360:网络大安全的“守望者”

360:网络大安全的“守望者”

若不是十余台电脑、数个环绕电子屏,以及不断闪烁的数字和曲线,360网络安全响应中心(360-CERT)看上去跟普通机房并无太大区别。恰恰在这异常安静的房间里,一场场非专业人士无法看懂的网络安全攻防7×24小时上演。从去年全球爆发的WannaCry勒索病毒,到每时每刻都可能变异的蠕虫病毒、网络木马,360网络安全响应中心的日常只是360公司数个实验室的缩影:协同构建网络空间安全命运共同体的道路上,没有硝烟的安全战永不谢幕。

安全响应拼速度

“协同联动,主动发现,快速响应”,1987年出生的蔡玉光已经是360安全专家里面的老同志,2016年底他开始负责360网络安全响应中心的工作,带着30多个更年轻的安全工程师,当起了全球网络安全威胁的“侦察兵”。

与360其他部门不同,360网络安全响应中心承担着“安全响应”中轴职能,监控的同时,在遇到安全事件时,协调360十余支大大小小安全团队的应急响应工作。这也意味着这个部门全年无休,7×24小时监测。

2017年3月,360网络安全响应中心固定办公场所正式完工。没想到,仅仅两个月,蔡玉光团队的第一场硬仗就来得如此猛烈。

2017年5月12日,一种“蠕虫式”的勒索病毒WannaCry在全球范围内爆发,不法分子利用这一病毒锁定用户电脑,除非支付比特币赎金才能获得解锁电脑和文件的密匙。据事后统计显示,WannaCry让至少150个国家、10万台电脑、30万名用户中招,造成损失达80亿美元,影响到金融、能源、医疗等众多行业。

“周六凌晨开始,连续三天,基本都在客户那里解决问题,在家只待了6个小时”,360网络安全响应中心分析团队负责人洪宇是360公司派出去的近1500名工程师之一,那几天,他们都有绝命狂奔的感觉。有时候,参与协同作战的360信息安全部专家,为了半夜能从A点抵达B点解决问题,中间打不到车,毅然选择小黄车骑行数公里。

勒索病毒爆发后,比洪宇更忙碌的可能只有360公司的客服电话,大量的个人和企业用户在恐慌中向这家老牌安全公司寻求帮助。“这里像个重大战役临时指挥中心,72个小时,几乎公司所有的安全业务骨干都集中在这里”,蔡玉光在360网络安全响应中心告诉北京商报记者,原来大多数时候房间都很安静,只有键盘和鼠标敲击的声音,但那几天人声鼎沸,大家对勒索病毒的进展和应对策略不断地进行交流研究。

WannaCry在周五晚上到周六凌晨爆发,全世界的安全从业者度过了可能是人生最难忘的一个周末,包括360轮休和值班的安全工程师们。在360,安全团队的员工有个习惯,睡觉不关机、也不静音,24小时随时待命,但谁也没想到这次几乎是集体总动员。

没有比解决一个巨大的全球安全风险更令人兴奋的了,对蔡玉光团队和360公司其他安全团队来说,挑战和使命在那一刻从未如此真实、强烈。由于精神高度集中,很多细节蔡玉光事后记得并不清楚,但他仍然印象深刻的是,本来周末带孩子休假的360首席安全官谭晓生,临时改变了计划,早上7点就把孩子带到了360网络安全响应中心。

与此同时,360第一时间启动安全响应流程,协调了20多个团队的2000余人参与应急处理,如针对微软旧版本操作系统推送补丁;全球首发勒索病毒恢复工具及自救教程;首发360安全卫士离线救灾版,一键解决勒索病毒的免疫和防御问题;全球首发“永恒之蓝”热补丁等。

实验离不开实战

360网络安全响应中心聚焦于整个互联网上游的安全事件或安全漏洞的应急响应工作,尤其是对新型的漏洞、事件和软件进行跟踪研究,需要团队保持很强的安全对抗能力。

蔡玉光给北京商报记者演示介绍,基于自建的安全大数据系统,360网络安全响应中心可以实时监测全球的网络攻击,比如攻击来自哪里、正在攻击什么目标以及攻击强度等等。此外,每天有专人根据数据收集全球网络安全情报,然后筛选出有价值的、有可能影响网络安全的事件或漏洞,经过内部系统分拣后,根据团队人员擅长的领域不同,指派给不同工程师进行进一步定向分析研究,进而得出结果进行汇总。

“整个运转机制就像网络安全大脑——收集、筛选、分拣、研究、反馈。”在蔡玉光看来,区别于其他行业的实验室,网络安全更重要的“实验”实际上是“实战”,需要工程师到达客户那里针对性地解决实时威胁。

以WannaCry勒索病毒爆发为例,洪宇介绍,紧急救援首先是客户基础服务的恢复,对政府机关、银行、医院,优先对未感染设备打补丁,把IT服务恢复,病毒爆发在周末,但不能影响周一上班的业务;接下来,帮助客户解决勒索加密文件如何找回,360安全工程师在不同情况下提供不同的解决方案。

更重要的是,事件平息后,如何长期更好地保护企业、机构的IT安全成为全社会重新思考的问题。

洪宇表示,勒索病毒让业界真正认识到,以前一些不被重视的攻击方法成为新的重大威胁。比如企业、机构的传统安全防护,采用了内外网隔离、专网甚至断网的方式,认为这样就是安全的。但震网病毒(曾因攻击伊朗核电站而震惊全世界)、WannaCry勒索病毒等大规模新型漏洞攻击模式的出现,让安全从业者和公众都认识到,利用BYOD(携带自己的设备办公,这些设备包括个人电脑、手机、平板等)进行攻击成为新的网络黑产青睐的方式。

而这些看似“脑洞大开”的攻击方式,实际上已经成为现实,在攻击伊朗核电站的震网病毒事件中上演。而这也是360网络安全响应中心团队日常经常沟通的话题,成员每个星期彼此分享可能造成威胁的攻击构想,尽管可能暂时只是日剧《血色星期一》或者美剧《疑犯追踪》的剧本情节。

“未知攻,焉知防”,这句话是网络安全行业的通识,时刻提醒从业人员不断提升自身能力,了解网络攻击原理。在并未完善的网络体系中,网络安全的防守方比攻击方需要更多的思考和行动。

实际上,WannaCry勒索病毒利用了NSA网络军火库中的“永恒之蓝”黑客武器。早在病毒爆发前一个月,360就全球首家发布了针对该漏洞的免疫工具;病毒爆发前半个月,360曾率先监测到“永恒之蓝”用于传播勒索病毒“洋葱”;在预警监测上,5月12日,360首次监测到“WannaCry”1.0大规模爆发并同步发布预警信息。

“大安全”攻防博弈

作为安全团队调度的中轴系统,360网络安全响应中心并非360公司的主要营收部门,但恰恰是这家以安全为基石的公司象征之一。在大数据、云计算、人工智能、物联网等多重概念的碰撞下,安全正从互联网安全走向大安全。

蔡玉光介绍,个人用户经过十余年的教育,已经对网络安全有了成熟概念,尤其是在360等网络安全公司提供的免费杀毒等防护下,病毒肆虐的门槛已经大大提高。但在更广阔的企业市场,大量企业仍然只是简单购买防火墙或其他安全软件,而没有积极地应对网络威胁。

近几年,国内企业的IT思维已经获得强化,但多数预算集中在与业务相关的层面,比如云计算、大数据那些给业务带来收益提升的信息资源。而对于安全防护,往往只有支出,并不带来收益,被很多企业忽视。而一旦出现网络安全事故,后悔也就来不及了。

变化已经在悄悄发生。蔡玉光介绍,WannaCry勒索病毒的爆发让2017年成为网络安全攻防的分水岭。一个明显趋势显示,网络攻击正在产生两种分化,一种是以追求利益型的网络犯罪,通过勒索病毒进行网络勒索,或者进行挖矿推广等行为,甚至破解数字钱包;另一种是高精尖的情报窃取和网络攻击,往往带有针对性和财团背景,以给竞争对手造成巨大损失。

在这种趋势下,过往以“电脑死机”为目的的“小毛贼”式网络威胁逐渐减少,规模性作案的网络犯罪将增加。尤其是网络安全攻防从线上走到线下,智能汽车、发电厂甚至地铁都成为攻击的目标。“安全应该被作为一个整体概念,无法切割个人安全还是企业安全,比如在BYOD成为攻击场景之后,网络安全攻防更加复杂”,蔡玉光强调。

360网络安全响应中心的专家们介绍了一种乍看起来蛮科幻的“摆渡人”攻击模式:攻击者不再直接寻找攻击目标的技术漏洞,而是先接触与攻击目标关系密切的涉密员工,甚至是这个员工的亲朋好友,通过在这些关联人生活工作所用移动介质(手机、光盘、U盘等)上埋伏病毒,最终让涉密员工在不知不觉的情况下成为“摆渡人”,像划船一样把病毒带进了攻击目标。

蔡玉光说,人们总会将工作带进生活,又将生活带进工作,人决定了网络安全的尺度,人又是最薄弱的环节。但未来,网络安全攻防是以尖端人才为基础的服务性产业,这也是360网络安全响应中心建立的长远愿景。

揭秘

黑客不黑,喜欢挖漏洞

黑客,可以是天使也可以是魔鬼。360网络安全响应中心分析团队负责人洪宇笑着告诉北京商报记者,如果为了钱,大多数工程师都能自己出去“搞点事情”,单人年收入500万元是最低标准,但那是违法犯罪的路子。

而真正爱这一行的黑客,就像对待自己喜欢的姑娘,怎么会允许向她脸上抹脏东西?得益于安全产业的快速发展,崇尚“自由、开放”的黑客,可以像蔡玉光、洪宇一样加入专业公司,以职业身份做成事业,也可以做独立的安全分析师,成为圈内有口皆碑的“白帽子”。

无论哪种选择,黑客在技术之外,承担了越来越多的社会责任感,最好的表象就是“挖漏洞”。蔡玉光介绍,360公司有一支专业的漏洞挖掘团队,但其他安全团队的工程师也本着交流学习、提高能力和个人兴趣的初衷,在漏洞挖掘层面屡有斩获。

2017年,蔡玉光团队成员多次发现微软、苹果等公司系统或软件漏洞,并收到了对方的致谢。其中,洪宇上报了两个苹果软件漏洞,并在年底获得苹果公司追加的致谢。今年,洪宇在阿姆斯特丹的一次安全会议上发表了对微软.NET框架的安全研究报告,微软安全应急响应中心负责人对报告内容专程予以感谢。

“你在挖漏洞,别人也在挖漏洞,如果先挖出来的是网络不法分子,就不仅仅是能力和名誉的问题了”,洪宇说。

“漏洞发掘,帮助同业修复网络风险,本身是践行社会责任的事情。黑客单枪匹马发现了大公司的系统漏洞,更是对自身能力的肯定。”蔡玉光认为,挖漏洞是团队成员本质之外的爱好,恰恰是网络攻防“未知攻、焉知防”最好的诠释。