返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
安恒信息:范渊的世界
2017-11-08 IT运维网 / IT运维网

《网络安全和信息化》特别报道

编者按

       信息化建设给我们的社会生活带来了巨大变化,信息化社会本该是光明的、无罪过的,但由于坏人的出现,破坏了我们原本和谐的世界,破坏我们最重要的劳动成果,那就是黑客。

       谁来坚守!

       谁来保卫!

       谁来还击!

《网络安全和信息化》封面报道:范渊的世界

一位“白客”

       凌晨,范渊站在窗前,眼前的杭州城已是非常安静,路灯将整个城市照得通亮,偶尔的汽车驶过,显得更加沉寂,整个城市都在沉睡。

       范渊回过头来,办公室里的同事们还在伏案工作。十年来,范渊不知经历过多少这样的夜晚,作为安全工作者,一位与黑客作斗争的战士,多少年的头脑里只有一个词——“黑客”。他们是什么样的人?他们在做什么?

       这时,公司的负责人范渊端着一杯咖啡过来了。和想象中的不同,范渊本人并不是那种高大威猛,孔武有力的硬汉,而给我们的第一印象则是稍显瘦弱,但其眼神却显得非常坚定从容(如图1所示),不觉得让人吃惊,原来这就是鼎鼎大名的安恒掌门人!

图1 安恒董事长兼CEO 范渊

       其实范渊给人的印象从来都不是威严的领导范儿,据同事回忆,当初第一次见到范渊时是在2009年之前,从范渊身上透露出的儒雅气质给了他很深的印象。“他人很nice,有着很强的人格魅力,跟他在一起工作感觉非常舒适,因为他很少对员工发脾气,他的包容性感染了我们每一个人,他的优点值得我们每一个人学习。”直到今天,同事对当时第一次见到范渊时的印象依旧非常深刻,每次有人问起时仍能够娓娓道来。

       早在十二年前,正是在2005年的美国硅谷的一次“BLACKHAT(黑帽子)大会”上,一个名不见经传的黄皮肤中国人,为台下网络安全精英们奉上了一场精彩演讲。其“SQL Injection Detection Joint Force Dat”的演讲顿时吸引了在座几百人的目光(如图2),以至于在演讲结束后,当即有大批的记者和厂商前来咨询其产品。这使得范渊在“安全圈”变得小有名气,要知道之前还从未有中国人在这场全球最顶级的信息安全峰会上做演讲!

图2 范渊在“黑帽子”大会上

       这件事不仅让范渊收获了关注,同时还给他带来了无比的自信,或许第一次见到范渊时看到的那种坚定的眼神正是在此时萌发的吧。

       对于这一点,多年在安恒工作的一位同事感同身受。“我最初只是程序员,没有系统学习过安全,只是比较喜欢,尤其是Web安全,但一直没有勇气决定是否将来要从事信息安全行业,而安恒正是最早做Web安全和数据库安全的,在结识范渊后我坚定了未来从事信息安全的决心,将安全作为了职业。”可以说,范渊改变了他的事业道路,范渊是他事业的“引路人”,同时也是许许多多安恒人的“引路人”。

命中注定

       1997年,范渊从南京邮电大学计算机系毕业,那时中国互联网才刚刚起步,对于所有人来说一切都是新的,对于高材生也不例外。范渊起初的工作仅限于网络管理领域,之后才慢慢接触到网络协议相关的知识。直到2003年从美国加州圣何塞州立大学计算机专业毕业后,范渊进入硅谷一家国际著名的安全公司工作,此时他才真正接触信息安全领域,并有了一定的研究成果。正是这样的时机,范渊能够顺利参加“黑帽子”大会并与顶级专家同场竞技。

       在看到有如此多的厂商前来咨询并愿出高价购买其产品时,范渊似乎看到了机遇,在美国虽然互联网产业迅速发展,但涉足信息安全的企业却少之又少,很多才刚刚起步。与国外情况类似,在国内刚刚掀起一阵互联网的热潮,各类互联网企业如雨后春笋般出现,但安全行业也仅仅是针对病毒等网络层,范围非常狭窄。正是对信息安全的忽视,接下来的几年相继发生了一系列的安全事件,黑客们也逐渐由“炫耀本领”转变为攫取利益,并迅速形成各种黑色产业链,导致网络攻击事件暴増。这些巨变给社会带来严重冲击,同时也给从事互联网的人们敲响了警钟。然而如何降服这些“魔”,在当时没有人能够找到有效的“降魔棒”。这里面无疑市场需求巨大,范渊正是看到了这一切的变化,使他放弃了国外优越的成长环境,坚定了他回国创业的决心——寻找自己的“降魔棒”。

       正如范渊的经历,当时国内安全行业才刚刚起步,很多人并不是奔着安全去的,最早进入安全行业的人都是基于自己的爱好与情怀而非主业,不像现在安全企业发展这样快,国家也大力扶持和高度重视。当时进入这个行业时,国内高校连信息安全专业都几乎没有,人才匮乏。

       虽然在经历过像“黑客大战”这样的事件让人们认识到信息安全及其手段、方式,但过去在中国很长一段时间,安全仅仅局限于网络端,比如天融信的防火墙、绿盟的IPS/IDS等等都是在网络层做隔离或防御,所以那时的安全产业普遍较小。事实上互联网发展如此迅速的原因,是因为在应用层的复杂性而非网络层,就像各种功能丰富的门户网站,改变了人们的生活方式。因此网络安全绝不是仅仅局限于网络层,而是应当关注到功能更加纷繁复杂的应用层。

       凭借在硅谷关于Web安全检测的研究成果,范渊在2007年回国创办了杭州安恒信息技术有限公司,并很快推出了第一个产品——Web应用弱点扫描器。该产品可以说是填补了国内在该领域的空白。安恒最早正是在应用层抓住了安全的切入点,这就是安恒为什么发展得如此迅速的原因,在国内非上市企业中也是名列前茅。正可谓出生牛犊不怕虎,安恒很快在2008年的北京奥运会上大显身手——抵御了很多黑客对票务系统的攻击,成功降服了意图在奥运会上兴风作浪的“魔鬼”们,为奥运会保驾护航。

艰难之险

       从来都不会有一帆风顺,网络安全界更是如此,有时甚至如“谍战剧”般跌宕起伏。范渊和他的团队在如此多且重要的活动中始终绷紧着神经,经常奔走于台前幕后,盯着眼花缭乱的数据,丝毫不敢放松。

       在2008年,正值北京奥运会的召开,安恒也有幸成为北京奥组委安全产品和服务提供商。此时安恒也卯足了劲儿全力备战北京奥运会(当然不是参加体育项目比拼),奋战在奥运网络服务系统幕后,最终如大家所知,奥运会圆满结束,似乎并没有出现什么特殊事情。

       如果真如大家这样所想那就大错特错了,在常人看来的确是“波澜不惊”,但真正经历过的安恒团队知道,事情并没有那么简单!

       就在开幕式前的几个月,也正值网络售票的高峰时期,可以想象奥运网络服务系统是多么繁忙,同时也意味着系统的安全是多么的关键。2008年3月的某一天刚过晚上,范渊团队在进行系统排查时,发现官网竟然出现被黑客侵入的迹象!这可是一个极其严重的信号,要知道官网系统崩溃或是被劫持将带来怎样的恶果。

       范渊后来回忆,“非常惊险,从手法上看,这次进攻生猛,如果得逞,黑客很容易控制服务器”。如果让黑客控制了服务器,那将导致什么样的后果,票务系统瘫痪、开幕式的详情信息泄露、比赛赛程的内容泄露甚至被篡改等等,想到这里范渊团队不禁感到脊背发凉。

       决不能让黑客得逞!范渊团队第一时间做出反应,立刻启动响应机制。因为早在接手该项目的时候,范渊团队就有了一套详细而完整的“降魔”方案,即模拟黑客攻击系统,进而构建自己的“铜墙铁壁”。正是有了这套坚韧壁垒,足以让范渊团队从容应对。

       到了晚上12点时,经过范渊团队的及时介入、拦截,将黑客拦截在“铜墙铁壁”之外,成功保护了奥运网络服务系统,也有效保障了北京奥运会的顺利召开。

       这种“惊心动魄”经历了太多:

       2014年首届世界互联网大会在浙江乌镇举办,这届的大会就是由范渊团队负责网络安全保障的,“在3天的时间里,互联网大会的官网竟然经历了27万多次的严重攻击,任何一次攻击如果得逞,风险都非常之大,但是我们守住了”,范渊回忆道。

       像这样的事情范渊团队经历了太多太多。也正是这样的经历以及范渊团队有效的应对使得安恒得到了众多客户青睐(图3为安恒因出色完成北京奥运会网络安全保障工作受嘉奖),近年来安恒不断收到重大活动邀约。

图3 安恒受嘉奖

       在这些活动背后,是许许多多安恒人的辛勤劳作。除参与这些光鲜重大活动之外,这些人更多的时间是默默奋战于没有硝烟的网络战场第一线,与“魔”斗智斗勇,并不断试验和更新新的安全防护产品,为广大的网络使用者们保驾护航。

       安恒设立有研究院,平时要做漏洞挖掘研究,漏洞挖掘本身需要不断去升级改造;另一方面还要对新的渗透测试方面做技术研究,这也是团队核心能力的体现;第三个方面是怎样把发现的问题做出产品的创新。比如公司在做工控的态势感知之前,需要研究工控有多少种设备及多少种协议,如何发现漏洞等问题。但全世界有如此之多的工控设备,本身的工作量是何等的繁杂。因此这就需要一个平台,能够实时的展现全世界的工控漏洞——这就是创新。

       但对于安恒研究院来讲,不需要实现这个平台完整的产品化,只需要完成平台最简单的组装模型,能证明这种技术能实现这样的功能即可,之后将安全的能力、策略输送到各个产品线,现在安恒的每条产品线实际上都有专门的安全策略人员,他们更多的是将规则语言化,并交到产品部门去做孵化。

       之后产品部门需要不断的维护更新产品,比如Web应用防火墙(WAF)部署在应用前面,WAF就可以把很多攻击阻挡在应用之外,攻击者也就无法利用应用中的漏洞。但由于攻击在不断发展,经常会有新的攻击会出现,很多时候产品部门就需要不断的升级产品。策略上需要做更新,功能在不断的壮大,产品也要不断的升级。

       产品在进行升级时,功能上会有不断的叠加的计划,对于核心的防护能力,研究院会把安恒自身的研究成果以及网络中出现的漏洞对应的检查策略和防护策略,第一时间输送到产品部门。

       同时,用户会同产品经理沟通,随时注意产品的升级情况。这都是非常辛苦的,在安恒,研究和服务的人员就占了总数的将近2/3。

       当然,日常工作中也会有不如意的事情出现。有时客户的要求千奇百怪,这给服务带来很大困难,但安恒的团队都要谨慎应对,真正做到对用户负责。

策略为先

       信息安全学科本身范围非常广,而且 “魔”“道”的对抗永远不会止息,做好信息安全实属不易。其实信息安全学科大部分还是以计算机学科知识为基础,但安全并不是与生俱来,它是寄生在计算机——无论是硬件还是软件之上的。在设计这些系统之初,由于设计的缺陷,并没有考虑很完善的安全因素,最后形成很多bug,bug本身并不会造成伤害,但它容易被攻击者所利用。

       因此,不管是白帽子也好,黑帽子也好,这就会产生两个不同的方向:技术爱好者会告诉程序设计者,哪些地方有问题需要修补,挖掘更多的漏洞。但bug若被坏人所利用,他会利用漏洞大量的敛财,是具有邪恶的目的。而安恒的角色就是白帽子,所做的就是震慑那些坏人,利用自己的技术与之对抗,不断地提升防御能力的同时,也要研究进攻的能力,正所谓“未知攻焉知防”。安恒的安全观正是代表着所有安全厂商的安全观。

       计算机科学都是有一套非常完整的体系,但安全不是,通常在某个领域研究时会越陷越深,问题也会越来越多,因此研究安全问题需要形成一种能力。

       “寻道”并非易事,范渊是计算机专业出身,精通各种协议,同时对安全非常的感兴趣,在创业公司工作时,与公司里的精英一起研究如何解决网络层安全问题、各种设备的日志信息以及其背后的告警和威胁信息,如何最直观的展现给用户,让用户能在最短的时间发现攻击,与“魔”做斗争。

       作为技术爱好者,能够知道隐藏在这里面的漏洞,但这些漏洞如何通过一个自动化的工具在大范围内被发现,还很少有人专门研究。

       范渊就是在这其中非常的专业,能够连续两年在“黑帽子”大会上做演讲,第一次讲的是关于发现Web漏洞,第二年讲的是数据库安全。

       日志本身艰涩难懂,这就需要懂得各种设备及相关系统,对于像范渊这样的安全人员挑战很大,不仅需要对几乎所有的设备都要有所了解,包括协议、进程等,对不同的操作系统如Windows、Unix、Linux等不同的系统都需要有精通这些不同系统的专门人才,这对一个团队的挑战是非常大的,这不得不将团队进行更加精准的划分来加以应对。而且了解仅仅是第一步,在了解之后如何将其规则化、标准化是第二步,但安全问题难点在于每天出现的问题不同,而相应的规则也要发生改变,这需要一个结构、一个体系。

       这个问题过去一直困扰着安全从业者,先有攻击,然后针对攻击才有相应策略,攻击手段发生改变,对应的策略就要不断的跟进,甚至需要新的策略。过去的安全策略往往都是基于规则,但现在随着大数据、云计算技术的发展,可以利用人工智能、机器学习的方法来改善像过去的那种弊端。如态势感知这类新技术、新理念的出现,已经使得安全防御理念开始从被动向主动转变。

我们不是黑客

       “用黑客的思路想问题,用白客的思维解决问题”是范渊信奉的原则,事实上也自始至终遵循着这样的理念。范渊是实打实的技术出身,是“安全圈”里有名的技术大咖。正是缘于他对在线应用、数据库安全等极其深入的研究,以及在信息安全领域技术创新的成功实践,甚至为其带来“网络神探”的美誉。

       在安恒的一线技术人员们本身的技术水平非常高,他们完全有能力可以成为“魔”,但他们在安恒是要为“降魔”而战的。如何更合理的培养并引导这些“顶尖高手”,安恒自有一套办法。

       安恒在成立之初,范渊就非常重视技术的利用,当时就成立有自己的攻防实验室,之后随着公司的成长,在此基础之上就整合成了安全研究院。现在研究院已经有四五十名安全研究人员,他们每天在公司严格的制度监督下进行“寻道”之旅——漏洞挖掘、攻防演练等,同时做一些创新性的演示,然后交给研发部门进行产品化以形成最终产品落地。除此之外,安恒还拥有在国内算是比较多的安全服务团队,总共大约100人,他们的宗旨是把安全的服务能力交付给服务的对象——比如银行——需要模拟黑客入侵场景,来考察自身系统的安全性。安全研发人员加上安全服务团队,形成了比较完善的技术体系建设,同时在能力上做到国内顶尖。

       另一方面,从高校毕业的莘莘学子们对未来的工作生活有着美好的憧憬,安恒就提供给他们完善的成长空间,例如研究院核心的技术人员以及各攻防实验室的负责人都是安恒自己培养起来的。依靠这样的人才培养和储备,安恒的技术团队不断发展壮大。在安恒发展过程中随时随地都会发现这样的例子,他们在进入安恒的前后变化都非常大,举个安恒研究院的例子,研究院里有个在国内比较有名气的研究员,近两年来发现了大量的漏洞。但他最初来安恒时只是个计算机毕业的实习生,完全没有安全方面的知识。在进入安恒以后,由当时研究院的院长亲自做他的入职导师,慢慢地就找到了安全方向的乐趣,到现在短短三年,他已具备了非常高的漏洞挖掘水平。

       之所以这样做一方面是要符合公司的战略,随着互联网的发展,市场需求的增加,信息安全事件频发,这就决定了公司需要有更大的成本投入。另外更重要的是要有良好的企业文化来引导和培养这些人才,不断培养他们“道”的理念,让其知道如何更合理并且合法地应用这些先进技术。同时安恒也提供很多机会让他们个人去获取荣誉,如去年在G20杭州峰会上的由安恒负责的网络安全保障副总指挥获得了市五一劳动奖章,同时参与保障峰会网络安全的人员也获得了相关部门的奖励。这些是给予他们辛勤劳动的褒奖,同时也让他们体会到作为“白客”,有着更为光荣的使命。

兵团作战

       由于安全领域范围非常之广,而且安全本身又比较复杂。如若成为这个领域的专家,要有足够的耐心和勇气钻研,可以说,在信息安全领域研究人员也只能在某一个细分领域里做到最专业、最擅长,没有真正的“通才”。

       比如研究系统安全,也许研究人员可以对操作系统的漏洞挖掘做到极致,但他们也许对应用安全就不会那样精通。在美国“黑帽子”大会上,每年都会举办CTF的决赛,这是世界上最顶级的黑客大赛,在参赛者每支战队里都是多种领域人员的组合——有的擅长逆向分析,有的研究系统漏洞挖掘比较强,有的以渗透为专长,而有的可能他一点安全知识都不懂,但算法非常厉害,他可以知道如何能在很短的时间之内写成一个高效的漏洞利用工具,然后迅速的实现攻击,一个好的算法在攻击中往往发挥着关键作用。由此可以看出,安全不需要“通才”,也不可能做到“通才”,只有深入钻研某一细分领域,做到“专才专用”,才能发挥团队效能。

       如今安恒也已经走过整整十个年头了,从最初的应用安全、数据库安全到云安全、智慧城市、大数据安全、工控安全、物联网安全等等,现在的安恒人才储备已经远远不是安恒刚成立时只做应用安全的情况了。安恒能发展到今天,离不开团队的共同努力,这同样需要多种人才的组合。同样地,所谓术业有专攻,没有哪家安全公司都够在各个细分领域都能够做到样样精通,只有专注于某个擅长领域,才能具备强大竞争力。

责任与使命

       专业做安全,这是大家对安恒的一个基本的认识,但用户之所以与安恒这样的安全厂商合作,所担心的问题是可能会受到的威胁,那安全厂商是如何处理这种可能上的威胁?如何做到让客户放心?

       安恒有很多安全研究人员去专门发现和挖掘大量的安全问题,同时也会有专门的对应的产品研发部门,可以把这些发现能力做成产品,从传统是上讲基本是检测产品和防御产品,比如检测弱点,检测漏洞,还有防御性的如防御漏洞等,除此之外安恒还会提供安全服务,协助客户做漏洞的挖掘,做出应急的响应。安恒现在还有一个更新的方式——云化,也即SaaS化的方式。就是说无需购买安恒的产品,而只需购买安恒SaaS化的服务,然后安恒会通过云的方式,把需要保护的对象放到云监测或者云防护安全平台上,最终通过大数据及自动化的技术实现对安全的防护。同时也会有专家进行值守,现场或远程的方式为客户解决问题,这样就可以把安恒的安全能力交付给客户。这就是安恒所进行的创新,安恒将该平台命名为“风暴中心”(如图4)。

图4 “风暴中心”展示平台

       以上就是安恒将发现问题、解决问题以及将安恒的能力赋予客户,基本上做成了大的闭环。现在国内有些安全公司尚无法做到这样的闭环,它们中有的只具备发现的能力,但却没有解决这些问题的能力。

       现在国家已建立起健全的通报机制,像安恒的“风暴中心”,全国有三十多万的政府和教育的系统都在“风暴中心”的监测范围之内,如有了最新漏洞或最新应对措施,安恒都会第一时间提交给相关部门,而相关部门会给这些受影响的单位做出通报,在通报时会指出是安恒给予的技术支持,受影响单位可以咨询安恒来了解这些风险是如何发生的,这是一种路径。

       在万物互联的发展形势下,可以说安全风险将会成倍增加,如何发现某一点的风险?针对此问题,安恒有专门的研究室和各种研究的设备仪器,对大多数家庭使用的智能设备等都会做专门的研究。但智能设备如此繁多,需要做好规划。现在在研究院的技术人员中,每人都会有不同的研究方向,一般由安恒研究院的院长做出研究重点,选取一些代表性较强,使用人数较多的,影响性较大的设备做重点研究。

       还有种路径,安恒从承接2008年北京奥运会的网络安全保障,一直到去年的G20杭州峰会的网络安全保障工作,经受了多年重大活动的考验,对安全威胁的防护能力是毋庸置疑的。尤其在G20杭州峰会网络安全保障中安恒总共投入了309名安保的技术人员,历时一年的时间跨度,这样大的世界性峰会中,安恒作为最主要的网络安全保障的厂商,业内人士和用户也就会知道,安恒的技术是经过实践检验的。用户完全有理由相信安恒,来解决他们的问题。

       在对设备做漏洞挖掘等研究时,如果设备是国外的厂商的话,安恒会将漏洞的研究成果提交给国外负责漏洞的相关组织CVE(Common Vulnerabilities & Exposures),由该组织与相关厂商联系(因为由乙方跟厂商直接联系可能不是很方便),而该组织在完成这个任务后,相应会给安恒颁发一个CVE编号,这在国际上是最著名的。在国内的话,安恒会通报给国内的相关组织,如中国国家信息安全漏洞库(CNNVD)、国家信息安全漏洞共享平台(CNVD),同时也会报告给相关国家机关。

       安恒并不直接提供漏洞库给用户,而是提供这种能力。现在安恒不只提供漏洞,还提供影响范围。安恒如今建立了一个大数据的平台,在发现漏洞后,可以在平台上进行展现,采用指纹识别的技术,如果一旦再有此类漏洞,可以迅速检索是哪些单位,然后第一时间报告给政府的主管部门,主管部门可以通过这个名单迅速的要求这些单位作出整改,这就缩短了被黑客入侵的时间。这些都是安恒能力的体现。

       安全能力的另一种体现是知己知彼,但要做到知己知彼并非易事,对风险的深度感知能力、防御能力和防控能力就是安恒所追求的目标。正所谓“聪者听于无声,明者见于未形”,一方面如何通过大数据和机器学习去发现未知威胁的能力,另一方面对用户而言,对所有资产风险的实时动态掌控、分析和应对能力。这些都是安恒在此次西湖论剑中提出所要思考的。

图5 2017西湖论剑盛况

       “魔高一尺道高一丈”,范渊在“2017西湖论剑”(如图5)中表示,“由三届世界互联网大会分析,第一年还是以扫描为主,第二年是洪水攻击,第三届又发生了更大的变化,攻击更加精准化,它明确知道你的弱点在哪里,并且拥有比你反应速度更快的攻击能力。” 因此网络安全现实的残酷不断地鞭策安恒从最初网站漏洞扫描、Web应用防火墙、数据库审计的安恒“老三样”,到现在结合云端的安全、大数据和威胁情报、整体的应急响应能力、中心的平台能力,如今形成了真正的立体化、纵深式的安全体系,图6为不断壮大的安恒团队。

图6 不断壮大的安恒团队

       范渊在安恒的这十年里,深切感受到安全态势变得越来越严重。凌晨刚过,范渊忙里偷闲,想休息一会儿,此时头脑里浮现出家人的模样,范渊睡意全无,随手拿起了一本书,“信息安全”四个大字映入眼中。

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读