不寫黑板報的道哥:我要做出能代表我的偉大產品
來自專欄淺黑科技
大家好~我是 @史中,我的日常生活是開撩五湖四海的科技大牛,我會嘗試各種姿勢,把他們的無邊腦洞和溫情故事講給你聽。如果你特別想聽到誰的故事,不妨加微信(微信號:shizhongst)告訴我,反正我也不一定撩得到。
不想走丟的話,你也可以關注我的自媒體公眾號「淺黑科技」。
-------正文分割線-------
百度搜索競價排名,滋養的最大產業可能並不是莆田醫院,而是很多三不管地帶,例如某些小眾行業。誰的關鍵詞排在第一,他的競爭對手很可能會僱傭 DDoS 把它打下來。這種生意組成了巨大的流量。
道哥把腳搭在茶几上,為 @史中 科普江湖的險惡。
這個資深黑客擁有諸多身份:寫「道哥的黑板報」的「文藝網紅」;阿里云云盾的負責人。在他心裡,第一個身份輕如鴻毛,第二個身份重若泰山。
保衛阿里雲這個中國 35% 的網站都坐落其上的雲計算平台和上面的居民,道哥覺得自己守土有責,不容有失。探底黑產,描繪自己的作戰地圖,是他對自己職責要求的一部分。
他告訴 @史中 一個秘訣:「想要知道中國的黑產有哪些行業,只要看淘寶的禁限售板塊就夠了。」DDoS攻擊,敲詐勒索,暗網黑市,這些黑色產業,往往最終都會涉及到對阿里雲上伺服器的攻擊。
站在他的角度看,這個世界充滿血雨腥風。
險惡的世界
DDoS
我們定義一個大的流量攻擊,一般是300G以上。實際上根據我們掌握的信息,國內已經有組織可以打出一個T的 DDoS 攻擊。而且,其中80%都是由同一個組織打出來的。這些組織的實際控制人大多都潛逃在國外。
驅動這些攻擊的原因非常簡單:錢。有人買就有人賣。道哥說,如今打出 10G 流量攻擊,只需要幾百塊錢。
DDoS 攻擊這個行業,最為經典的玩法是攻擊遊戲私服。由於私服本身具有違法性質,所以並不敢求助於警察,黑吃黑是行業的通則。2013年中國國家頂級域名「.cn」的根域名曾經被打攤,這件轟動一時的事件就是因為黑產攻擊誤傷了底層伺服器。
掌握巨大帶寬資源的黑客組織兩邊賺錢,一邊收人錢財替人攻擊,一邊敲詐被攻擊者謀取更高利益。他們甚至勾結 IDC 機房,花錢買下機房所有的閑置帶寬,生意規模超出一般人的想像。
敲詐
很不幸,所有拿熱錢的行業,都會被黑客盯上。P2P和互聯網金融就是本輪中槍的行業。
因為金融行業信譽非常重要,如果服務宕機,就很有可能喪失用戶的信任,從而遭受擠兌,這可能會導致破產。恰恰這個行業沒有很強的監管,有些涉及到私募或非法集資。這些都是黑客勒索的絕佳條件。
道哥講了黑產的兩種玩法
1、入侵 P2P 公司的伺服器,盜取用戶的信息。把這些高價值的客戶信息出售,由下家進行廣告和黑色推廣。
2、威脅 DDoS 攻擊,敲詐勒索。如果妥協掏錢,過一段時間對方往往還會回來繼續勒索。
搞清黑客的目的,對於防禦至關重要。「根據判斷,下一個被黑產盯上的行業很有可能是直播行業。從現在的情況來看,這件事情已經發生了。」他說。
雲上的攻防
雲是解藥
作為雲計算的信徒,道哥相信這種正在迅速攻城略地的計算變革,從某種程度上來說是安全的解藥。他舉了一個例子:
我曾經到網路金融處參觀,他們的職能是監管各個銀行。在巨大的屏幕上,他們能夠實時監控各個系統有沒有出現漏洞。但是,他們只能看到,卻無法迅速修補。因為它對應的1000多個業務主體,各自的系統模式都是不一樣的。
但是如果使用雲計算作為基礎,就可以統一 Iaas 層,在很短的時間裡修復漏洞。
今年上半年,雲盾為雲上的幾萬個客戶共修復了46萬個漏洞。這個成績讓道哥頗為驕傲,他說在以前這不可想像。
現實殘酷
縱然背靠阿里雲,在和黑產的對抗中,防守一方也並不佔優勢。他說:
很遺憾,攻擊者仍然走在前面。因為我們還不能預測黑客下一步的動向。
這直接導致了安全產品必須被動地等待攻擊發生,才可以採取「救火」行動。對於雲盾來說,從黑客暴露攻擊意圖,到攻擊被封堵,仍然有12個小時的周期。
黑產控制的互聯網攻擊如同疫情一樣,大多數情況下,被感染的主機都會繼續向周圍傳播惡意代碼。而面對以「光速」傳播的病毒,每一秒都至關重要。
2015年12月,有數千個客戶的雲伺服器對外瘋狂發包。雲盾緊急處置,發現黑客正在使用了一個弱口令漏洞傳播惡意代碼。「幸虧這個漏洞在12個小時之內被修復,如果響應時間是24或48小時,就會造成更大的損失。」他說。
優質的標準品
如果把互聯網的攻防簡化到一張地圖上,你可以看到無數漂浮於雲上的節點,黑產和安全人員拼盡全力爭奪這些節點。
在如瘟疫一般擴散的惡意代碼眼裡,沒有大企業和小企業,只有能夠攻下的伺服器和不能攻下的伺服器。
現在幾乎所有的安全公司都在服務頂端 3% 的大客戶,因為他們有充足的資源僱傭各種特種兵。但是很多並沒有很多安全預算的中小企業的死活卻沒人關心。
道哥覺得,雲盾應該為中小企業提供安全感。實際上物美價廉的解決方案只有一種,那就是不需要耗費過多人工成本的軟體服務平台(SaaS),所謂優質的標準品。
接下來的問題就變成了:怎樣才能做出這樣的一個平台。
數據和計算
把機器訓練成安全專家
一個優秀的安全人員,可以通過分析網路日誌,找出伺服器被進攻的蛛絲馬跡,在黑產攻防版圖上拔掉敵人的一個據點。
但是對於道哥的雲盾來說,它面對著數以十萬計的雲伺服器,人工排查根本不是他的選項之一。如何把機器訓練成為安全專家才是解題方法。
一支火箭想要上天,其核心要素有兩個:發動機和燃料。機器學習很像一枚火箭,它的燃料是巨大的數據量,它的發動機是強大的計算能力。
對於阿里云云盾來說,每天的增量數據是 300T,來自於阿里雲客戶授權的全量數據。而計算資源,本身就是阿里雲的巨大優勢。
結果是,雲盾通過純系統計算的方式,可以感知到80%的入侵。道哥說,這個指標是同類系統的三倍。
孰優孰劣
這個檢出率在某種程度上和人工檢查不相上下,道哥給出了一個場景:
如果一個客戶上傳了一個 Webshell,如果安全專家分析全量的數據,可能要一周時間,現實情況中,往往不會這樣做。他們往往根據經驗,而不是完整的證據鏈條來判斷入侵。這種情況下就會出現失誤。而對於機器來說,它會分析全量數據,呈現出完整的證據鏈條。這樣的結果更加精準。
在成本和量級上,雲盾和人工沒有可比性。客觀來講,道哥在做的事情,離開阿里雲很難復現。
由於雲計算服務商被政策強制要求保留六個月以上的歷史紀錄,所以在雲盾的大數據中,可以查詢任何一個IP在過去半年的行為。基於此,可以做出更多的關聯分析,例如:兩次攻擊事件之間的關係,一個黑產組織在盯著哪些伺服器等等。
如果說由各路黑客大神領軍的安全實驗室是特種兵的話,雲盾更像是一支常備部隊,保衛阿里雲安全的基本態勢。
道哥自信地說,雲盾面前並沒有明顯的技術困難。但是,鑒於阿里雲只掌握了三分之一的雲計算基礎資源,所以仍然有很多攻擊脫離阿里雲的控制。在這種情況下,可用數據可能僅僅是一個 IP 的行為,在有限的數據下,如何利用計算能力,就成為了一個重點。
代表我的偉大產品
說來,很多人認識道哥,是因為喜歡他寫的「黑板報」。
道哥的黑板報 最早確實給我帶來了一些聲望。但我不是個作家。我希望的是做出一個好產品,讓產品代表我。
道哥如此解釋荒廢了自己在黑客界「估值頗高」的公眾號的原因。但是,這位黑客並不是生來就如此「任性」。
他講了一段阿里雲掌門人王堅的往事。
當時所有人都謠傳王堅博士要離開。
「糟糕」,是對阿里雲最初兩年業績最廣泛的評價。作為阿里雲的掌門人,王堅目睹兄弟部門已經磨刀霍霍,單等阿里雲解散之後,瓜分兵馬糧草。
縱然相信雲計算未來一定會崛起,但是在遙遙無期的漫長等待面前,道哥終於扛不住,辭職了。出乎意料,王堅卻沒走。
他說他數次被逼到死角,退無可退,但是他真的沒走。他不僅一直堅信雲計算大有前途,還在一直不斷地投入自己的一切。馬雲不懂雲計算,但是最終他選擇相信博士這個人。
王堅的路上終於出現了第一個路標。阿里雲用五千台計算機連接成一個巨大的伺服器,這就是5K項目。這個技術創舉一舉奠定了阿里雲後來的江湖地位。
「王堅博士顛覆了我的世界觀」,道哥說,「當他邀請我回到阿里雲的時候,我真正感覺到,這件事能成。」這種宗教般的使命感,讓道哥根本不在意他的「黑板報」,一腔熱血死磕雲盾,才有了如上的全部對話。
回到這種使命感本身,該堅持堅持,該放棄放棄。做出選擇很簡單。
@史中 問道哥:「這個能代表你的產品就是阿里云云盾嗎?」
道哥答:「我希望是。」
再自我介紹一下吧。我是 @史中,是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友,可以關注微博:史中方槍槍,或者加我微信:shizhongst。
不想走丟的話,你也可以關注我的自媒體公眾號「淺黑科技」。
推薦閱讀:
※自學Excel、PPT、word先學哪個?
※DevOps 會讓你失業嗎?
※AngularJS和jquery,有什麼區別?
※好男人精挑細選,壞男人來者不拒 ————| 性 情主題站 | 果殼網 科技有意思
※科技業進入下半場 聯想和小米能否把比賽打好?