围棋中常有“知白守黑”的说法,其意是指知己知彼,虚实相顾,方能立于不败之地;书法和美术中也有“知白守黑”的境界,其意是指不仅有笔墨的地方是字/画,空白的地方也是字/画。
网络安全何尝不是如此?
“知己知彼,百战不殆。”正因知其白,方能守其黑。他们用锋利的矛刺向坚固的盾,最终目的并非仅仅是击穿盾牌,而是找到盾牌的薄弱点,让盾牌更加坚固;攻防转换之间,提升的却是整个网络安全产业的水准和实力。
而360高级攻防实验室正是这样一个以提升行业攻防能力和实战水平为目标的团队。在这里,有着这样一群年轻人:他们虽身处黑暗,却心怀光明,并有着过硬的专业特长和昂扬的精神风貌。
正逢一年攻防演练之时,FreeBuf有幸采访360政企安全集团高级攻防实验室技术负责人郑同舟,聊一聊他的逐梦之旅和他眼中的攻防世界,看一看他又如何和360高级攻防实验室一起,手握锋利的长矛,为网络安全“知白守黑”。
360高级攻防实验室技术负责人 郑同舟
而他的故事,还要从一个看似“可笑”的梦说起。
十几年前,郑同舟还是一个略显稚嫩的毛头小伙子,正在和网吧里的电脑系统较着劲。那时他正打算凭借着自己摸索的黑客技术免费上网,说到这里,他露出一个灿然的笑容,“一个有点可笑的梦想,对吧。”
我轻轻摇了摇头,从今天来看,这也许是一个轻微且带点“可笑”的梦想,但却是当时所有学生眼中一颗可望而不可即的“杨梅”,一旦成功大概可以吹一辈子吧。
如同所有的学生一样,郑同舟最终也没有尝到那颗“杨梅”的滋味,但却激励着他走向了攻防对抗之路。十几年的时间里,他曾疯狂地追逐着这个梦想,一身转战三千里;也曾一度转向其他赛道,同样交出了出色的答卷;但最终他还是回到了那个梦想指引的方向。
对于郑同舟来说,他是幸运的。毕竟年少时期的梦想,绝大多数都已经被遗忘在了风中,只有极少一部分人不忘初心,依旧还是那个逐梦的少年。其实,什么时候有过一个什么样的梦其实并不是很重要,重要的是,我们曾经为这个梦如此热烈的爱过,执着的追求过,勇敢的拼搏过。
从这点来看,郑同舟的幸运度也许还要增加一个层级。他那个曾经有点“可笑”的梦想,在十几年的日夜浇灌之下,已经成长为一颗参天大树,而他本人也在攻防之路上越走越远。
纸上得来终觉浅,绝知此事要躬行
自从想要拿下网吧免费上网的特权开始,郑同舟就对黑客攻防技术有了超乎常人的热情,并促使他在高考结束之后填报了信息安全专业。而大学开放、宽松的学习环境也让他的热情有了释放的地方,给予他足够的时间和资源去琢磨各种黑客技术。
回忆起那时的情景,郑同舟表示,那段时间是国内黑客技术大爆发的时代,黑客论坛社区十分活跃,各种攻击的技术和思路全都开放,诞生了许多厉害的大神。
而那时候的他也开始混迹于各个黑客论坛,学习他人的技术和思路,同时还购买了当时各种有名的黑客杂志,包括黑客X档案、黑客手册、黑客防线等。如今,这些论坛和杂志都已消失不见,但它们却完成了郑同舟在攻防领域的启蒙。
通过这些黑客书籍和论坛,郑同舟开始接触到web攻防的知识,成了一个脚本小子,成天拿着流光、溯雪等超早的扫描器,一度扫下了很多目标,每每成功之时,便心满意足。但和所有新鲜所带来的快感都是短暂的一样,随着时间的推移和难度的下降,使用他人工具所带来的多巴胺越来越少,直至虚无。
于是,郑同舟开始琢磨起来,为何我不能自己写个工具或者挖个漏洞。此时,就连他自己都没有发现,他的梦想有了质的变化,从简单使用技术/工具达成目标,进化成了深度研究技术,创造工具,这也让他真正推开了网络安全的大门。
说干就干,郑同舟本就是一个行动力极强的人,有了想法马上就要付诸实践,而年轻也让他有了足够多的试错成本。于是,他开始学习着各种看似有用无用的知识:既有攻防基础之计算机原理,也有漏洞挖掘实践;既要学习编程,也要学习免杀、二进制、驱动、web等。用他的话来说,“什么都看,什么都学,跟大杂烩一样。”
彼时,恰逢CTF大赛开始在高校盛行,这让郑同舟学习的“大杂烩”有了实践的地方。从大二开始,他拉着他的室友,开始了天南地北打CTF比赛的征程。从北至南,从东往西,从线上赛打到线下赛,哪里有CTF比赛,哪里就有他的身影,正可谓“一身转战三千里”,他和他室友也因此成为了学校当时有名的CTF“赛棍”。
于他而言,那段时间是快乐的,让他对攻防技术的研究有了落地的价值,也因此认识了很多打CTF的人。而就在他最快乐的时候,在一场大型的全国CTF大赛上,一支国际战队把他们统统虐了个遍。正是这一盆冷水,让他那颗已经有点躁动的心,重新恢复了冷静,也让他在技术研究上有了更强的动力。
大道三千,择其一而从之
毕业后,凭借着优秀的成绩和丰富的CTF大赛经验,郑同舟顺利加入绿盟贵阳办事处实习,成为一名安全服务工程师并专注于网络攻防领域。在实习期间,他什么事情都在做,几乎每天都要进行渗透测试,安全培训,基线加固等工作。
那时候还没有人谈论996,但是通宵在机房熬夜却已经成为了他的日常。也许正是从那个时候开始,熬夜开始嵌入他的职业基因,直至现在依旧如此。毕竟能不能熬夜,是一个攻防人最基本素质之一。
那一年,也是郑同舟成长非常快的一年。凭借着实习期的优秀表现,他顺利调到绿盟总部,进一步研究攻防技术。这一干就是三年,期间他结识了更多的网路安全同志,加入了声名远播的“九区”,并因此真正解了什么才是网络安全。也正因为了解,才让他更加坚定了自己专注于网络攻防领域的初衷。
也就在此时,郑同舟在机缘巧合下加入了 “九区”,一个被他称之为“奇奇怪怪”、“非主流”的安全技术交流社区。
“这个社区创始人是安全圈里为数不多文采好且技术夯的牛人。一次论坛闲逛间,我看到这个社区的管理员发贴说他在‘收学费找徒弟’,我就跟他说我想学,并一咬牙一狠心给他转了三五百块钱,他真的开始教我,并且事无巨细。因此,跟着他我学到了很多新东西”
尽管这个社区后续因为一些原因散了,但是“九区”也让他结识了一大帮很有趣的人,也让他更加喜欢攻防。
随后,郑同舟又加入了当时颇具名气的漏洞平台,专注于漏洞挖掘和安全研究。在那个纯粹的攻防环境,他和同事如鱼得水,众人待在小房间里热火朝天地讨论着技术,研究着攻防。
而在微步在线,郑同舟则开始专注于内部情报,包括公网的情报测绘、任务调度等,同时还在跟踪僵尸网络,那时最火的还是Mirai。为了研究Mirai,郑同舟写出了Mirai协议的分析器,并模仿了Mirai的协议,将自己变成了Mirai的节点,加入到Mirai的CT网络里。此后,他每天都在搜索Mirai的攻击指令,并将这些攻击指令融入微步在线的威胁情报中。
“在微步在线,不仅个人开发能力得到大幅提升,还学习了很多APT攻击方面的知识,让我更加喜欢攻防。”
但就在此时,郑同舟感到自己在攻防领域有了一定的瓶颈,于是萌发去甲方的念头,想要从甲方的视角重新审视攻防和安全。于是,郑同舟离开微步在线,加入了腾讯,开始静下心来做内部安全建设,并提出了许多创新性的意见和产品。
例如在2017年,郑同舟发现python供应链投毒的恐怖之处,包括微软、苹果、谷歌在内的很多大型IT企业都因此中招,供应链安全成为企业必须要面对的难题。于是,郑同舟开发了一个开源供应链投毒检测平台,并和腾讯内部做CI/CD的团队共同合作,将供应链组件检测的能力嵌入开发流程之中,有效降低了供应链安全方面的风险。
在腾讯的三年,郑同舟无疑是一名合格的甲方,但是在他的内心深处,攻防之火依旧生生不息。用他自己的话来说,“我还是喜欢攻防,相比于成为一个建设者,我更喜欢当一个破坏者,从破坏中寻找新安全。”
这大概就是所谓的“大道三千,择其一而从之;流水三千,取—瓢而饮之。”历经百转千折,他最终还是想要遵循梦想指引的方向,回归网络攻防领域,回到那个让他热血沸腾,纵横捭阖的战场。
彼时,360高级攻防实验室正在广招精英,与想要回到攻防的郑同舟可谓一拍即合。而那时的他,历经多份网络安全工作,早已褪去了曾经的青涩。从乙方厂商到第三方漏洞平台再到甲方企业,从初创公司到顶尖大厂,不同的环境、方向和工作内容给他带来了十分宝贵的财富——纵观网络安全全局,立足攻防一处,以手中的矛铸造心中的盾。
此时,他的梦想也再次发生了变化,从研究攻防技术进化至将攻防和安全紧密结合起来,以攻防促安全。从另外一个角度来看,攻防何尝不是另外一种安全?当落后的安全体系在攻防演练中土崩瓦解,于废墟之中诞生的新安全体系将会更加完善且强大。
这也正是郑同舟和360高级攻防实验室的坚持,知白守黑。攻防仅仅是手段,进一步强化安全,提升整个行业的能力,才是他们的最终目的。
黑云压城城欲摧,甲光向日金鳞开
回忆起加入360高级攻防实验室的场景,郑同舟开玩笑说“是被忽悠进来的”。
那时候的他正准备继续做攻防,一位好友跟他说360高级攻防实验非常适合,这里全是一群搞攻防技术的人,大家聚在一起每天就是搞研究,挖漏洞,最是适合像他这类喜欢攻防的大神。
就在郑同舟满怀欣喜加入360高级攻防实验室后,却发现根本没有想象中的潇洒。作为360高级攻防实验室的技术负责人,他既要管理团队,又要管理技术,还要考虑团队的成长和发展。
“还好他有一点没有骗我,这里真的非常适合研究攻防,国内很多攻防领域的专家聚集在一起,很多人的技术比我厉害多了。大家每天的工作就是聚在一起讨论,研究,共同将攻防赋能安全,是一件非常舒服的事情。”
与之相对应的是,近年来全球网络安全形势日益严峻:核弹级漏洞时常出现,勒索攻击持续威胁企业,APT攻击不断考验着安全能力,已有黑云压城城欲摧的紧迫感。2021年,在政府工作报告中再次强调网络安全,网络空间已经成为我国第五大主权领域空间,网络安全的重要性不言而喻。
体系建设决定了安全的下限,而攻防演练则拉高了安全的上限。随着国内攻防演练活动逐渐常态化,360政企安全集团在2021年成立了360高级攻防实验室,其目的就是想要打造一直攻防尖兵,助力企业进行攻防演练。
短短一年的时间,360高级攻防实验室就已经有五十余名成员,全部来自360集团内部各大知名团队。他们有的来自赫赫有名的诺亚安全实验室,或是业界熟悉的灵腾实验室,再加上其他团队的顶尖专家,共同组成了360高级攻防实验室。
从这里我们也可以看出360集团对于高级攻防实验室所寄予的厚望,将如此多的攻防人才握紧成一个拳头,想要将漫天的乌云打开一道金光。
事实上,360高级攻防实验也没有辜负他们的厚望。作为业界知名的攻防尖兵,360高级攻防实验团队核心研究方向包括攻防对抗、漏洞研究、武器能力、情报分析、攻击溯源。
他们是最了解现代攻防领域的专业安全团队之一,团队曾在Defcon、HITB、Cansecwest、Offensive、Team Cymru闭门会议等知名安全会议发表研究成果,获得 Google、Apple等国际厂商公开致谢。在多次国家级攻防演练中名列前茅,追踪并反制多个海外APT组织并形成专项研究成果。
采访中,郑同舟透露360高级攻防实验室在攻防演练中还有一套属于自己的战法。上文已经说到,360高级攻防实验室团队皆是来自其他团队的精兵强将,因此他们大多都有自己所擅长的领域。
郑同舟也讲述了一些360高级攻防实验室处理过的真实案例,其中最令人印象深刻的是2020年360高级攻防实验室协助警方溯源了一起跨国金融案件,该事件被公安确定为建国以来最⼤⽹络盗窃案件:
在上海交易所某客户的日常投资里,一直有个信赖的交易所承担着投资管理的角色,他们常用邮件的形式来往一些投资案例。一天,这个客户收到了交易所发给他的新投资项目,评估后就邮件回复可以投资。对方出示了具体打款信息后,这个客户就把款打了过去,后续又陆陆续续打了几次款。
大概过了大半年,这个客户想找交易所询问项目投资业绩的情况。交易所感到奇怪,他们从来没发过这种邮件,因此请360协助做调查。
在调查过程中,360高级攻防实验室的安全专家抽丝剥茧,根据邮件来往的信息、邮件发送IP、源数据、还有服务器上排查的日志,他们发现交易所员工的邮箱帐户被盗,攻击者根据员工的来往邮件规律模仿业绩邮件写投资案例,去引诱和诱骗客户,往他指定的款项和项目上打款做投资。最后最终到资金已经流到境外,360高级攻防实验室把整个攻击的诈骗流程还有相关的人,相关的资金全部给定出来。
“当时我们把整个攻击诈骗流程还有相关的人、相关的资金全部给定了出来。这是偏防的案例。”
最后,360高级攻防实验室也向客户提供了完整的预防、整改、响应维度安全解决方案。
而攻防对抗,往往既考验单个成员的作战水平,也需要团队协同作战。360高级攻防实验室也是如此。
在实战攻防演练中,360高级攻防实验室会将目标分解成各个小任务,并下发至对应擅长的团队成员。例如有人负责进攻内网,有人负责邮件钓鱼;有人负责正面对抗,有人负责提供武器弹药......
同时他们又强调协同配合,成员之间相互支持,密切合作。就如同一支合格的特种兵小队,既有突击手、狙击手,也有专门断后观察敌情的人。因此,当他们组合在一起时,团队所爆发的能量将远大于个人能量之和。
这大概也是360高级攻防实验室能够在攻防演练活动中屡获甲方好评的原因所在。令人遗憾的是,虽然360高级攻防实验室历经多次攻防演练,但因为攻防演练的敏感性,我们未能了解到那些精彩案例的细节, 但并不令人意外的是,无论是国家级还是省市级攻防演练,360高级攻防实验的表现从来都是很亮眼。
如今又是一年攻防演练之时,而360高级攻防实验室早已厉兵秣马,储备好了各种武器和弹药,一如之前攻防演练活动一样,为企事业单位提供高质量的攻防演练服务。
与子同袍,修我戈矛
在采访中,笔者发现360高级攻防实验室的团队精神不仅仅体现攻防演练之中,而是渗入至团队的日常和管理之中。良好的团队成长体系和管理方法,也让团队整体实力有了更上一层楼的基础。
郑同舟坦言来到360高级攻防实验室之后技术上有了新的提升,而这还要归功于团队内部的技术分享机制。在这里,研究完成之后并不意味着结束,团队成员还要进行复盘、总结,将自己的研究过程和成果分享给其他感兴趣的成员,必要的时候还会在下班后组织分享会,让大家一起分享、讨论。
郑同舟称自己就经常找其他同事一起讨论技术,一起交流心得,一起“剽窃”他们的研究成果。一旦有了新的想法就会直接找对方聊一聊,很多有意思的观点和心得,就是在这样的闲聊之中碰撞而出。
在这样的分享氛围下,360高级攻防实验室的整体实力正在快速提升。是啊,在这样纯粹的环境下,在众人不藏私、共分享的机制下,团队又怎么会不提升呢?恰如《秦风·无衣》所描述的那样,“岂曰无衣?与子同袍。王于兴师,修我戈矛。”
同时,郑同舟在这个团队中还有另外一个角色,那就是团队的管理者,如同一艘大船的舵手,引导者团队前进的方向。为了适应这个角色,他坦言自己“痛苦”了大半年的时间,其中最为艰难的就是技术思维向管理思维转变。
举个例子,当上级安排一个任务后,管理者不应盲目执行,而是要思考这个任务是不是有问题,是否真的要百分百执行,研判过后还需要考虑老板下发这个任务的深层次目的是什么,并基于这个目的对任务进行拆分、组合,并将可行性方案再次反馈给上级,最终下发至成员执行。
这个过程看似简单,但实际上要求管理者必须对大局有清晰的认知,对团队成员有足够的同理之心,了解团队成员的优点和不足,这样才能有的放矢,将合适的人安排在合适的位置上。而在这个过程倘若没有与子同袍,又如何一起修我戈矛,厉兵秣马,征战网安空间?
朔气传金柝,寒光照铁衣
提及黑客,人们脑海中就会浮现出黑客帝国电影中的场景,只需轻轻敲击键盘,就将对方的防护体系攻破。那么,真实的网络攻防是否如电影那般炫酷?
采访中,郑同舟用四个词语向我们描述了真实的攻防场景,它们分别是“苦恼、烦躁、焦虑、不安”。
很多时候,他们都是顶着一团乱糟糟的头发,两个熬夜留下的黑眼圈,对着电脑呆一整个下午,完全没有任何花里胡哨的动作。他们脸上基本都没有什么表情,也不怎么说话,甚至都不怎么需要喝水和上厕所。但是,他们的大脑正在飞速运转,想的全部都是怎么搞掉对方,完全沉浸在虚拟的网络空间中。
此前,郑同舟参加了一个名为“天才程序员”的节目,主办方将几个程序员关在一个房间里三天三夜,想要通过真人秀的形式展示程序员的风采,但实际效果却大相径庭,完全没有任何的节目效果,只余下了技术的枯燥。
就如同我们只是看到了将士们铠甲鲜明,骑着高头大马,威风凛凛,却忽略了他们在边关“朔气传金柝,寒光照铁衣”般的艰苦生活。网络攻防何尝不是如此。在小白眼中,他们自带神秘的色彩,实际上却大多996,甚至007,其中的压力与艰辛他人难以得知。
当然,网络攻防也有属于他们的罗曼蒂克。郑同舟举了一个例子。
在某次攻防演练中,他们进入了目标的邮件系统,并通过往来邮件发现了很多有用的信息。于是,他们利用这个邮件账号给其下属发送了一封伪造的钓鱼邮件,内容是下属某个季度的绩效考核结果。
同时,他们还假装邮件发错了人,将要发给HR的邮件错误发给了目标用户。结果,受害者看到这样的邮件就特别兴奋,丝毫没有考虑到这可能是一封钓鱼邮件,直接点击下载附件。这时却只弹出了一个“文件损坏”的提示框。这时,有意思的事情来了,对方不仅没放弃,还一直在尝试下载该文件,甚至是换着电脑登录下载,这也就意味着他们可以一直获取对方的内网权限,也因此取得了这次攻防的胜利。
谁能想到,一封精心制作的钓鱼邮件就可以让对方建设完善的安全体系形同虚设。这种找到对方弱点,一击必杀的畅快淋漓,想必也只有亲身参与攻防的人才能体会到。
这大概就是攻防的魅力和价值所在。没有攻防演练,那么这个漏洞将会一直存在,并将在某次实战中让企业付出血的代价。这也是攻防可以拉高企业安全体系上限的原因,越是厉害的攻防演练,越是可以发现企业内部存在的潜在问题,并将它们消灭在萌芽状态。
此时,发现的问题越多,对于企业来说越是一件好事情,正所谓“训练多流汗,战时少流泪”。网络安全来不得半点虚假和侥幸,正如郑同舟所说,唯有真刀真枪,拳拳到肉才能真正夯实企业安全体系。
结语
十年攻防让郑同舟明白一个道理:“世界上没有攻不破的系统,而是看攻击方愿意投入多少成本。”因此,网络安全的本质是对抗,对抗的本质是成本,成本实际上就是人与人之间的较量。
攻防演练的目的就是为了拉高攻击者的成本,这就好比一个武艺高强的陪练一直和你切磋拳脚,时间久了自然武艺也就更高了。
目前来看,攻防演练是最起码可以实现三方共赢:一是更好地锻炼企业和组织的安全运营能力,发现他们潜在的弱点,提高安全水平和对安全的重视程度;二是强化企业和组织的安全意识,真正将安全放在企业和组织的重要地位;三是大规模的攻防演练也将全面强化我国整体的安全水平,在面对未来可能出现的网络攻击时有更强的防护能力。
当下国际网络安全形势风云变幻,俄乌战争的出现也让我切实感受到网络攻击就在身边。这也让郑同舟和360高级攻防实验室感受到更大的压力,并将这份压力转化为更强大的动力。
在这样的情况下,网络安全更需要攻防演练,利用那根锋利的长矛,找到盾牌上的薄弱点。知白守黑,郑同舟和360高级攻防实验室已经做好了准备,也握紧了手中的长矛,只待大风起。
请登录/注册后在FreeBuf发布内容哦