(wǎng)站服務(wù)器轉(zhuǎn)移到了我國臺灣境內(nèi)，但攻擊者仍然一路窮追猛打，網(wǎng)站依然頻頻告急，網(wǎng)站經(jīng)營者又生一計(jì)，越跑越遠(yuǎn)，干脆將服務(wù)器轉(zhuǎn)移到美國境內(nèi)，結(jié)果再次失敗，攻擊者如影相隨，跑到哪兒打到哪兒，大有致其于死地而后快之勢。疲于“奔命”的網(wǎng)站經(jīng)營者無奈之下最后向國家信息產(chǎn)業(yè)部上報(bào)了這一情況，接著國家信息產(chǎn)業(yè)部向公安部緊急報(bào)案。 

葉曉虎和團(tuán)隊(duì)配合有關(guān)部門，對該網(wǎng)站進(jìn)行防護(hù)和調(diào)查了好幾個(gè)月，沒有線索。直到有一天，他們發(fā)現(xiàn)了系統(tǒng)的一條毫不起眼的攻擊日志，從而定位了位于某部門內(nèi)部的一臺機(jī)器，在機(jī)器上捕獲了攻擊樣本，最后定位到背后的這位“唐山黑客”。

葉曉虎告訴雷鋒網(wǎng)宅客頻道（微信ID：letshome），“唐山黑客”案的攻擊手法不斷變化，且頻率非常高，而 2016 年報(bào)道的“證券幽靈”案攻擊者潛伏時(shí)間之長實(shí)屬罕見。

這是一起典型的 APT 攻擊，在一些證券商報(bào)告發(fā)現(xiàn)賬戶異動后，邀請綠盟科技專家排查，發(fā)現(xiàn)一名操作人員的電腦“被搞了”，內(nèi)部的服務(wù)器都被攻陷，再一查，嚇人一跳！

這場“潛伏”與“信息盜竊”已經(jīng)持續(xù)了 10 年。讓人不可思議的是，中途入侵行為還曾被發(fā)現(xiàn)和處理過，但詭異的是，看上去已經(jīng)打掃干凈的戰(zhàn)場卻仍有敵人潛伏，而且此后的入侵手段還發(fā)生了變化和升級。

葉曉虎說：

“我們調(diào)查分析發(fā)現(xiàn)，幾乎所有漏洞都已經(jīng)修復(fù)，但是，唯一一臺對外的服務(wù)器端口被開了，這就導(dǎo)致了攻擊還能持續(xù)進(jìn)行，我們在其他地方也發(fā)現(xiàn)了類似情況，做了很多取證，前一段時(shí)間攻擊者已經(jīng)被判刑?！?/span>

“搞一場 DDoS 萬把塊錢都算貴的”

事實(shí)上，在攻防對抗的“金字塔”中，這種造大案的對手只占據(jù)頂尖的 20 %，剩下的 80 %都是“小毛賊”。

葉曉虎告訴雷鋒網(wǎng)，“小毛賊”雖然單個(gè)收益少，但有時(shí)社會影響大；而塔尖的人會用高精尖的技術(shù)，比如，花血本進(jìn)行“零日攻擊”、“組合攻擊”和 APT攻擊。

葉曉虎說：

“現(xiàn)在，很多企業(yè)一個(gè)基礎(chǔ)的問題還解決得不太好，認(rèn)識不到網(wǎng)絡(luò)資產(chǎn)的價(jià)值、脆弱性、暴露面，甚至連連資產(chǎn)都不清楚，防護(hù)就更難了。IT技術(shù)發(fā)展非?？欤髽I(yè)管理的資產(chǎn)和暴露面呈現(xiàn)幾何級地增長，大點(diǎn)公司安全防護(hù)人員也就是幾個(gè)人，小的公司更難說了。在有的公司，安全團(tuán)隊(duì)和IT 團(tuán)隊(duì)是分開的，安全團(tuán)隊(duì)不了解業(yè)務(wù)，這也是安全管理的困難?！?/p>

頂尖的金字塔上的攻擊者如果發(fā)動 APT攻擊，長時(shí)間攻擊一個(gè)企業(yè)，成功率非常高?！?span style="line-height: 1.8;">在某一個(gè)時(shí)刻保持安全不難，但要一直不犯錯(cuò)誤很難，在網(wǎng)絡(luò)安全上保持很高的水平，投入會要很大，不是每個(gè)企業(yè)都能負(fù)擔(dān)得了。”

不怕賊偷，“最怕賊惦記”。

這位攻防領(lǐng)域的老將還在長時(shí)間的對抗中意識到，攻防對抗的形勢越來越嚴(yán)峻。

葉曉虎在早期做攻防對抗時(shí)，其實(shí)相當(dāng)清楚一場龐大的 DDoS 的幕后黑手是誰。那些黑手在國內(nèi)都掌握了很多資源，甚至對抗雙方還電話溝通。對方都能猖狂地承認(rèn)，但是攻擊者“背后的資源”讓人動不了他。

這種“看破卻不能說破”的境地還不是最艱難的?，F(xiàn)在，有人明目張膽，卻還行蹤隱秘。

還是以 DDoS 為例，現(xiàn)在它已形成了比較完整的產(chǎn)業(yè)鏈，由背后的人提供基礎(chǔ)設(shè)施，把攻擊作為一種服務(wù)進(jìn)行售賣。

發(fā)起一場 DDoS 攻擊，只要簡單填寫一個(gè)需求，成本非常低，一個(gè)“肉雞”甚至只要幾分錢，搞一場“萬把塊錢”都算貴的。

“電話詐騙的一個(gè)窩點(diǎn)在我的老家福建龍巖，一些人拿柴油機(jī)躲到山里發(fā)電，這樣就很難監(jiān)控，而且這些地區(qū)的人只是馬仔，真正老板在臺灣。”葉曉虎說。

被攻擊方和防守方都很難找到敵人在哪里——這讓守方很難受，攻擊者的行蹤越來越隱蔽。

“攻防對抗的軍備競賽”

從 RSA 大會回來后，葉曉虎對攻防對抗的新形勢感受更深刻了。他和同事們甚至因此做了一份“攻防對抗的軍備競賽”清單：

如何攻

攻1：各種攻擊元素出租，灰色市場居然可以這樣搞？

灰色市場已進(jìn)入更為精細(xì)化的“專業(yè)分工”，漏洞、利用、工具開發(fā)、 僵尸出租、社工庫等成了“各種專門服務(wù)”。

某勒索軟件要求受害者在一個(gè)星期內(nèi)支付贖金或查找兩個(gè)新的受害者。如果事件中另外兩名“下線”受害者支付了贖金要求，原始的受害者可以免費(fèi)獲得解密密鑰。不管這種類“傳銷模式“最終是否會帶來更大的殺傷力，但灰產(chǎn)挖掘人性弱點(diǎn)并在運(yùn)作模式中區(qū)充分利用的嘗試得以充分展現(xiàn)。

另外，臭名昭著的 DDoS 攻擊者在直接敲詐和煙幕服務(wù)等之外，提供非常低廉 DDoS as a Service(DDoS即服務(wù))，5 美元起賣和分銷。

攻2：守方使勁搞的機(jī)器學(xué)習(xí)，攻方也在盯著

各種機(jī)器學(xué)習(xí)和人工智能算法和工具被引入安全產(chǎn)品和系統(tǒng)。但是，機(jī)器學(xué)習(xí)只是一個(gè)數(shù)學(xué)工具，攻守雙方都可以使用。

通過對抗性圖像攻擊可以欺騙機(jī)器學(xué)習(xí)模型，在一個(gè)圖像識別的例子中，識別引擎給出了公共汽車車窗的誤判。以此類推，如果攻擊者面對機(jī)器學(xué)習(xí)的安全產(chǎn)品及系統(tǒng)，同樣有可能利用這樣的誤判，發(fā)起致命的攻擊。

機(jī)器學(xué)習(xí)作為一種數(shù)學(xué)工具，其輸出的“智能”并不是真正的“智能”，而是由其設(shè)計(jì)和運(yùn)作過程中所使用的攻防模型、機(jī)器學(xué)習(xí)算法以及訓(xùn)練樣本所決定的“計(jì)算”。這樣，如果攻擊者通過某種手段可以獲取這些信息，并進(jìn)行針對性模仿、甚至“注入”，就可以達(dá)到“免殺”和“誤導(dǎo)”的效果。

但是現(xiàn)在，攻擊方的技術(shù)真的可以達(dá)到這么高的境界了？

葉曉虎告訴雷鋒網(wǎng)，攻守雙方都能利用機(jī)器學(xué)習(xí)的技術(shù)，目前攻方利用技巧干擾機(jī)器學(xué)習(xí)的公開案例較少，但不代表以后不會大規(guī)模流行。

“機(jī)器學(xué)習(xí)作為自動化工具讓安全管理人員解放雙手。一個(gè)研究員手工分析一個(gè)樣本，至少需要2-3個(gè)小時(shí)，一天幾十萬個(gè)樣本怎么辦？只能靠機(jī)器學(xué)習(xí)。攻擊者也能利用機(jī)器學(xué)習(xí)來干壞事，比如，把防守方的機(jī)器學(xué)習(xí)規(guī)則和參數(shù)摸清楚后，稍微進(jìn)行調(diào)整，就能繞過防守方建起來的墻。”

攻3：從廣撒網(wǎng)到“24小時(shí)”定向“盯梢”

定向攻擊（TA）和高級持續(xù)威脅（APT）通常被認(rèn)為是高級的技術(shù)對抗，而廣譜的、也就是非定向的攻擊被認(rèn)為是一般的技術(shù)對抗。

廣譜攻擊不區(qū)分行業(yè)和目標(biāo)屬性，單次收益低，強(qiáng)調(diào)海量重復(fù)和自動化。定向攻擊者針對防護(hù)目標(biāo)進(jìn)行“免殺”校準(zhǔn)，此時(shí)防守方所采用的已被攻擊者掌握的一般商業(yè)化防護(hù)措施已經(jīng)失效。這時(shí)，防守成功要求攻方所不掌握的“獨(dú)特性“。這種“獨(dú)特性”對于攻方來說意味著成本和“風(fēng)險(xiǎn)”。

“廣譜攻擊，我攻擊你，收益就一點(diǎn)點(diǎn)，最暴力、重復(fù)，而定向攻擊中，手段技術(shù)高不可怕，最可怕的還是持續(xù)性一不小心就會中招。尤其一個(gè)企業(yè)有那么多員工，如果其中一個(gè)中招，可能會對整個(gè)公司帶來可怕的后果?！比~曉虎說。

攻4：物聯(lián)網(wǎng)的各種低防護(hù)目標(biāo)被盯上

2016年美國東部地區(qū)大斷網(wǎng)事件是這一觀點(diǎn)的最佳佐證。物聯(lián)網(wǎng)被利用來發(fā)起大規(guī)模拒絕服務(wù)攻擊是 2016 年的熱點(diǎn)事件，尤其 Mirai 和 DYN 攻擊事件中大眾傳播達(dá)到一個(gè)新的高度。

一個(gè)相對保守的預(yù)計(jì)是在 2020 年將會有 200 億以上的物聯(lián)網(wǎng)設(shè)備上網(wǎng)。

大量低防護(hù)水平的目標(biāo)涌入互聯(lián)網(wǎng)，如同原來院子里玩耍的孩子們突然跑到車水馬龍的大街上，必然對灰色產(chǎn)業(yè)和攻防態(tài)勢產(chǎn)生深刻的影響。

如何守

葉曉虎告訴雷鋒網(wǎng)，要應(yīng)對這四種可怕的攻擊趨勢，需要從這些方面來考慮：

1.跟蹤云物大移時(shí)代信息系統(tǒng)的所有環(huán)節(jié)的漏洞和攻防細(xì)節(jié)、并實(shí)時(shí)做出準(zhǔn)確的判斷，對于數(shù)十人規(guī)模的專業(yè)安全團(tuán)隊(duì)都是極度困難的。依托威脅情報(bào)系統(tǒng)和“生態(tài)伙伴”成為一種必然的選擇。

雷鋒網(wǎng)了解到，現(xiàn)在，北美地區(qū)的情報(bào)共享和分析中心比較成熟，在國內(nèi)，出于各方面的原因，還沒有形成很好的合作機(jī)制。

葉曉虎分析，從企業(yè)角度看，現(xiàn)在有些人會考慮分享對KPI 有沒有影響，是否會產(chǎn)生負(fù)面影響。從安全公司角度看，他們會考慮是否會損害企業(yè)的技術(shù)競爭力。

因此，這確實(shí)是擺在眼前需要解決的一道題。

“但是，建立生態(tài)伙伴卻是一個(gè)不可逆轉(zhuǎn)的趨勢，企業(yè)、安全公司和主管機(jī)構(gòu)都會涉身其中，這樣才可能把安全形勢變得更可控?！?/span>

2.威脅方將會利用機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)來優(yōu)化“攻擊”，并不意味著機(jī)器學(xué)習(xí)之于網(wǎng)絡(luò)安全沒有用處，恰恰相反，不掌握機(jī)器學(xué)習(xí)技術(shù)的安全防御方將會處于類似冷兵器對熱兵器的“劣勢”局面。

洞察網(wǎng)絡(luò)系統(tǒng)中的各種用戶和設(shè)備行為，尋找源自合法用戶、合法供應(yīng)鏈組件等的可能攻擊和濫用，針對安全事件的溯源和追蹤，對全局安全態(tài)勢的感知和研判等等，需要大量的安全數(shù)據(jù)分析、可見性、威脅情報(bào)等能力的聯(lián)合運(yùn)用，都需要機(jī)器學(xué)習(xí)為代表的新一代計(jì)算工具的支撐。

葉曉虎對機(jī)器學(xué)習(xí)的期待是，希望能夠構(gòu)建一個(gè)系統(tǒng)，具備對攻擊手段自演化的功能。

3.在動態(tài)縱深防御模型下，局部的“失敗”并不可怕，但需要防守方能夠及時(shí)的檢查到“失敗”并調(diào)整防護(hù)手段，保證掌控或重新奪回戰(zhàn)場優(yōu)勢。

以前，大家觀點(diǎn)是，要把自己的網(wǎng)絡(luò)守得死死的，把危險(xiǎn)、入侵都擋在門外。都擋住了，你連攻擊者進(jìn)化的手段都不會了解。不如，在一臺服務(wù)器故意放一些表面上很重要的信息，吸引黑客訪問數(shù)據(jù)，就可以鎖定這個(gè)行為用來定位。利用這種手段跟蹤攻擊方的行為，放長線、釣大魚。雖然擋住了，但不知道黑客想要干什么，知道發(fā)生了什么事情更重要。

為此，葉曉虎也曾做過實(shí)驗(yàn)，為一個(gè)客戶模擬一個(gè)交易系統(tǒng)，做業(yè)務(wù)型的蜜罐，故意放了一些漏洞，前端發(fā)現(xiàn)了可疑，就把流量引到蜜罐上來，追溯攻擊者，讓守方有所準(zhǔn)備。

但是，每個(gè)公司的業(yè)務(wù)系統(tǒng)不一，再造一個(gè)模擬系統(tǒng)，在技術(shù)上要求很高，成本也高。這就需要企業(yè)權(quán)衡和選擇不同的防守策略和方式。

4.防護(hù)無死角，S（社交）M（移動）T（物聯(lián)網(wǎng)）都需要考慮。

這一點(diǎn)要求守方要預(yù)先準(zhǔn)備對應(yīng)方案，適時(shí)預(yù)判。但比較麻煩的是，大部分安全公司做傳統(tǒng) IT，在物聯(lián)網(wǎng)領(lǐng)域了解不多，尤其是工控領(lǐng)域，對安全理解不太多，這是一大挑戰(zhàn)。

葉曉虎最后總結(jié)了最重要的秘籍：

1.整個(gè)安全行業(yè)，連接和共享才能快速響應(yīng)。2.整個(gè)安全需要持續(xù)運(yùn)營，它不是靜態(tài)的，某個(gè)時(shí)間點(diǎn)的安全不能說明什么，需要持續(xù)投入。3.從安全角度來說，檢測比防護(hù)更重要，要知道企業(yè)安全態(tài)勢。4.人工智能和機(jī)器智能是防守方技術(shù)層面最重要的手段。提高效率，才能做得更好。

【葉曉虎（被同事稱為“虎博”、“虎博士”）擺了兩款pose，是不是跟你想象中嚴(yán)肅的安全守衛(wèi)者形象不一樣？】

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。