齊岳峰

一個國家的網(wǎng)絡(luò)安防水平，與其黑客的技術(shù)水平密切相關(guān)

隨著威脅情報被日益頻繁地提及，如今，應(yīng)對黑客攻擊的思路正在發(fā)生變化：建立事前預(yù)警機制比僅僅彌補缺漏更關(guān)鍵。

這一趨勢，使得網(wǎng)絡(luò)安全的悖論更加凸顯：一個國家的網(wǎng)絡(luò)安防水平，與其黑客的技術(shù)水平密切相關(guān)。美國、俄羅斯等在網(wǎng)絡(luò)安全技術(shù)領(lǐng)域領(lǐng)先的國家，亦是世界知名黑客的聚集地。

正如360安全系統(tǒng)的員工幾乎每個人都會對記者說的那句：“未知攻，焉知防？”

事前預(yù)警更關(guān)鍵

林偉，這個不是很善言辭的技術(shù)男，大學(xué)只讀了兩年，如今卻統(tǒng)領(lǐng)著國內(nèi)最大的網(wǎng)絡(luò)安全公司奇虎360的網(wǎng)絡(luò)安防團隊。

360自身也需要一個可靠的安全系統(tǒng)支撐。林偉帶著他的團隊每天要對公司的8萬～10萬臺服務(wù)器“過一遍”，及時應(yīng)對可能出現(xiàn)的威脅。

這個工作不僅包括尋找系統(tǒng)的既有安全漏洞，還要對黑客們的動態(tài)信息進行實時追蹤，力求做到對安全威脅的即時反饋。

業(yè)內(nèi)曾經(jīng)認為，只要彌補缺漏，即可規(guī)避被黑客攻擊，但這樣的設(shè)想往往是一廂情愿。

中國信息安全評測中心首席信息安全咨詢師蔣魯寧告訴《瞭望東方周刊》，而今談?wù)撔畔踩I(lǐng)域的問題，都繞不開威脅情報。

人們可以從安全服務(wù)廠商、防病毒廠商、政府機構(gòu)和安全組織那里看到的安全預(yù)警通告、漏洞通告、威脅通告等，這些都屬于典型的安全威脅情報。

在以往的網(wǎng)絡(luò)攻防中，安防員希望縮短發(fā)現(xiàn)高級威脅的時間，并摸清攻擊的來龍去脈與背后的信息，增加攻擊者的成本。在威脅情報被足夠重視之前，攻擊方利用漏洞攻擊，被攻擊方只能發(fā)現(xiàn)一個漏洞，補一個漏洞，或是發(fā)現(xiàn)一個惡意軟件，處理一個，面對高級持續(xù)威脅時非常被動。

但是，有了大數(shù)據(jù)驅(qū)動的威脅情報，只要攻擊被發(fā)現(xiàn)一次，馬上就會被全網(wǎng)數(shù)據(jù)進行關(guān)聯(lián)推演。攻擊者的所有手法、工具、跳板都會曝光，被攻擊者的防御周期從原來的幾周幾個月縮短到天、小時甚至實時。

威脅情報中心就是要時刻發(fā)現(xiàn)攻擊來源，并幫助用戶立即響應(yīng)處理，避免損失。同時，威脅情報中心還可以通過對流量與安全輿情的監(jiān)控，對大規(guī)模網(wǎng)絡(luò)攻擊進行監(jiān)控與預(yù)測。

人是核心

人是威脅情報系統(tǒng)的核心。

在網(wǎng)絡(luò)安全的攻防之戰(zhàn)中，作為防御的一方，安全員們不但要有極強的搜素引擎排除能力，還要掌握黑客名單，而這些能力，都需要在行業(yè)里的長期浸潤。因此，不少情報分析人員都是黑客出身。

國外把黑客分為“黑帽子”和“白帽子”，對網(wǎng)絡(luò)安全漏洞的研究是雙方的共同興趣，不同的是，“白帽子”并不想借此進入黑產(chǎn)賺錢。因此，他們成為情報分析員，也是水到渠成。

林偉的職業(yè)生涯就是起自黑客。最早，像幾乎業(yè)內(nèi)所有人一樣，他做了個網(wǎng)站，然后“受攻擊、反擊，持續(xù)往復(fù)”，直至自己功夫練成。這是頂級黑客的必修課，如今也成為網(wǎng)絡(luò)安防人員的必修課。

事實上，一方面是因為黑客們對威脅情報分析有著先天優(yōu)勢，另一方面，隨著各國在網(wǎng)絡(luò)安全方面的法律建設(shè)日益完善，以及各大公司的重金招攬，黑客們轉(zhuǎn)身成為網(wǎng)絡(luò)安防員，這在近幾年已經(jīng)成為常見的現(xiàn)象。

具備良好威脅情報分析能力的人卻并不好找。360副總裁譚曉生告訴《瞭望東方周刊》，篩選這些人員是一項極難的工作——安全人員的思維方式與程序員不同，他們的思維要有跳躍和突破，當然，還有悟性。

他們也需要經(jīng)常參加業(yè)內(nèi)大賽，積累經(jīng)驗，也積累名次與名氣。不過，價值觀仍然是最重要的標準：“對底線怎么看？對獲得錢的手段怎么考慮？”

360目前有中國最大的該系統(tǒng)的數(shù)據(jù)庫，網(wǎng)絡(luò)安全從業(yè)者們的數(shù)據(jù)資料被收納其中，林偉們則負責監(jiān)控黑客們的公開討論，并從這些公開信息中發(fā)現(xiàn)黑客們的行動脈絡(luò)，以便實現(xiàn)提前預(yù)警功能，也就是掌握威脅情報。

美國的領(lǐng)先將被強化

目前，美國已經(jīng)成立了專門做政府和企業(yè)威脅信息共享的機構(gòu)——網(wǎng)絡(luò)安全和通信整合中心，進而又成立了網(wǎng)絡(luò)威脅與情報整合中心，歸屬國家情報總監(jiān)辦公室，專門為美國政府和企業(yè)收集信息和分析信息。

新的網(wǎng)絡(luò)威脅情報集成中心旨在協(xié)調(diào)政府各機構(gòu)之間的情報，以更好的對網(wǎng)絡(luò)攻擊作出回應(yīng)。他們會系統(tǒng)地分析黑客團體，收集黑客們的數(shù)字“簽名”，并與執(zhí)法部門和情報機構(gòu)共享威脅信息。

而在以威脅情報引領(lǐng)網(wǎng)絡(luò)安全的時代，美國因其黑客技術(shù)優(yōu)勢，將擁有更高的網(wǎng)絡(luò)安全水平。

黑客的鼻祖是美國人。在美國，黑客技術(shù)最初并不帶有被批判的色彩。

2011年，五角大樓將針對美國的一切“網(wǎng)絡(luò)入侵行為”進行分級，將最高等級的網(wǎng)絡(luò)入侵定義為“戰(zhàn)爭行為”。在此之前，美國很少對黑客“下重手”。曾多次入侵美國人造衛(wèi)星控制系統(tǒng)的20歲黑客杰森.德克曼，在2002年2月僅被判入獄21個月外加罰金8.8萬美元。

本世紀初期，美國已經(jīng)有專門培養(yǎng)黑客的學(xué)校。不過，在幾乎所有的公開報道中，這些學(xué)校主要負責教會學(xué)生與黑客斗法，防范黑客攻擊。學(xué)生們畢業(yè)后，通過極其嚴格的考試，會獲得一份資格證書，進而進軍安全行業(yè)。

美國的強力機構(gòu)也十分注重對信息安全領(lǐng)域人才的吸納。此外，一些政府和私人安保機構(gòu)甚至開始面向高中學(xué)生開放實習(xí)機會，著眼于向他們灌輸興趣并展示網(wǎng)絡(luò)安全的就業(yè)前景與機會。

此外，一些面向大學(xué)學(xué)歷以下學(xué)生的網(wǎng)絡(luò)安全培訓(xùn)活動，也在美國民間發(fā)展迅速。在信息安全領(lǐng)域的行業(yè)集會上，培訓(xùn)機構(gòu)也向有意向的與會者提供信息安全培訓(xùn)。

美國國家安全局更公開稱“當涉及國家安全，沒有什么可以替代一個專業(yè)的、才華橫溢的網(wǎng)絡(luò)團隊，我們需要最好、最聰明的人，來幫助我們戰(zhàn)勝對手?！?/p>

因為美國黑客群體的基數(shù)大，技術(shù)先進，因此，某種程度上，美國網(wǎng)絡(luò)威脅和情報整合中心進一步強化了美國在信息情報威脅領(lǐng)域的地位。

聯(lián)合防御

不過，業(yè)內(nèi)對于威脅情報的應(yīng)用，始終存在一些爭議。

目前，企業(yè)和政府的配合走向常態(tài)化，行業(yè)內(nèi)上下游的聯(lián)合走向常態(tài)化，這些都成為推動網(wǎng)絡(luò)安全升級的共識。

但在現(xiàn)實中，不乏有用戶要求其公司保留這些威脅情報作為公司的私有“財產(chǎn)”，以致于這些情報不能被供應(yīng)商用于更廣泛的商業(yè)用途。

正是因此，威脅情報的信息共享機制在目前的條件下很難建立。

且不說個人用戶，即便是企業(yè)防護，在理論上都可能被攻破。一般來說，黑客獲得攻擊權(quán)限后，“分分鐘”就可以取得企業(yè)的高價值數(shù)據(jù)，最快不超過一天，但受害企業(yè)站發(fā)現(xiàn)被攻擊后，需要逐級匯報，響應(yīng)非常緩慢，幾天甚至幾周時間才能發(fā)現(xiàn)數(shù)據(jù)泄漏。“盾和矛處于嚴重不平衡狀態(tài)?！卑踩{情報推進聯(lián)盟發(fā)起人金湘宇告訴《瞭望東方周刊》。

“再牛的技術(shù)一樣有漏洞，微軟很牛、思科很牛，但一樣有漏洞，無論是什么程序，一定會被入侵?！苯鹣嬗钫f。

因此，聯(lián)合防御將是構(gòu)建網(wǎng)絡(luò)生態(tài)的主要趨勢。

而在沒有國界的虛擬世界，這一點尤為重要。

據(jù)騰訊研究院安全研究中心發(fā)布的《中國網(wǎng)絡(luò)安全生態(tài)報告（2015）》顯示：跨境聯(lián)合犯罪、假設(shè)境外服務(wù)器、注冊海外網(wǎng)站和針對境內(nèi)目標是中國當前互聯(lián)網(wǎng)安全領(lǐng)域面臨的挑戰(zhàn)，而境內(nèi)90%以上的詐騙網(wǎng)站、釣魚網(wǎng)站、賭博網(wǎng)站的服務(wù)器位于境外，通過境外服務(wù)器vpn跳轉(zhuǎn)中國。