资讯正文

青藤云安全张福:我们可以用“免疫系统”对抗黑客入侵吗?

放大字体  缩小字体 2017-09-09 11:18:39  阅读:8835 来源:新浪科技 作者:韩雯雯

我们对黑客的最初认识,可能都来自于“病毒”。通俗来说,无论什么黑客入侵什么系统,大多都需要在系统内部植入代码。这些代码或...

我们对黑客的最初认识,可能都来自于“病毒”。

通俗来说,无论什么黑客入侵什么系统,大多都需要在系统内部植入代码。这些代码或者可以“自我繁殖”,或者可以“通敌叛国”。如果你愿意,可以统称他们为计算机病毒。

我们想要对付“病毒”,就难免要请教最好的老师:自然界。

人体是怎样对抗病毒的呢?没错,免疫系统。既然这种免疫系统对人体有效,那它的原理是否可以用在赛博世界的防护中呢?

不要觉得这个想法脑洞大开,因为已经有大神在这样做了。

这位大叔名叫张福,他是中国最早的一批黑客,在黑客圈被奉为大神。在对雷锋网(:雷锋网)宅客频道讲述这套技术之前,他先讲述了一个有趣的故事。

【张福】

洛克希德马丁的血案

洛克希德马丁可以算是全世界最著名的军火商了。这货牛到什么程度呢?它95%的订单都来自美国国防部和各国军方。你所熟悉的 F-16、F-22 和 F-35 战机都是它的杰作。

然而,就在2011年5月的一天,洛克希德马丁突然发布声明,宣布:“发现了一起严重的网络攻击事件”。

虽然公司轻描淡写地对外宣布“一切都在偶的掌控之中”,但是实际上事发时洛克希德马丁全公司所用的“电子令牌”已经被黑客拿下。

神马是电子令牌呢?简单地说他类似我们熟悉的“U盾”。平常我们只会在银行转账的时候才会用到这种东西,但是由于洛克希德马丁公司每天都在制造飞机大炮,所以员工接触的很多信息都超极机密,需要一个电子令牌来证明“我是我”。

这个电子令牌是由世界顶尖安全公司 RSA 生产的“RSA SecureID 加密狗”。它的工作原理是这样的:

令牌完全不联网,根据存储在加密芯片上的一个“种子”实时计算出一个口令。同样在RSA总部的机房内,也存在一个同样的种子,根据这个种子也可以计算出一个口令。两个口令经过比对,如果一致的话就通过验证。

你也许明白了,事情的关键在于这颗“种子”,只要偷到了这颗种子,黑客就可以用同样的算法计算出正确的口令。

【洛克希德马丁的 F-35 战机和 RSA SecureID 加密狗】

洛克希德马丁经过调查发现,自己被黑的原因很奇葩,没有员工遗失电子令牌,但是黑客却每次都能输入正确的令牌密码。

最终,所有人都把怀疑的目光投向 RSA 公司。果不其然,最终 RSA 公司承认,那个被他们严防死守,层层守卫的珍贵的“种子”已经失窃。。。

没有不可被攻破的系统

一个是最视安全为生命的军火公司,一个是教父级的安全公司,在黑客面前都只有啪啪打脸的份。

RSA 痛定思痛,潜心对网络安全技术进行研究,终于在第二年的报告中得出惊人的结论:黑客是防不住的。

多么痛的领悟。

不过,张福反倒看出了其中的真谛,他觉得 RSA 说得很有道理。这话怎么讲呢?他对雷锋网宅客频道说:

在很多人的理解中,安全防护都是“边界防御”,就像城墙一样。

人们把防护设备接在网络上,分析进出的数据,如果发现恶意数据就进行拦截,如果没有发现就放过。

这些设备工作依靠的是规则,也就是人们通过研究黑客的攻击方法,再把这些方法总结成规则写进设备。

但是这种玩法的效果越来越差,有三个原因:


1、边界越来越模糊

假设我有一家公司,我可能同时用了阿里云的服务器、亚马逊的服务器,还有私有云服务器。我的业务跑在三个混合的东西上,这三者的边界都很难定义。


2、数据传输加密化

斯诺登曝光了棱镜计划,全球大的科技企业都知道了美国政府想要偷窥自己的隐私数据,于是纷纷把自己的数据传输进行加密。这就造成,黑客的攻击流量也会被加密,很难被防火墙识别出来。


3、攻击技术飞速进化

破解黑客的攻击需要规则,但是只有我们知道黑客是如何进攻的,才能总结出规则。但是在商业利益的驱使下,黑客们的攻击手段比明星的脸变得都快。你还没来得及写出防护规则,黑客的攻击手段又升级了。

综上所述,黑客是防不住的。

【图:电影《长城》中,饕餮用尽奇技淫巧,总能成功越过城墙】

事实也证明,在最近几年,全球大公司例如 SONY、孟加拉银行,甚至连黑客公司“Hacking Team”都被黑了。这些组织被黑得那叫一个彻底,连核心数据库都被曝光于天下。

那么,面对猖狂的黑客,就没什么办法了吗?

接下来就轮到“免疫系统”登场了。

计算机的免疫系统

先来说说人体免疫系统的一个特点。

当一种病毒接触人体的时候,它可以很轻易就进入体内。但是在体内“作案”的过程中,会引发转氨酶、胆红素等一些类肌体“微指标”的变化,并且同时激活白细胞的防卫功能。

对于医生来说,判断一个人得了什么病症,恰恰是通过这些血液指标。

【病毒入侵免疫系统,总会造成体内指标的微小变化】

对于计算机系统而言,虽然目前并不存在“白细胞”这种自动防卫单元。但是,如果一个系统被黑客入侵,一定会在某些指标上表现出异常。

即使利用最厉害的 0Day 漏洞攻击服务器,系统的某些“微指标”一定也会发生变化。

即使黑客色诱前台小妹最终拿到了管理员密码,通过“合法路径”进入系统,它的某些行为也一定会引起系统“微指标”的变化。

作为久经沙场的黑客大牛,张福对自己的推断深信不疑。

于是他创立了一家公司,名为青藤云安全,专门做一件事:为企业服务器研发免疫系统。

从2014年开始,张福就成为了黑客圈的“狂人”,他想要研究一套系统,可以自动部署在企业的服务器里,这套系统可以收集服务器上细微的指标,作为正常的值。一旦出现黑客入侵,这些数值就会抖动,触发报警,然后再通过分析系统找到攻击者的攻击路径。

他把这种系统称为“自适应安全系统”。

这些“微指标”就像你小时候妈妈在电视机罩上放的头发丝,如果她下班回家发现这根头发不见了,那么十有八九是你偷偷看了电视。

对于青藤系统来说,最大的挑战就是如何定义一些独特而又有效的指标。

这些指标要满足:

不会因为正常的管理员行为而大幅波动

会因为黑客的行为而明显改变

张福说,从2014年到现在的三年时间,他们的所有努力都在不断改进这样的“微指标”。如今微指标的数量已经到了几万个之多。

被 Gartner 看中的“免疫系统”

无独有偶,就在张福和团队埋头苦干研究“自适应安全系统”的时候,美国的初创公司 Tanium 同样在“自适应安全”方面进行了探索。只不过他们的防护对象是办公电脑。

如今,这家公司已经成为了估值超过了35亿美元的独角兽。作为同行,张福很想和 Tanium 的童鞋们交流一下,但是很遗憾,美国政府把这项技术认定为尖端科技,禁止 Tanium 对华出售服务和交流技术。

三月份,美国著名的 IT 咨询公司 Gartner 发布了全球安全市场指南。让他没想到的是,青藤云安全居然榜上有名。

【Gartner 报告中,对青藤的描述】

Gartner 是最具权威的 IT 咨询公司,全球企业都认可它的的权威性,并且依据它的指导来选择 IT 服务。中国有一些安全企业入选过 Gartner 评选成熟技术领域的“魔力四象限”,但是入选针对新兴技术领域的“全球安全指南”,我们是有史以来来唯一的中国公司。这说明了世界对中国安全技术的肯定,当然也会直接导致更多企业选择我们的安全系统。

张福相信,以人体免疫系统为蓝本的“自适应安全”一定是未来安全的方向。Gartner 报告的肯定,让张福坚定了这个想法。

现在我们的微指标是一套专家系统。就像医院的大夫,通过经验来判断应该检查哪些身体指标。

未来我们的微指标要走向人工智能决策。通过对企业服务器的大数据分析,自动得出黑客活动相关的指标。这些指标可能人类不太好理解,但是却是更加精准的。

就像阿法狗和李世石的围棋赛一样,在其中一局,阿法狗下了一步神棋。人类几千年的围棋大师通过经验总结出了无数“定式”,是在特定的情况下最好的走法。但是阿法狗的这步棋让所有人匪夷所思,但是最终的结果证明了,这步棋正是整场对弈的关键一步。

像免疫系统一样守卫系统安全,听上去有些异想天开。但正是莱特兄弟梦想像鸟一样飞行,我们才拥有了飞机;科尼利斯渴望像鱼一样游走,我们才看到了潜艇。黑客张福,用他的理想守卫着每个人的互联网。

更多黑客内容请雷锋网宅客频道(搜索:宅客频道)