黑客張福：互聯網是黑暗的森林

來自專欄 淺黑科技

大家好~我是 @史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事，不妨加微信（微信號：shizhongst）告訴我，反正我也不一定撩得到。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

-------正文分割線-------

「互聯網是殘酷的，是黑暗的。」說這話的，是一位曾經的黑客，現在的安全公司「青藤」的創始人張福。顯然他對於互聯網的這番理解來自於自身的黑客生涯。「很多小蝦米企業在黑客面前就是透明的，黑客甚至懶得動手指頭，掛個腳本就把你黑了。如果你有對他們有價值的信息，那麼黑客可以盜取，如果沒有價值，他們也會用你的計算能力來進行DDoS攻擊」。

所謂DDoS攻擊，通俗來講就是一種網路殭屍攻擊，把被攻擊者同化為黑客的傀儡，對新的目標進行攻擊。這個過程中，被黑的企業很可能都不知道自己正在助紂為虐。

黑客的灰色產業鏈一直被認為是比地產行業還暴利的營生。他們盜取遊戲伺服器上有價值的虛擬貨幣，或者黑進有價值的企業盜取企業信息進行販賣。正如現實世界的犯罪一樣，總有人經不住巨大的誘惑，鋌而走險。很多互聯網創業企業，全部的財富和估值都集中在伺服器的資料上，所以更是讓黑客磨刀霍霍。

「整個黑客的產業鏈要比安全產業鏈龐大數倍。」這句話更像是張福對於安全行業的反諷。不過身處安全行業，他有理由比旁人見識更多的「血雨腥風」。「我非常痛心，很多創業企業一夜之間變得一無所有。而且和傳統犯罪不同，法律無法界定，犯罪過程很難追溯。」

張福的話有沒有言過其實呢？不是有一種東西叫做防火牆嗎？

形象地講，這些年中國的安全企業逐漸形成了正規軍和綠林好漢兩派。正規軍興盛於政府採購或者國企銀行，就是所謂的2G（to government）。隨著互聯網創業成為全民運動，創業公司的成立速度遠超想像，針對互聯網公司的安全，武林中湧現了各派大俠，他們各有獨門絕技。被阿里收購的安全公司瀚海源採取了通過分析網路數據通道，實時檢測漏洞和隱藏在文檔中的惡意代碼；被騰訊投資的安全公司知道創宇推出了代碼審計、漏洞評估和 Web 應用防火牆產品。張福所推崇的「自適應雲安全」也成為武林中的一派。

雲安全是一場城堡攻防戰

「一種技術如果做了二十年，還是不成功，那我們就要思考這究竟是技術問題還是道路問題。」張福列舉了一些轟動全球的黑客攻擊事件。

2014年索尼影業遭遇黑客攻擊，幾部未發行的影片和大量內部數據遭到泄露，給索尼造成了重大的損失。索尼被迫宣布滿足黑客的要求，取消電影《刺殺金正恩》的公映。

美國通過侵入伊朗一位科學家的U盤，使之攜帶 Stunex 震網病毒侵入位於 Natanz 的伊朗核設施，致使離心機異常過載，離心機在被摧毀之前，數據會顯示一切正常。分析認為，Stunex拖慢了伊朗核進程數年之久。

2014年3月，當時最大的比特幣交易平台Mt.Gox遭受黑客攻擊，丟失了用戶大約75萬枚比特幣，按照當時的匯率計算約合3.65億美元。

2011年4月美國EMC公司的安全部門RSA遭遇黑客攻擊，種子秘鑰被竊取，理論上黑客可利用種子破解上千萬個安全令牌，這些令牌服務於包括軍工企業在內的大批美國企業和政府網路。

不可否認，以上的幾個例子都發生在防火牆安全等級極高的公司和組織身上。但是，攻擊就是真實地發生了。

所謂道高一尺魔高一丈，在互聯網行業時常被驗證。張福力圖給記者描繪一幅黑客和防禦者的攻防史詩，他把這個數字戰場比作一座城池。「過去20年里黑客的攻擊還是比較傳統，所以傳統的辦法——在外層樹立城牆（防火牆）——就是一個可行的辦法。但是現在的公司內部生態複雜，對外交互越來越多。這就像你的城門有很多，需要進出貿易的人也很多，這就使得你被攻破的通路增多了。再加上你城牆內的財富很多，誘使外面的攻擊火力不斷升級，過去主要依靠IPS、防火牆的城牆式防禦就顯得越來越落後。」

自適應雲安全，是張福個人認為最為根本的安全方案。自適應雲安全的說法並不來自中國。從2014年開始，美國興起了一種新的安全理念，通過業務層面量身定做主動地防禦系統，被一些安全領域的公司廣泛認可。通俗地來說，就是為賣炊餅的武大、賣脆梨的鄆哥和搞婚姻介紹的王媽媽根據日常商業行為各自生成一套安全機制。

2014年6月，美國安全公司Gartner發布了一個年度報告，把這種新的理論總結為「自適應的訪問控制」。而張福所做的雲安全指導思想正和這個理念不謀而合，當他看到了對這種理論詳細闡述的報告時，非常興奮。此時，他已經研發了青藤雲安全體系，由於Gartner提出的理論更加細緻和完善，於是他用這套體系改進了自己的產品，形成了現在的青藤雲安全服務。

讓機器來判斷靠譜嗎？

自適應，表示安全系統會自查自糾，自我進步。這自然涉及到機器學習和大數據樣本。Gartner認為，一個完整的安全體系應該包括「防禦、檢測、響應和預測服務」這四個方面。現實中大多數企業只優先考慮攔截，就是下圖右上角的部分。但這一部分的防禦已經越來越容易地被黑客攻破，真正高級的安全是具有智能檢測和預測功能的智慧防禦，是系統的主動改進和自我進化。

自適應防禦系統的四個階段(預測->防禦->監控->回溯)

為了展現出青藤產品的優越性，張福給 @史中 舉了例子：自適應的雲安全更像是一套免疫系統，企業可以自助提交自己的業務模式，由青藤進行分析，生成一套針對企業業務規模和流程的防禦機制，企業也可以自行選擇不同安全級別的防禦模塊。青藤雲安全的工作機制大體可以描述為：機器通過對人的操作習慣進行深度學習，從而識別非本地管理員的操作。張福說：「這種安全是基於行為模式，而不是基於代碼特徵。」

基於行為特徵的安全防護，確實讓人有想像的空間。2014年，美國安全公司FireEye收購Mandian，看中的正是它可以基於情景進行評估、可視化處理，這樣一整套安全分析機制。而另一家以自適應為核心特徵的美國安全公司illumio在成立短短兩年內就獲得多輪融資超過1億美元。

國內一家雲計算服務公司Wilddog（野狗）的老大劉之對「自適應雲安全」很有興趣，「這個概念非常棒，一直以來大部分安全策略都採取規則式的，這就存在規則庫不夠彈性的問題。後來有人引入機器學習，這樣規則產生的確會更加容易。」不過劉之同時表示，這個技術在發展過程中也面臨很多挑戰，因為機器的自我進化技術有相當的難度，「問題在於誤判率，根據現有的技術，學習不僅必須要大的樣本量和數據，而且誤殺率會比較大。」

對於誤判的情況，張福表示理論上確實存在這樣的可能，他簡單闡述了降低誤判的方法：一旦潛在問題被檢測到，就需要經過多角度的確認。張福還表示：」現在我們的防護機制，是機器無法判斷的情況下，交給人來判斷。一個好的安全機制，可以自動化產生新特徵、規則和模式來應對最新發現的高級攻擊。這也正是青藤的努力方向。「

安全領域的風口來了

張福判斷：安全的風口來了。直接的表現就是在美國矽谷和以色列這些互聯網企業高度聚集的地方，雲計算的興起速度前所未有。而最為確鑿的證據，就是這兩年大規模的安全行業的併購。在張福眼裡，國內針對互聯網企業的安全公司，只要有技術優勢，無論是老牌的還是新生的，從大樹到幼苗，最近都被BAT3等大公司收購，如「知道創宇」、「Keen團隊」被騰訊戰略控股；「安全寶」被百度併購；「瀚海源」被阿里收購等等。這些僅僅是一部分，還有很多的併購未被披露。

根據青藤所掌握的資料，企業在A輪的時點最容易受到對手的攻擊。那麼是否因為很多企業沒有安全意識，所以才會造成如此多的入侵事件呢？張福認為並不是這樣，「近些年很多企業也逐步認識到安全是一個必須要做的事情。只是很多時候門檻比較高，限制比較多，價格比較貴。市場在期待好的產品。」青藤就在挑選對安全有需求且願意以開放的姿態接納安全服務的企業作為服務對象。由於青藤的產品還在逐步優化中，尚未公開推廣，所以青藤所服務的企業都是種子用戶。對於具體有哪些企業接受青藤的服務，張福表示暫時不能透露，不過「服務的企業很廣泛，從營收20億的大塊頭到只有一台伺服器的小企業，我們都在服務。」

張福特意強調，實驗證明這種防禦機制低成本高效率，因為伺服器在雲端，所以企業幾乎不用投入任何硬體成本，小企業也有機會保護自己的資料安全。

在和 @史中 交流的過程中，張福不斷提到國內安全企業的併購，以及安全領域的大牛跳槽進入大公司。難道張福也準備把自己的公司賣個好價錢嗎？對於這個疑問，張福看起來早有準備，「很多人想來投資我們，但是從我的初衷來講，我想把這件事做大。因為做安全，最好是有獨立乾淨的資金背景，所以我們只接受了一些純財務的風險投資。如果接受戰略投資，可能會遇到掣肘。」他坦言不接受巨頭的戰略投資，並且表示「在競爭中我們寧可被乾死，也不願格局受限。」

從技術牛到創業狗，張福強調他從不為自己的選擇後悔，他說：」我不斷把自己變得更自由。有了自由之後，才有能力選擇自己的道路。」

再自我介紹一下吧。我是 @史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以關注微博：史中方槍槍，或者加我微信：shizhongst。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。