导语:网络安全防御中,进攻和防守同样重要。以下是对威胁猎人CTO邓欣撰写的人物特稿。
邓欣:威胁猎人CTO。2007年南开大学硕士毕业;前腾讯安全技术专家; 2018年正式加入威胁猎人团队。专注于研究当前最前沿的网络安全攻防技术,包括漏洞挖掘和利用、APT攻击挖掘、复杂病毒木马打击等。拥有大规模黑客攻击和重大安全突发事件应急处置能力和经验。
在互联网安全行业摸爬滚打了十余年的邓欣,已在网络安全圈小有名气,曾经负责过腾讯电脑管家终端防护开发、病毒木马打击、漏洞攻防研究等项目。多次发现和防御网络攻击威胁和网络犯罪行为。
做安全就要跑在前面
第一次见到邓欣,他穿着一件简单的T-恤和一条宽松的运动裤,笑嘻嘻地跟我们打招呼。你很难想象这是一个曾经在国内外黑客大赛中斩获多次奖项的大牛。在以往的认知里,可能会觉得:黑客破解比赛无非就是提前找到漏洞,写好代码,到现场一演示就结束。然而,事实上并非如此简单。
邓欣回忆起:2016和2017连续2年带队参加Pwn2Own大赛,仍然能感受到当时的惊险和刺激。Pwn2Own大赛是全球顶级的黑客大赛,需要攻破微软、谷歌、苹果、Adobe等国际知名厂商最新的操作系统和软件。而在大赛前几天,厂家往往会发布“大补丸”,除了批量修复漏洞,还会引入一些严格的安全策略,这就意味着团队针对漏洞精心设计的攻击方案很可能得完全推翻重来。“所以你要在最短的时间内重新定制攻破方案,团队成员的合作默契和技术实力在这时候发挥了最重要的作用。”
几次黑客大赛漂亮的成绩,让邓欣及他的团队在圈内声名鹊起。
对技术的磨练除了兴趣,更多的是出于对安全行业的热爱。他认为,早期的黑客大多以炫技为主,觉得能够黑掉别人是一件很牛X的事情。但随着互联网的发展,黑客在利益的驱使下,逐渐演变成了以营利为目的,运用计算机和网络技术实施的有组织、有计划、分工明确的团伙式犯罪行为,也就是我们现在常说的“黑产”。比较典型的就是通过盗号木马等手段窃取用户财产和隐私。他们通常盗取游戏账号密码、身份证号码、手机号、QQ、微信、邮箱、支付宝、家庭住址等进行非法贩卖,从中攫取利益。
黑客已经从纯粹的炫技演变成以利益为驱动的群体。随着企业业务的发展和扩大,企业更加需要关注安全,及时阻断黑产行为。甚至可以说,安全已经成为了一家互联网公司的基石,如果基石不稳,有可能面临毁灭的危险。
得益于早期的资源优势,邓欣得以比较全面地接触网络安全技术。早期负责腾讯电脑管家安全功能模块的开发,为用户提供包括诸如漏洞修复、下载保护、网页防火墙等防护功能;也负责过QQ盗号木马等病毒木马的分析、查杀和对抗;后来研究漏洞攻防技术:一方面是攻击技术,通过参加黑客大赛,不断地找出主流操作系统和软件的漏洞,积累自身的技术知识。另一方面是防御技术,针对黑客利用漏洞发起的攻击,做针对性的感知和防御。 “我们的防护不是基于传统的静态特征,而是基于动态的行为感知。”说到工作,邓欣变得严肃起来。
据邓欣分析,网络安全问题的威胁程度很大一部分取决于能否提前发现问题,以及能否快速响应。近几年,很多企业在业务安全上已经由过去的“80%防护+20%检测与响应”变成了“20%防护+80%检测与响应”。利用新的感知模型、多数据源收集、分析工具以及操作需求推动着整体安全技术向更全面的事件驱动架构变革。“我们做的事情,包括漏洞挖掘、渗透测试、网络空间测绘等,也都是希望能通过这样的一些技术和产品来提前发现潜在的威胁。”
从发现问题到解决问题
传统的网络安全公司对于业务安全的关注并不多;此外,单纯的堆砌防御并不能够真正有效的解决安全问题。“我们每天都会面临新出现的安全漏洞和风险,一套“完美无缺”的防御方案是不存在的,我们需要在感知和响应上做更多投入,帮助企业发现和解决问题。”邓欣说到。
这时候威胁猎人CEO毕裕找到了邓欣,曾经同在腾讯安全部门共事多年的两人这几年也在圈内关注着彼此的成长。“老毕这两年在业务安全方向上的探索很深,和国内一线互联网公司也通过安全诉求的沟通建立了很好的连接。”此外,业务安全未来在整个企业安全市场中,有着巨大的增长空间,这也是邓欣所看重的。
毕裕认为,随着互联网的发展,黑产已成爆发态势,攻击手法越来越成熟,从以前的小作坊、干点脏活,发展成了一个完整的黑色产品链,在技术上也具备了比较强的实力,不仅可以逆向一些非常有深度的协议,甚至还运用到了机器学习,可以完成自动模拟登录,破解验证码,自动传播,自动聊天等操作。没有一套“完美无缺”的风控策略可以让防守方一直处于上风,安全守卫者和黑产从业者往往处于螺旋式上升的你争我夺的状态。想要尽量保持领先,就必须对黑产有非常深入的了解。这也与邓欣的想法不谋而合。
尤为重要的一点是,威胁猎人的愿景就是为企业建立一整套完善的安全防御体系。而这恰恰也是邓欣想要做的事情。于是,两个昔日战友又并肩站在了一起。
作为CTO,邓欣也对自己加入威胁猎人团队后的工作做出了一些规划。在他看来,现在安全行业存在的主要问题不是创新和技术,而是攻防双方信息的严重不对称,防守方要及时了解黑产的最新动态,获取到相关情报。而安全产品则负责将这些情报转化为线上的防御能力。
“我们要把现在的情报服务打磨好”,是邓欣带领威胁猎人团队最先要做的事情。据了解,接下来团队会针对不同行业的客户需求,通过业务安全威胁情报服务切入目标市场,进而提供标准化的安全服务和解决方案,满足企业业务安全的需要。与此同时,不断提升整个团队的技术实力,建立技术上的领先优势。未来,威胁猎人将会构建完整的业务安全防御体系,从攻击者角度应对网络安全。
这个曾经带领团队用一秒钟破解了Surface,三秒钟破解了Adobe的技术大牛,将带上梦想,整装出发。
