一次持续 15 年的网络安全“攻防之战”
2003 年 7-8 月,冲击波病毒爆发,对网络安全造成严重影响,尤其是校园网。冲击波病毒不仅使得校园网变得卡顿,还会在学生电脑上强制弹出一个倒计时窗口,60 秒后自动关机,给学生正常使用电脑和网络造成了极大不便。正值学生时代的邓欣通过第三方工具帮助同学查杀病毒,周围同学电脑上的冲击波病毒在他的帮助下被顺利清除,也让年轻的邓欣与网络安全结下了不解之缘。
大学毕业后,邓欣加入了腾讯,开始了网络安全的从业生涯。
在邓欣加入腾讯初期的那个年代,QQ 木马盗号的情况时有发生。在这背后,其实隐藏着的是一个巨大的黑色产业链,不法分子通过病毒木马盗取大量 QQ 号再进行转卖变现,整个过程可以获得上千万的利益。因为巨大利益的存在,黑客团体也有组织地开发木马、传播木马,以非法盗取用户 QQ。
在这一严峻形势下,腾讯成立专项组反击病毒木马,打击盗取 QQ 的不法行为,邓欣团队通过对病毒的精准识别,对其进行有效查杀;并且通过腾讯电脑管家和 QQ 联动,为 QQ 增加多重防护,这些举措使得 QQ 的安全性显著提升;同时通过溯源定位盗号团伙并进行法务打击,盗取 QQ 的案件量不断下降。
在专注于网络安全防护的同时,邓欣也在研究新型的网络攻击技术,做到攻防一体,不断提升自己对于网络安全的专业能力。而其团队也通过深入研究新型的网络攻击技术,反其道而行,开发对应的防御产品,整体提升团队对于网络攻防的理解和认知。
腾讯的工作经历让邓欣在网络安全领域积累了丰富的实践经验,在系统漏洞攻防和业务风险控制等领域构建起完善的知识体系。在腾讯期间,邓欣团队也曾于 Pwn2Own[1] 大赛斩获冠军头筹。
回望腾讯的 11 年工作历程,邓欣坦言,这段经历对其专业技术能力上的提升夯实了基础。作为中国最早一批发展起来的互联网公司——腾讯也是最早面临安全问题的企业之一。如前面提到的 QQ 账号安防事件,这个业务的体量足够大,系统的复杂程度足够高,安全技术人员在这里得到的锻炼也就很多。这样的背景,能够让邓欣这样一群人有机会不断的提升自己的专业能力。
在腾讯的工作期间,为邓欣构筑起完善的网络安全理论体系。
不论是技术团队管理还是整个公司的管理框架上,腾讯的经历都让邓欣成长了许多。随着对网络安全认知的加深,邓欣开始谋求一个跳出舒适区,寻找更好体现自身价值的机会。在采访中,邓欣提到,技术人员不能只是埋头做技术,而是应该聚焦于技术能用在什么地方,挖掘技术的实用价值。
在一颗“不安分”的心的驱动下,邓欣选择进入到一家创业公司——永安在线(原威胁猎人),并依然在他喜爱的网络安全领域下继续发力。
在国内,黑灰色产业链发展非常成熟,无孔不入。比如,网络营销活动中使用虚假账号薅羊毛、直播 / 短视频软件上刷点击量和刷粉丝、电商平台刷单、出行平台刷单、游戏刷道具和刷金币……这些问题需要通过构建网络安全体系去限制和解决。
中国的互联网行业的发展伴随着互联网黑灰产行业的发展,在某种程度上来说,两者是同时并存的。
其一,中国的互联网行业发展是最迅速的,不管是从移动支付还是其他层面来看,中国互联网行业都处于领先地位。如果互联网发展基础薄弱,互联网黑灰产也会没有太多发展基础;其二,如今很多传统企业都在大力发展互联网业务,或是通过互联网进行营销活动拓展客户,但相对缺乏网络安全的全面认知,网络安全建设工作也并不健全,导致被黑灰产利用;其三,中国在网络安全技术上的发展是比较快的,年轻人也有很多机会接触和学习到各种黑客知识、技术和工具,在巨大的利益诱惑面前,有不少人误入歧途从事黑灰产行业。
邓欣希望能解决这些问题。而解决这类问题的源点在于,你得知道“根源”在哪里。
用他自己的话说,即“安全的工作是攻防一体的事,如果你只做防御,而不知道攻击者怎么攻击你,就像当年法国军队构筑的马奇诺防线,虽然做了层层防御,攻击者却可以绕道而行”。这也是邓欣团队为何热衷于参与 Pwn2Own、GeekPwn 等黑客大赛的重要原因之一。
目前永安在线的技术团队成员加起来三四十人有余,其中一部分人员主要负责产品的研发,另一部分主要负责研究黑灰产。通过深入挖掘黑灰产业链,探索更好满足客户需求,解决客户问题的产品。黑灰产是一个完整和成熟的产业链,有自己的上游、中游和下游,这个链条上存在着一些比较核心的节点,为黑灰产从业人员提供关键的资源支持和技术支持。永安在线现在的主要工作就是抓住这些核心节点,对节点进行感知和布控,从而准确发现通过这些节点进行的恶意攻击行为和数据,比如:发现恶意注册手机号,恶意攻击使用的 IP 地址等。
无论是从人员规模上,还是业务体量上,永安在线都仍属于上升与扩增阶段。在这个过程中,既需要技术团队管理者能抬头看路,把控业务战略的前进方向,也需要适时地“低头走路”,了解产品和技术的细节。这两方面的兼顾与平衡并不是一件易事。相信有不少创业者都会面对这样的难题。
对此,邓欣的经验和建议是:逐渐把低头做事的比例降低,将具体的业务细节交给有能力或有潜力的员工完成,管理层则聚焦于抬头看路,制定公司的未来发展方向。安全行业技术迭代非常快,技术管理者应时刻关注技术发展的动态,同时结合行业现状和公司实际情况,参与制定公司的发展战略。
当前,永安在线的技术团队管理比较灵活,也会参考和借鉴一些腾讯的成熟管理经验,比如会将产品研发人员和安全研究人员划分开,产品研发人员需要具备良好的编码能力和工程化能力,能够打造完备、成熟和稳定的产品。目前邓欣将研发团队交给了值得信任的研发主管来管理。同时,永安在线设有专门负责安全研究的“鬼谷实验室”,邓欣带领实验室的发展。这些研究人员会负责黑灰产的挖掘、威胁情报的收集、反欺诈模型的建设等工作,很多时候邓欣只需要设定目标和执行路径,具体的执行完全交给他们来完成。邓欣相信在他的带领下,这些年轻人会像以前的自己一样,很快的成长起来。
邓欣认为,带领技术团队打胜仗的过程中,有三点非常重要。
第一点,创业公司的技术团队就要有创业精神,和部分大公司技术团队按部就班的感觉不同,很多事就得不断尝试不断向前冲,冲过去才有回报,管理者还要冲在最前面;第二点,互联网的发展是非常迅速的,黑灰产也在不断的发展和迭代,技术团队需要保持空杯心态,不断学习新的知识和技术;第三点,公司的核心在于人才,团队应该不断地吸纳优秀的人才加入。对于人才而言,一方面悉心教导和培养有潜力的年轻人,让他们成长起来并最终能承担重任,另一方面给予他们足够多的成长和施展才能的空间和机会,必要时可以放权。总的来说,就是要不断提升团队的战斗力!
邓欣坦言,人才是对于创业公司而言是最核心的。相对于整个行业而言,网络安全的人才还是很匮乏的。永安在线对于网络安全方面的人才重视程度非常高,在腾讯的工作经历,使得邓欣对网络安全人才有了自己的衡量标准,出来后也依照这个标准去招聘员工或开展工作。
邓欣认为,选人的标准首先需要对网络安全抱有极大的热情,其次需要有良好的学习能力。学习能力体现在员工自身的工作实践中,在完成了公司安排的工作之后,还主动去了解和学习其它东西,并尝试用于实践。另外,邓欣还非常看重员工的一个素质,就是执行力,即能够将计划的任务快速高效的落实,并及时汇报进度,而不需要别人从旁推动。
邓欣:主要是因为安全自身无法带来收益。在企业发展初期往往更注重于业务规模的增长,这个合情合理。当安全成为限制企业发展的瓶颈时,才会引起重视。以社交软件为例,在业务快速发展时,一般会容忍黑灰产注册的小号或机器人账号,但是当这些账号发布太多垃圾和不良信息充斥平台时,严重影响到平台合规性和用户体验时,就会引起重视,采取措施进行治理。因此网络安全的建设存在一定的滞后性。
邓欣:投入多少还是要取决于业务发展的情况,但是业务发展早期管理者应该有基本的网络安全意识,并且知道什么时候该投入。网络安全的最理想状况是甲方乙方的联防联控,共同推进网络安全体系的构建,但是这在实际的推进过程中会有较大难度。另外,在系统框架搭建的早期,技术人员就应该考虑到安全因素,同时在设计业务逻辑的时候设置一道底线,避免系统发生失控的状态。
邓欣:从攻防的角度来看,尽量做到 “知己知彼”。从投入的角度来看,在企业发展早期,业务规模并不大,安全上的投入自然也要谨慎;当业务规模起来以后,安全问题就显得日渐重要起来,这时候技术管理人员应该对网络安全问题引起足够的重视,才能保证业务的健康有序发展。
邓欣:对于一些优秀人才而言,他们会优先选择大厂,因为在大厂里工作更有保障,而且腾讯这样的大公司业务结构复杂,新人能够接触到小厂接触不到的东西。不过,大公司发展成熟分工明确,每个人基本只会负责一小块业务。长期来看也许会接触到其他业务,但短期内一般都会将新人固定在一个岗位上,得到的锻炼机会并不多。另外大公司的网络安全体系建设已经比较成熟和完备了,很多东西前人都已经打造好了,新人很难有机会经历一个东西从 0 到 1 的建设历程。
[1]Pwn2Own,世界著名的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe 等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。