青藤云安全张福:我们可以用“免疫系统”对抗黑客入侵吗?
我们对黑客的最初认识,可能都来自于“病毒”。 通俗来说,无论什么黑客入侵什么系统,大多都需要在系统内部植入代码。这些代码或者可以“自我繁殖”,或者可以“通敌叛国”。如果你愿意,可以统称他们为计算机病毒。 我们想要对付“病毒”,就难免要请教最好的老师:自然界。 人体是怎样对抗病毒的呢?没错,免疫系统。既然这种免疫系统对人体有效,那它的原理是否可以用在赛博世界的防护中呢? 不要觉得这个想法脑洞大开,因为已经有大神在这样做了。 这位大叔名叫张福,他是中国最早的一批黑客,在黑客圈被奉为大神。在对我们讲述这套技术之前,他先讲述了一个有趣的故事。 【张福】 洛克希德马丁的血案洛克希德马丁可以算是全世界最著名的军火商了。这货牛到什么程度呢?它95%的订单都来自美国国防部和各国军方。你所熟悉的 F-16、F-22 和 F-35 战机都是它的杰作。 然而,就在2011年5月的一天,洛克希德马丁突然发布声明,宣布:“发现了一起严重的网络攻击事件”。 虽然公司轻描淡写地对外宣布“一切都在偶的掌控之中”,但是实际上事发时洛克希德马丁全公司所用的“电子令牌”已经被黑客拿下。 神马是电子令牌呢?简单地说他类似我们熟悉的“U盾”。平常我们只会在银行转账的时候才会用到这种东西,但是由于洛克希德马丁公司每天都在制造飞机大炮,所以员工接触的很多信息都超极机密,需要一个电子令牌来证明“我是我”。 这个电子令牌是由世界顶尖安全公司 RSA 生产的“RSA SecureID 加密狗”。它的工作原理是这样的: 令牌完全不联网,根据存储在加密芯片上的一个“种子”实时计算出一个口令。同样在RSA总部的机房内,也存在一个同样的种子,根据这个种子也可以计算出一个口令。两个口令经过比对,如果一致的话就通过验证。 你也许明白了,事情的关键在于这颗“种子”,只要偷到了这颗种子,黑客就可以用同样的算法计算出正确的口令。 【洛克希德马丁的 F-35 战机和RSA SecureID 加密狗】 洛克希德马丁经过调查发现,自己被黑的原因很奇葩,没有员工遗失电子令牌,但是黑客却每次都能输入正确的令牌密码。 最终,所有人都把怀疑的目光投向 RSA 公司。果不其然,最终 RSA 公司承认,那个被他们严防死守,层层守卫的珍贵的“种子”已经失窃。。。 没有不可被攻破的系统一个是最视安全为生命的军火公司,一个是教父级的安全公司,在黑客面前都只有啪啪打脸的份。 RSA 痛定思痛,潜心对网络安全技术进行研究,终于在第二年的报告中得出惊人的结论:黑客是防不住的。 多么痛的领悟。 不过,张福反倒看出了其中的真谛,他觉得 RSA 说得很有道理。这话怎么讲呢?他对我们说: 在很多人的理解中,安全防护都是“边界防御”,就像城墙一样。 人们把防护设备接在网络上,分析进出的数据,如果发现恶意数据就进行拦截,如果没有发现就放过。 这些设备工作依靠的是规则,也就是人们通过研究黑客的攻击方法,再把这些方法总结成规则写进设备。 但是这种玩法的效果越来越差,有三个原因: 1、边界越来越模糊 假设我有一家公司,我可能同时用了阿里云的服务器、亚马逊的服务器,还有私有云服务器。我的业务跑在三个混合的东西上,这三者的边界都很难定义。 2、数据传输加密化 斯诺登曝光了棱镜计划,全球大的科技企业都知道了美国政府想要偷窥自己的隐私数据,于是纷纷把自己的数据传输进行加密。这就造成,黑客的攻击流量也会被加密,很难被防火墙识别出来。 3、攻击技术飞速进化 破解黑客的攻击需要规则,但是只有我们知道黑客是如何进攻的,才能总结出规则。但是在商业利益的驱使下,黑客们的攻击手段比明星的脸变得都快。你还没来得及写出防护规则,黑客的攻击手段又升级了。 综上所述,黑客是防不住的。 【图:电影《长城》中,饕餮用尽奇技淫巧,总能成功越过城墙】 事实也证明,在最近几年,全球大公司例如 SONY、孟加拉银行,甚至连黑客公司“Hacking Team”都被黑了。这些组织被黑得那叫一个彻底,连核心数据库都被曝光于天下。 那么,面对猖狂的黑客,就没什么办法了吗? 接下来就轮到“免疫系统”登场了。 计算机的免疫系统先来说说人体免疫系统的一个特点。 当一种病毒接触人体的时候,它可以很轻易就进入体内。但是在体内“作案”的过程中,会引发转氨酶、胆红素等一些类肌体“微指标”的变化,并且同时激活白细胞的防卫功能。 对于医生来说,判断一个人得了什么病症,恰恰是通过这些血液指标。 【病毒入侵免疫系统,总会造成体内指标的微小变化】 对于计算机系统而言,虽然目前并不存在“白细胞”这种自动防卫单元。但是,如果一个系统被黑客入侵,一定会在某些指标上表现出异常。 即使利用最厉害的 0Day 漏洞攻击服务器,系统的某些“微指标”一定也会发生变化。 即使黑客色诱前台小妹最终拿到了管理员密码,通过“合法路径”进入系统,它的某些行为也一定会引起系统“微指标”的变化。 作为久经沙场的黑客大牛,张福对自己的推断深信不疑。 于是他创立了一家公司,名为青藤云安全,专门做一件事:为企业服务器研发免疫系统。 从2014年开始,张福就成为了黑客圈的“狂人”,他想要研究一套系统,可以自动部署在企业的服务器里,这套系统可以收集服务器上细微的指标,作为正常的值。一旦出现黑客入侵,这些数值就会抖动,触发报警,然后再通过分析系统找到攻击者的攻击路径。 他把这种系统称为“自适应安全系统”。 这些“微指标”就像你小时候妈妈在电视机罩上放的头发丝,如果她下班回家发现这根头发不见了,那么十有八九是你偷偷看了电视。 对于青藤系统来说,最大的挑战就是如何定义一些独特而又有效的指标。 这些指标要满足: 不会因为正常的管理员行为而大幅波动 会因为黑客的行为而明显改变 张福说,从2014年到现在的三年时间,他们的所有努力都在不断改进这样的“微指标”。如今微指标的数量已经到了几万个之多。 被 Gartner 看中的“免疫系统”无独有偶,就在张福和团队埋头苦干研究“自适应安全系统”的时候,美国的初创公司 Tanium 同样在“自适应安全”方面进行了探索。只不过他们的防护对象是办公电脑。 如今,这家公司已经成为了估值超过了35亿美元的独角兽。作为同行,张福很想和 Tanium 的童鞋们交流一下,但是很遗憾,美国政府把这项技术认定为尖端科技,禁止 Tanium 对华出售服务和交流技术。 (编辑:ASP站长网) |