我有个朋友叫大路,他满世界“平事儿”不含糊 文 | 史中 2018年秋,大理洱海边。 几十辆 Smart 整齐地停靠在路旁,戴眼镜穿格子衫的男男女女从从汽车上下来,安静地享受午后一尘不染的清冽空气。 “大路特别喜欢旅行,所以你放心,咱们每年出来团建都是必不可少的节目。”一位小哥开心地给新同事介绍。 站在不远处若有所思的就是杨大路。他是这家公司的创始人,大路不喜欢被叫做杨总或老板,强烈要求大伙儿就喊他大路。他的信条是:凡事别搞那么复杂,简单才有真心朋友。 大路可谓知行合一,连公司的名字都被他取成了“交朋友”的姿势——天际友盟——听起来像个非政府组织。 突然,一声电话铃响划破了洱海的宁静。
对方说话声音都快哭了。 这个忙大路能不能帮呢?确实能。而且对方幸运地找对人了,整个中国境内能干这事儿的,几乎只有天际友盟。 可这是个急茬儿,这不公司大部分人都在洱海自驾呢么。。。大路突然想到市场总监正好请假留守,赶紧打电话给他。这位同事参考着标准流程,争分夺秒地跟对方要来了授权函、营业执照、注册商标等等证明材料,打包同步给值守的售后服务人员,售后又联系到诈骗网站所在的欧洲数据中心,数据中心依据材料马上强制关停了侵权网站。 从接到电话,到处理完毕,整个过程只用了几个小时。 就在全世界N个机构通力协作关闭这家诈骗网站的时候,大路早就深藏功与名,跟同事们继续开车上路了。洱海边如过去的每天一样重归寂静,残阳倒影在湖面上缓缓摇曳。 天空海阔,总有人自由自我,永远高唱我歌。 (一)无能狂怒 2013年,杨大路还不是创业者,他是国家电网安全运营中心负责人。 讲真,作为央企,国家电网做事儿是非常讲究的。那年头,他们已经建立了一套完备的信息收集通路——集团几十个下属公司每天的“网络日志”都会汇集到大路他们的手上。(当时这种能力已经足够让一票兄弟企业羡慕了。) 啥是日志嘞?如果把公司庞大的网络比作咱们的城市街道,那么日常网络里传输的信息就好比车辆行人。这些日志就如同街道上的监控摄像头拍到的画面——大部分平平无奇,看起来让人昏昏欲睡;但想都不用想,里面肯定混杂了小偷、骗子的踪迹。 把这些坏人揪出来,并且督促同事们修补网络中的各种缺陷,就是大路的职责所在。 杨大路 注意,这里有个小小的技术问题,也是一切故事的原点:
那怎么办嘞?解药就是技术。只有依靠计算机的熊熊算力,加上近几年才出现的大数据挖掘技术,才有希望在亿万人海里锁定坏人的面孔。 大路爱钻研,很早之前就他就组织同事们尝试了挺多种系统和架构来做大数据挖掘,可是受限于当时技术发展的历史阶段,始终是雾里看花不得要领。 本以为能这样↓↓↓ 结果是这样↓↓↓ 倒真不是大路水平不行,其他企业也是这德行。当时有一个著名的段子很说明问题:“大数据”就像中学生的性——大家聚在一起各种姿势都聊得明明白白,结果私底下谁都没真操作过。 不过,历史的车轮滚滚向前,事情很快就要出现转机了。就在2013年,发生了两件足以改变大路人生轨迹的大事。 第一件事,就是 RSA 信息安全大会。 RSA 可是鼎鼎大名,相当于信息安全界的“世博会”,每年全世界最骚的新安全技术都会在那里展示。大路虽然只是云参会,但在屏幕前看到了一个词——威胁情报技术。他猛然眼前一亮,这不就是通过大数据分析来找到坏人的技术么?? 踏破铁鞋王秘书,得来全不费工夫。更厉害的是,看来一些前沿的美国公司已经开始利用分布式计算框架(Hadoop、Spark)和非关系型数据库(MangoDB)把这个存在于想象中多年的神兽真正造出来了! 既然老外能干出来,那我们中国人肯定(早晚)能干出来。大路一瞬间信心满怀,心里别提多舒畅了。 RSA 长这样,你感受一下。 RSA 之后没几个月,第二件事就发生了:一个名叫斯诺登的精神小伙儿跳反了。 CIA 的外包工程师斯诺登向全世界坦白,美国正在用全世界闻所未闻的尖端技术窃取各个国家政府、大企业的机密。(这个故事告诉我们永远不要得罪外包商。)坐在屏幕前刷着斯诺登爆料的入侵方法,大路后背都湿透了。 斯诺登 那种感觉就像自己刻苦练了半辈子剑法,结果对面的老哥不慌不忙掏出加特林机枪。。。
现在回忆,大路仍然是一脸不可思议。 这个海怪在对海底光缆进行窃听 世界就是这么残酷,面对比自己强大一个世代的对手,我们只剩下无能狂怒。 大路脑海翻涌,突然联想到不久前刚接触到的“威胁情报”技术。既然兵对兵将对将我们干不过对方,那我们可不可以通过情报来暂时弥补硬实力的差距呢? 换句话说,就好像一个商场总有小偷出没,但他们的安保力量比较弱,抓不住小偷的现行。那就搞点“谍战情报”,探听一下附近游手好闲、信誉差、有前科的人都有哪些,管你是不是来偷东西,门口保安一概不让他们进来就完事了。 这事儿听起来相当靠谱。大路决定赶紧在国家电网内部建立一整套“威胁情报系统”。然而悲催的是,他的想法太超前,又需要调动很多资源,其他部门听他忽悠得云里雾里,总觉得这哥们有点“被害妄想症”,不愿意配合。。。 大路咬牙坚持了两年,他明知道一些贼就在眼皮子底下偷东西,但就是没办法推动一个顶尖情报体系的建立,别提多憋屈了。最终他忍无可忍——倒我不如赶紧自己创业做一套威胁情报系统,然后生成了情报再卖回给企业! 这才有了天际友盟。 (二)找啊找啊找朋友 从一毕业就在央企干了十年,突然创业,你说大路紧张吗?
大路笑。 旅行确实让大路结识了生命中很多重要的人。 比如他媳妇,就是2010年从拉萨回北京的火车上认识的。48小时的车程,女孩跑也跑不掉,只能任凭大路各种讨好壁咚献殷勤。 幸亏有个好媳妇,创业的办公室有着落了。 大路媳妇是北京人,从小在虎坊桥的平房长大。这不,老房子都扔在那好多年了,正好直接“征用”当成办公室,累了还能去对面著名的老北京澡堂子华清池泡个澡,烦了就去旁边的湖广会馆听相声。 房子有了,接下来就差人了。 这些年,大路把自己“凡事简单”的原则贯彻得很彻底,无论是对自己的同事还是合作伙伴都一样——用技术说话。所以,凡是认真对待技术的同事,最后都能成为大路的知心朋友。 想不到,这票朋友如今都成了绝佳的创业伙伴。 大路想起来,过去在国家电网的时候,有一位非常靠谱的研发同事李衍,他比大路更早辞职,彼时已经回到老家石家庄发展。李衍接到电话,听说是老领导大路想搞事情,二话没说就答应了——公司没两个半人,倒先在石家庄成立了研发中心。
大路笑。 大路又想到了多年的好友秦哲。秦哲一直在各大网络安全公司工作,当年就是因为服务国家电网认识了大路。这俩人都爱旅行,又脾气相投:秦哲做乙方一点儿不惯着甲方,就拿技术说事儿,桑拿按摩一律没有,逢年过节了不得也就给甲方送箱水果,不超过100块钱;大路也是这样,别整用不着的,你技术好我就用你。 2015年,秦哲已经在绿盟做到了中层,手握技术、销售、架构三条线,目之所及仕途一片光明,但他也同样二话没说就答应了大路“销售合伙人”的邀请。只不过他想了想:“现在你产品还没做出来,我去了不也没事儿干么,等你产品出来,我立刻辞职过来!” 其他几位初创的兄弟,也大多都是类似的情况——威胁情报这个事儿靠不靠谱咱不知道,但你大路这个人靠谱就行了。就这样,能来的就来,不能来的就“君子协定”过两年来,第一次创业的大路努着劲儿可算是把公司架子给搭起来了。 最早的几名员工的合影 北京的一间平房里,五六个人开始琢磨改变世界这块儿事情。 大路要做的东西,核心的模块就叫做“威胁情报生成引擎”。它的职责就如我们前面所说——从海量的数据里挖掘出坏人的蛛丝马迹。 可是,这第一步就卡住了。。。 (三)最精密的机器——威胁情报引擎 要挖掘,得先有数据。几个人大眼瞪小眼:这数据去哪儿找呢? 原来在国家电网,分公司的日志数据每天都自己哭着喊着送上门,不要都不行。现在创业了,总不能回老东家要数据吧? 活人不能让尿憋死。 大路发现,其实在世界上有很多组织在运营着“开源数据”。 这些数据会免费提供给全球的情报研究者,有点像世界各地的“公共摄像头”,每天都免费广播给全世界看。当然,既然是免费,图像的清晰度,摄像头的角度、位置您就别挑了,啥样的都有。 开源数据就像这样 这么说吧,开源情报数据就像野果子,漫山遍野数量很多,但是收成不稳定,而且质量参差不齐,最好还有一些其他数据的补充。 大路又去自己的“朋友库”里搜索一番。 想当年,全中国优秀的网络安全公司基本上都服务过国家电网,作为甲方,大路当然和他们很熟悉。很多安全公司都会“卖盒子”——把自己的安全硬件(例如防火墙,入侵检测系统)部署在客户的系统里,就像一个保安公司把自己的保安队派遣到客户的园区里那样。由于部署在客户内部,这些盒子当然可以接触很多一手数据。 大路想到了一个好办法:“交换数据”。 具体操作方法是酱的:建立一个联盟,安全公司们把他们收集到的数据脱敏之后以合规的方式传给天际友盟,天际友盟根据这些数据改进自己的情报,再交回给这些安全设备使用,提高他们的防御水准。 这种操作就好像:一位好学的保安每天都给一个“神探情报官”讲述自己白天碰见了哪些人,而情报官分析一番后告诉保安,其实那个谁谁谁很可能是个坏人,下次别让他进来了。 这个点子可谓两全其美。 2015年,在北京著名的“3W咖啡”里,“烽火台联盟”正式成立。(后来证明,烽火台联盟确实帮助很多安全企业把水平提升了一大截。) 有了技术大牛,又有了开源和交换的数据,天际友盟可算是能开张了。 接下来到了你喜闻乐见的硬核科普时间。天际友盟的独门绝技——威胁情报生成技术——到底是个啥原理? 为了让你更明白,先花一分钟跟中哥复习一个基本知识。 网络世界里的基本身份叫做“IP 地址”。 啥是 IP 地址呢?你就可以把它当做现实世界的一个个房屋地址。在真实世界中,每天你都会从自己的屋子出来,进入另外的屋子,可能是学校,可能是办公室,可能是商场。这些行为的本质是:从一个地址到另一个地址的访问。 互联网上所有的行为,也都是“IP 地址”之间的相互访问。 如果能判断出某个 IP 里住着坏人,那么被访问的地址就可以采取行动——不让这个 IP 连接自己,必要的话也可以让警察叔叔顺着网线去抓他。 复习完毕。 威胁情报技术具体怎么判断出一个 IP 里住着好人还是坏人呢?究其根本无外乎就是两个字:循证。 这个世界不是非黑即白的。就像大街上的人,百分百是坏人的很少,百分百是好人的也很少。大部分人是介于中间的“灰色人”。我们先依靠安全专家的经验确定什么样的 IP 是“黑 IP”,什么样的 IP 是“白 IP”,然后再用这个标准来“面试”其他 IP,把 IP 的行为数据综合起来算出一个分数,也就是这个 IP 是坏人的可能性是多少。 例如绝对是个好人就打0分,绝对是个坏人就打100分,80%是个坏蛋就打80分。
大路说。 把不同 IP 按照黑白灰打分,大概就是酱。 别看基础原理就这么简单,可实际上循证这个事儿绝对是个技术活儿。 老刑警盯着嫌疑人的眼神儿分分钟就能看透整个案件来龙去脉,新警察摆一桌子资料有时候也研究不明白这些人之间的关系。 那你说老刑警和新警察差在哪儿了呢? (四)“循证”是个技术活儿 细节,是细节。 一个威胁情报系统好坏由很多细节决定,最重要的是两个: 第一个,是情报的精确度。 之前说过,数据量像海洋一样,必须用“分布式的大数据计算框架”代替人来做分析,也就是把人类的经验教给大数据和人工智能系统。这里就出现了两大考验:第一,考验团队里安全专家本身的水平有多高;第二,考验算法工程师把人类经验复刻到机器上的能力有多强。 整个系统就像万丈高楼层层堆叠,每一层的毫厘之差,都会决定这座大厦最终的完美度。 这里重要的细节是,情报系统需要不断“进化”。如果在实际工作中发现人工智出现了误判——例如被机器判断为100分的“黑IP”最终被证明是个“白IP”——就要把这个案例拿回来,研究问题到底出在了哪,好让人工智能“知错就改”。这样循环往复,情报引擎生成的威胁情报才会越来越准确。 这就是一个人工智能自进化的例子。注意,上方的油门刹车是根据游戏人物死活的结果来调整的。 第二个,是情报生命的周期管理。 情报的有效性往往是很短的。 刚才说过,一个 IP 就像一个房间。但坏人不会总待在同一间房子里等你去抓。如果一个 IP 被全网拉黑,谁都不跟他来往了,坏人还呆在这里干嘛呢?他一定会离开。假如坏人已经离开了这个房子,后来住进来的是一个好人。那么此时再对这个房子全网拉黑就不合适了。 你可能会说,这个简单,每隔一段时间把所有的房子重新检查一遍不就行了?这个方法当然可行,却是一种站着说话不腰疼的方法。 全网的 IP 非常非常多,仅仅是被标黑的 IP 就已经非常多了。哪怕每隔三天就把所有“黑 IP”都复查一遍,都需要极大的计算力资源,成本实在是担不起。所以,这里又需要一个关键的细节技术:如何智能判断哪个房间是需要重新查询的。 这背后具体的技术有些繁杂,中哥就举一个简单的例子你感受一下。
然鹅,问题来了。世界上那么多房子,你怎么知道今天有哪些房子被交易了呢?世界上那么多网站,你怎么知道哪个网站今天换主人了呢? 其实还是有办法的。房子有没有被交易,房管局当然知道。同理,在网络世界中,域名服务商就很了解下属的域名有没有被交易。只不过,他们不会主动向社会公开这些信息,想要也可以,拿钞票来买。这就叫做“商业数据”。 可以提高威胁情报准确度的商业数据还有很多,各个都需要真金白银。可见,要想做出高水平的威胁情报,花钱是在所难免的。 把这些细节一个个搞定,天际友盟的威胁情报终于问世了:
这个是RedQueen的截图,你感受一下。 这些产品的姿势各有不同,你可以简单地认为他们都是给企业输送情报的方法。 产品有了。不知道你还记得不,之前有一位秦哲同学,他答应大路产品一出来他就会义无反顾地从绿盟辞职加入天际友盟。 可是,意想不到的事情发生了。。。 (五)生产子弹的工厂要不要生产枪? 秦哲由于在绿盟发挥得太好,一年多时间过去了,此时已经升职加薪成为了高管。。。 不过别怕,秦哲是个言而有信的北京爷们,吐吐沫就是钉子。既然答应了大路,没说的,就算已经当了 CEO 也必须走。只不过,高管辞职需要考虑对企业的影响,必须进行业务平稳交接。秦哲花了半年时间才辞职成功,真正来到天际友盟时, 已经是2017年夏天了。 秦哲加盟前,大路只好硬着头皮自己卖货。 别说,大路卖起货来也是有模有样,毕竟是前国家电网的安全专家,到中航信、互联网应急中心这样的大衙门口刷脸大家都买账。 大路的策略是:先给大公司做一套专业极了的安全规划,别紧张,免费的。当然,这些规划里自然有“威胁情报”的一席之地。如果您认可我的规划,那情报这块儿咱这有现成的! 大路这样苦苦支撑了半年,秦哲终于恢复了自由身,他俩就顺着趟出来的路一点点地打配合,用了一年时间,天际友盟的威胁情报就进入了不少大企业。 秦哲 天际友盟的威胁情报好不好使呢? 那段时间,一个反复出现的剧情就是:威胁情报加持之后,企业猛然发现自己的系统里已经潜伏了一百多个病毒木马,对外连接着上百个黑IP。这像极了电影里的场景:一个漆黑的屋子突然打开灯,周遭已经排排站着一百多恶鬼。主角嗷一嗓子划破天际。。。 虽说安全形势不容乐观,但大路长长地出了一口气。 产品有效果,那至少威胁情报这件事儿就能做下去了,这么多兄弟撇家舍业跟着自己,总算能有个小交代。创业之初萦绕在他身边好几年的紧张感渐渐消失,那个简单纯粹勇猛精进的大路又回来了。 天际友盟在行业里站稳名号,融资也很顺利,当然是个值得庆祝的好事,但这却给大路带来了新的纠结。 经常有朋友、客户在杨大路耳边吹风: “你们技术不错,为啥只做藏在后面的威胁情报呢?你们直接做终端安全产品岂不赚大钱?” “圈子里有很多新技术方向最近特别火,你们要不要试着做蜜罐?要不要做靶场?” 这些人说得有道理,威胁情报只是一份情报,是安全产品的一个“核心配件”,就像子弹对于枪来说是一个核心配件那样。做子弹的厂商去做机枪,似乎是合情合理的。 毕竟多一条产品线就多一份儿收入,酒白红人面,财色动人心。大路也不是圣人,有点心旌摇荡。
大路说。 同事们都说,大路是个想当 CTO 的 CEO。对于技术这件事儿本身,他还是有自己的原则和坚守的。 “虽然当时还确实看不清,但冥冥中我总觉得盲目扩大产品线会很危险。直觉告诉我,威胁情报技术如果做深做透,一定会有新的商业机会出来。我还是想走精专这条路。”他说。 大路决定了,既然要做配角,就把配角做到底——就把自己的威胁情报集成在其他公司的安全产品里,你卖枪的时候一定会顺带卖我的子弹。这样一来,天际友盟和安全厂商之间就变得相亲相爱,没有竞争了。 这个战略被他叫做“ Ti inside”。(Ti 就是威胁情报的英语简写,这个口号跟 intel 芯片的 intel inside 是一个意思)
大路说。 放弃了激进的商业策略,大路内心无比平静。他终于有机会退回到技术本身,坐在花园里琢磨威胁情报的真谛。 一个大杀器,就在这时悄悄孕育。 大路和他的安全厂商胖友们。(这里面有浅黑曾经写过的大佬哟,找找看) (六)“情报之网” 杨大路发现,威胁情报做到深入,免不了要和一些“数据中心”打交道。 啥是数据中心呢?沿用之前的比喻,如果把一个个 IP 比作一个个房间,那么数据中心就相当于房间所在的小区。 刚才我们说过,有时候为了改进威胁情报引擎的准确度,天际友盟必须深入探究某个 IP 究竟是好是坏,这时候他们就会联系数据中心,请求对方再多给一些这个 IP 的相关信息,例如注册人的邮箱,例如还有没有其他 IP 和这个人有关。 毕竟自己小区里住着坏人,于情于法都不是好事儿,所以只要天际友盟能拿出过硬的证据证明这个 IP 有嫌疑,数据中心还是愿意在合法的情况下尽量配合的。 道理是这个道理,可实际操作起来却经常不是这么回事儿。
杨大路吐槽。 邮件不回,只能再去托关系找。最艰难的时候,大路通过外企中国总部的朋友找到国外总部,再通过国外总部的朋友试着联系目标数据中心的公司,来回来去绕三四层很正常,就这样还经常十天半个月也联系不到人。 这个事儿困扰了大路很久。 这是全世界主要数据中心的分布情况。 爱交朋友的人运气不会太差。就在大路一筹莫展的时候,又有一个神奇的朋友从天而降。 2016年底,在一次聚会中大路偶然结识了一位哥们,对方告诉他自己正定居澳大利亚,做一家IT公司,这次是回家过年。大路突然双眼放光:“你愿不愿意加入天际友盟,成为我们的海外实验室,凡是和外国对接的工作都交给你来完成?” 这个看似不靠谱的设想真就搞成了。 由于地处澳大利亚,熟悉西方的语境和文化,而且西方世界对于澳大利亚的认同感比对中国那强到不知哪里去了,澳大利亚实验室对接国外数据中心的工作异常顺利。 没用两年,他们基本就和世界上主要国家地区的数据中心都建立了友好关系,有的数据中心建在太平洋的小岛上,居然也被他们给联系到了——做情报做成了外交使团,这真是想不到的事情。 有了相互信任,那你来我往帮忙就顺利多了。天际友盟发现一批 IP 有嫌疑,就直接通过数据接口发送给国内外数据中心,数据中心依据协议返回这些 IP 的相关信息供天际友盟查验。一旦属实,就一勺烩把这些违规操作的“住户”都封禁了。 数据中心和天际友盟的合作关系,像极了非洲的鳄鱼和小鸟。小鸟帮鳄鱼剔牙,鳄鱼给小鸟食物,两全其美。 就这样,一个遍及世界的情报收集和处置之网渐渐建立起来,越来越大,越来越强韧。 这个网络的力量之强,连杨大路自己都惊呆了——天际友盟不仅能掌握哪些是“黑 IP”,甚至可以通过数据中心、域名服务商伙伴把“黑 IP”直接给干掉,宛若一个国际刑警组织。 于是,大路这个“老中医”决定:以后天际友盟不仅帮人查病,还要帮人开方治病。 (七)“老中医”保护你 能力大了,责任也就大了。 突然有一天,一个银行客户找到了大路:“我们的网站被人仿冒了,他们正在假借我们的名义诈骗,你能不能把他们的网站给干掉呢?” 大路皱眉想了想,虽然天际友盟没干过这个业务,但好像也不是不可以。 他试着通过自己的情报查询,发现这个钓鱼网站肉身所处的机房在香港。天际友盟的同事赶紧联系到这个数据中心,结果对方马上回复:只要提供一些证明材料,这样的仿冒网站他们是能关闭的。 就这样,第一单生意就做成了。 这是一个钓鱼网站的示意图。 大路很开心,试着把这个业务跟其他银行、证券、互联网金融企业一聊,发现这些公司一直都深受假网站的困扰,早就恨不得把这些骗子开的网站揉碎撕烂。只是,没想到这世界上还真有人能接这种活儿。 以前帮人开网站是一门生意,没想到如今帮人关网站也成了一门生意。。。 ![]() ![]() ![]() ![]()
![]() ![]()
![]() |
|