360: “Watcher” for Network Security

360: “Watcher” for Network Security

若不是十餘台電腦、數個環繞電子屏,以及不斷閃爍的數字和曲線,360網絡安全響應中心(360-CERT)看上去跟普通機房並無太大區別。恰恰在這異常安靜的房間里,一場場非專業人士無法看懂的網絡安全攻防7×24小時上演。從去年全球爆發的WannaCry勒索病毒,到每時每刻都可能變異的蠕蟲病毒、網絡木馬,360網絡安全響應中心的日常只是360公司數個實驗室的縮影:協同構建網絡空間安全命運共同體的道路上,沒有硝煙的安全戰永不謝幕。

安全響應拼速度

「協同聯動,主動發現,快速響應」,1987年出生的蔡玉光已經是360安全專家裡面的老同志,2016年底他開始負責360網絡安全響應中心的工作,帶著30多個更年輕的安全工程師,當起了全球網絡安全威脅的「偵察兵」。

與360其他部門不同,360網絡安全響應中心承擔著「安全響應」中軸職能,監控的同時,在遇到安全事件時,協調360十餘支大大小小安全團隊的應急響應工作。這也意味著這個部門全年無休,7×24小時監測。

2017年3月,360網絡安全響應中心固定辦公場所正式完工。沒想到,僅僅兩個月,蔡玉光團隊的第一場硬仗就來得如此猛烈。

2017年5月12日,一種「蠕蟲式」的勒索病毒WannaCry在全球範圍內爆發,不法分子利用這一病毒鎖定用戶電腦,除非支付比特幣贖金才能獲得解鎖電腦和文件的密匙。據事後統計顯示,WannaCry讓至少150個國家、10萬台電腦、30萬名用戶中招,造成損失達80億美元,影響到金融、能源、醫療等眾多行業。

「週六凌晨開始,連續三天,基本都在客戶那裡解決問題,在家只待了6個小時」,360網絡安全響應中心分析團隊負責人洪宇是360公司派出去的近1500名工程師之一,那幾天,他們都有絕命狂奔的感覺。有時候,參與協同作戰的360信息安全部專家,為了半夜能從A點抵達B點解決問題,中間打不到車,毅然選擇小黃車騎行數公里。

勒索病毒爆發後,比洪宇更忙碌的可能只有360公司的客服電話,大量的個人和企業用戶在恐慌中向這家老牌安全公司尋求幫助。「這裡像個重大戰役臨時指揮中心,72個小時,幾乎公司所有的安全業務骨幹都集中在這裡」,蔡玉光在360網絡安全響應中心告訴北京商報記者,原來大多數時候房間都很安靜,只有鍵盤和鼠標敲擊的聲音,但那幾天人聲鼎沸,大家對勒索病毒的進展和應對策略不斷地進行交流研究。

WannaCry在週五晚上到週六凌晨爆發,全世界的安全從業者度過了可能是人生最難忘的一個週末,包括360輪休和值班的安全工程師們。在360,安全團隊的員工有個習慣,睡覺不關機、也不靜音,24小時隨時待命,但誰也沒想到這次幾乎是集體總動員。

沒有比解決一個巨大的全球安全風險更令人興奮的了,對蔡玉光團隊和360公司其他安全團隊來說,挑戰和使命在那一刻從未如此真實、強烈。由於精神高度集中,很多細節蔡玉光事後記得並不清楚,但他仍然印象深刻的是,本來週末帶孩子休假的360首席安全官譚曉生,臨時改變了計劃,早上7點就把孩子帶到了360網絡安全響應中心。

與此同時,360第一時間啓動安全響應流程,協調了20多個團隊的2000余人參與應急處理,如針對微軟舊版本操作系統推送補丁;全球首發勒索病毒恢復工具及自救教程;首發360安全衛士離線救災版,一鍵解決勒索病毒的免疫和防禦問題;全球首發「永恆之藍」熱補丁等。

實驗離不開實戰

360網絡安全響應中心聚焦於整個互聯網上游的安全事件或安全漏洞的應急響應工作,尤其是對新型的漏洞、事件和軟件進行跟蹤研究,需要團隊保持很強的安全對抗能力。

蔡玉光給北京商報記者演示介紹,基於自建的安全大數據系統,360網絡安全響應中心可以實時監測全球的網絡攻擊,比如攻擊來自哪裡、正在攻擊什麼目標以及攻擊強度等等。此外,每天有專人根據數據收集全球網絡安全情報,然後篩選出有價值的、有可能影響網絡安全的事件或漏洞,經過內部系統分揀後,根據團隊人員擅長的領域不同,指派給不同工程師進行進一步定向分析研究,進而得出結果進行匯總。

「整個運轉機制就像網絡安全大腦——收集、篩選、分揀、研究、反饋。」在蔡玉光看來,區別於其他行業的實驗室,網絡安全更重要的「實驗」實際上是「實戰」,需要工程師到達客戶那裡針對性地解決實時威脅。

以WannaCry勒索病毒爆發為例,洪宇介紹,緊急救援首先是客戶基礎服務的恢復,對政府機關、銀行、醫院,優先對未感染設備打補丁,把IT服務恢復,病毒爆發在週末,但不能影響週一上班的業務;接下來,幫助客戶解決勒索加密文件如何找回,360安全工程師在不同情況下提供不同的解決方案。

更重要的是,事件平息後,如何長期更好地保護企業、機構的IT安全成為全社會重新思考的問題。

洪宇表示,勒索病毒讓業界真正認識到,以前一些不被重視的攻擊方法成為新的重大威脅。比如企業、機構的傳統安全防護,採用了內外網隔離、專網甚至斷網的方式,認為這樣就是安全的。但震網病毒(曾因攻擊伊朗核電站而震驚全世界)、WannaCry勒索病毒等大規模新型漏洞攻擊模式的出現,讓安全從業者和公眾都認識到,利用BYOD(攜帶自己的設備辦公,這些設備包括個人電腦、手機、平板等)進行攻擊成為新的網絡黑產青睞的方式。

而這些看似「腦洞大開」的攻擊方式,實際上已經成為現實,在攻擊伊朗核電站的震網病毒事件中上演。而這也是360網絡安全響應中心團隊日常經常溝通的話題,成員每個星期彼此分享可能造成威脅的攻擊構想,儘管可能暫時只是日劇《血色星期一》或者美劇《疑犯追蹤》的劇本情節。

「未知攻,焉知防」,這句話是網絡安全行業的通識,時刻提醒從業人員不斷提升自身能力,瞭解網絡攻擊原理。在並未完善的網絡體系中,網絡安全的防守方比攻擊方需要更多的思考和行動。

實際上,WannaCry勒索病毒利用了NSA網絡軍火庫中的「永恆之藍」黑客武器。早在病毒爆發前一個月,360就全球首家發佈了針對該漏洞的免疫工具;病毒爆發前半個月,360曾率先監測到「永恆之藍」用於傳播勒索病毒「洋蔥」;在預警監測上,5月12日,360首次監測到「WannaCry」1.0大規模爆發並同步發佈預警信息。

「大安全」攻防博弈

作為安全團隊調度的中軸系統,360網絡安全響應中心並非360公司的主要營收部門,但恰恰是這家以安全為基石的公司象徵之一。在大數據、雲計算、人工智能、物聯網等多重概念的碰撞下,安全正從互聯網安全走向大安全。

蔡玉光介紹,個人用戶經過十餘年的教育,已經對網絡安全有了成熟概念,尤其是在360等網絡安全公司提供的免費殺毒等防護下,病毒肆虐的門檻已經大大提高。但在更廣闊的企業市場,大量企業仍然只是簡單購買防火牆或其他安全軟件,而沒有積極地應對網絡威脅。

近幾年,國內企業的IT思維已經獲得強化,但多數預算集中在與業務相關的層面,比如雲計算、大數據那些給業務帶來收益提升的信息資源。而對於安全防護,往往只有支出,並不帶來收益,被很多企業忽視。而一旦出現網絡安全事故,後悔也就來不及了。

變化已經在悄悄發生。蔡玉光介紹,WannaCry勒索病毒的爆發讓2017年成為網絡安全攻防的分水嶺。一個明顯趨勢顯示,網絡攻擊正在產生兩種分化,一種是以追求利益型的網絡犯罪,通過勒索病毒進行網絡勒索,或者進行挖礦推廣等行為,甚至破解數字錢包;另一種是高精尖的情報竊取和網絡攻擊,往往帶有針對性和財團背景,以給競爭對手造成巨大損失。

在這種趨勢下,過往以「電腦死機」為目的的「小毛賊」式網絡威脅逐漸減少,規模性作案的網絡犯罪將增加。尤其是網絡安全攻防從線上走到線下,智能汽車、發電廠甚至地鐵都成為攻擊的目標。「安全應該被作為一個整體概念,無法切割個人安全還是企業安全,比如在BYOD成為攻擊場景之後,網絡安全攻防更加複雜」,蔡玉光強調。

360網絡安全響應中心的專家們介紹了一種乍看起來蠻科幻的「擺渡人」攻擊模式:攻擊者不再直接尋找攻擊目標的技術漏洞,而是先接觸與攻擊目標關係密切的涉密員工,甚至是這個員工的親朋好友,通過在這些關聯人生活工作所用移動介質(手機、光盤、U盤等)上埋伏病毒,最終讓涉密員工在不知不覺的情況下成為「擺渡人」,像划船一樣把病毒帶進了攻擊目標。

蔡玉光說,人們總會將工作帶進生活,又將生活帶進工作,人決定了網絡安全的尺度,人又是最薄弱的環節。但未來,網絡安全攻防是以尖端人才為基礎的服務性產業,這也是360網絡安全響應中心建立的長遠願景。

揭秘

黑客不黑,喜歡挖漏洞

 

黑客,可以是天使也可以是魔鬼。360網絡安全響應中心分析團隊負責人洪宇笑著告訴北京商報記者,如果為了錢,大多數工程師都能自己出去「搞點事情」,單人年收入500萬元是最低標準,但那是違法犯罪的路子。

而真正愛這一行的黑客,就像對待自己喜歡的姑娘,怎麼會允許向她臉上抹臟東西?得益於安全產業的快速發展,崇尚「自由、開放」的黑客,可以像蔡玉光、洪宇一樣加入專業公司,以職業身份做成事業,也可以做獨立的安全分析師,成為圈內有口皆碑的「白帽子」。

無論哪種選擇,黑客在技術之外,承擔了越來越多的社會責任感,最好的表象就是「挖漏洞」。蔡玉光介紹,360公司有一支專業的漏洞挖掘團隊,但其他安全團隊的工程師也本著交流學習、提高能力和個人興趣的初衷,在漏洞挖掘層面屢有斬獲。

2017年,蔡玉光團隊成員多次發現微軟、蘋果等公司系統或軟件漏洞,並收到了對方的致謝。其中,洪宇上報了兩個蘋果軟件漏洞,並在年底獲得蘋果公司追加的致謝。今年,洪宇在阿姆斯特丹的一次安全會議上發表了對微軟.NET框架的安全研究報告,微軟安全應急響應中心負責人對報告內容專程予以感謝。

「你在挖漏洞,別人也在挖漏洞,如果先挖出來的是網絡不法分子,就不僅僅是能力和名譽的問題了」,洪宇說。

「漏洞發掘,幫助同業修復網絡風險,本身是踐行社會責任的事情。黑客單槍匹馬發現了大公司的系統漏洞,更是對自身能力的肯定。」蔡玉光認為,挖漏洞是團隊成員本質之外的愛好,恰恰是網絡攻防「未知攻、焉知防」最好的詮釋。



Social media & sharing icons powered by UltimatelySocial