360追日团队边亮:上可逐日追凶,下可乘风破浪 – 作者:AngelaY

接到采访任务时,按照惯例,我去网上搜了搜边亮的资料,只看到百度百科中简短的几行介绍,更多的搜索结果是关于他所在团队的报道。加微信的时候,这位安全专家还设置了不允许群聊添加,头像是很多网站注册时的默认头像。这一切,似乎都贴切地诠释了传说中安全(hei)研究员(ke)高冷的形象……

头像

但实际接触之后,才发现这是个热爱工作热爱生活,技术和颜值都很能打的安全专家。在沟通时,他总是谦逊地说“不敢当”,总是强调团队的团结和努力,一如很多从业十几年的老兵,低调且温和。

111.jpg

不一样的“追”“日”

360 旗下有很多安全团队,比如与 FreeBuf 合作密切的“独角兽团队”、天眼实验室、近期大热的区块链安全团队等。2015 年,360 创建了安全创新中心,搭建了涵盖 Web、系统、移动、网络、硬件、IOT、车联网、云计算、APT防御、区块链等安全攻防体系,针对漏洞研究、手机安全、人工智能引擎、样本存储搜索等多个方向设置了几十个研究团队。

相比之下,“追日团队”这个名字看起来蕴含着“夸父追日”的神话色彩,似乎是借助这个神话来展示团队的远大志向和坚定决心。但事实表明,安全研究员比文字工作者要踏实、直白得多。在刚结束不久的由 FreeBuf 主办的威胁情报&APT攻击技术与趋势高峰论坛 上,边亮是这么解释团队名字的:

名字大家集思广益讨论了很久,一直想找个生动形象并且好记的名字,后来才想到这个名字。APT 攻击者往往很狡猾,打一枪换一个地方,我们一直持续分析跟进相当于:追。追到幕后作者之后就得……后来大家一致觉得这个名字比较形象,就有了这个名字。

看到这个解释,我不禁会心一笑,相信业内人士一看也能领会其中深意,毕竟很多人以前都“ri过站”。也就是说,这个“追”、“日”并不是那个“追日”,但是这个“追日”和那个追日一样,道阻且长,但依然有勇往直前的坚持。

作为 360 旗下专注 APT 等高级威胁研究的团队,追日团队成员的日常就是从样本和日志的茫茫大海中找的新的攻击线索、分析溯源最终形成报告。迄今为止,团队已经发现了“蔓灵花”、“摩诃草”、“美人鱼”等三十多个 APT 组织,并输出多份公开或未公开的安全报告。

团队.jpg

这个已经有几十人规模的团队,成立之初就以 APT 研究为目标。因为传统的杀软策略总是抓大放小,而 APT 样本往往并不流行,容易被忽略。正因为如此,APT 组织的带来的威胁可能比普通流行的病毒木马更大,甚至关乎到国家网络安全。因此,团队成员在成立之初都背负着很大的压力。回顾团队一路的发展,边亮依然记得第一次发现 APT 攻击组织的情形。当初,大家为了做出成绩,都关在小黑屋里没日没夜地分析样本,最后偶然从一个查杀后仍然反复出现的木马中分析出了一个组织。虽然最后涉及敏感内容没有公开,但所有的“初次相遇”总令人印象深刻。

踩过一些坑、积累了一些经验之后,团队慢慢从最初的焦虑发展到了如今的成熟,输出的报告也更加追求严谨和精致。这离不开每位成员的积累,也离不开整个安全领域的大环境发展。

APT溯源:依托新技术,依赖信仰和创意

在加入 360 之前,边亮也在其他安全公司工作过一段时间。比较起两份经历,他最大的感受是如今有了大数据和 AI,工作起来节省了很多人力和精力,可以投入到更深入的研究中去。

我们每天收到的样本有几百万,想从这么大的量级中找到 APT 攻击相当于大海捞针,所以我们需要很多系统和流程帮助层层筛选可疑样本,最后再由有经验的专家进行人工分析。基于云端大数据,利用大数据分析挖掘、高级威胁沙箱检测、机器学习及专家分析构成的威胁情报以及态势感知,可以有效的协助完成完全事件的定性与溯源。

但是,想做好威胁情报和态势感知并不容易,关键在于“东西多”、“输出快”和“结果准”。“东西多”是指要有大数据,基于数据说话;“输出快”是指要在海量数据中以最快的方式找到新的威胁;“结果准”是指要有专业的分析团队提供技术支持和分析。边亮觉得,面对海量数据,需要有强大的存储和搜索技术,才能将数据有效地使用起来。为了解释数据存储和搜索的重要性,他举了一个生动形象的例子:

以家用硬盘作为存储介质,仅仅样本存储量这一项业务,就需要使用几十万块硬盘,平铺开相当于6个足球场那么大,如果没有有效的存储和搜索技术,想在这么多数据中找到一条有效的结果,可能需要几周甚至几个月。但有了威胁情报和机器学习这些技术,搜索过程能缩短到几秒,这对于分析和应急响应速度都有很大的提升。而速度快,正是安全的一大要素。

此外,依托于强大的搜索技术,如针对(千万亿级别的)大数据做特殊算法优化等,也可以为分析人员提供强大的支持。

机器学习

关于当下前言技术的发展,边亮也表达了自己的看法:目前这些前沿技术对安全行业的影响大多还是正面的,比起越来越低的误报率,技术的高效、快速、便捷都为安全防御和响应提供了助力。

当然,在信息安全领域,人远远比技术重要。脚踏实地的实战和日积月累的经验是分析和追踪的关键。在事件分析和溯源过程中,有时候也需要些创意和灵感。面对新出现的异常或者看似常见但可能是伪装的其他异常,需要依靠经验和脑洞,才能抽丝剥茧,发现隐藏在层层恶意代码之后的攻击组织。

由于这种工作特性,追日团队的工作氛围很开放,并没有特别的要求和限制。有时候,某位成员也许灵光一现,就能找到一个新的线索,所以更多时候大家都集思广益各显神通。边亮说,团队里都是身经百战的老兵,而且要是没办法沉下心来每天认真分析攻击代码,也很难进入这个行业。换句话说,从业多年的安全研究人员,大多都有着内心的执念和信仰,有着对这个行业的热爱。

当前的网络安全环境对于个人而言相对简单,但是针对企业、军工、政府等的攻击越来越高级,这些攻击难以发现又能潜伏很久,带来很大的挑战。未来国与国之间更多的还是网络战争,智能家居、物联网、车联网也是未来趋势,这种高级攻击可能会影响我们基础设施安全,城市安全,甚至国家安全。希望通过我们的努力能为我们国家的网络安全尽一份力。

不会玩的研究员不是好安全专家

我问边亮现在做的事情是个人的理想和追求吗?他回答说:“是的,我的运气很好,我的职业同时也是我的兴趣所在。”字里行间透露着坚定。不过,除了本职工作,这名安全专家的兴趣爱好还非常广泛。他赛车、帆船、潜水样样精通,手握多个执照和证书,下一步计划是去开飞机。 

timg.jpg

有些人业余爱打游戏,但我很爱出去玩,可能是个“伪黑客”吧,哈哈~安全从业者其实平时压力比较大,这也是放松的方式。

我想,在这些上天下海的过程中,不仅有放松,也会触发更多灵感,让他在 APT 研究的路上,追踪更多组织,发现并阻止更多威胁。

333.jpg

快问快答

1. 想进你们团队有什么要求?

平时我们接触最多的主要是调试、逆向、反汇编相关,IDA 和 Ollydbg 工具以及内部大数据平台。想进我们团队需要在这些方面有一定的经验。其实安全是一个完整的体系,任何一个环节出问题,就会被攻击者趁虚而入。所以作为安全从业者,其实方方面面都要有了解,都要考虑到,这样看到一个文件或代码的时候,才能准确地反应或联想到合理的攻击。此外,也需要大胆地猜想,严谨地验证,这样才能揭开那些重重伪装的攻击组织的真面目。

2. 团队发现的很多 APT 组织命名都很好听,这些命名有什么规律吗?

有些样本中会有特殊的字符串或者内部编号等,有时候我们会以此命名。有些时候会以攻击者攻击方向或背景来命名。

3. 团队里有几位女性,工作感受如何?

相比之下氛围会更活跃一点。我们团队的女同事都很漂亮,出去演讲能吸引很多关注(笑)。此外,工作过程中,有时候男性比较天马行空,可能沉不住气,但女生会比较细心、稳重。我们团队的女同事英文都比较好,团队输出的英文报告大多都有她们参与。

4. 之前我们的编辑小哥哥说“有一名黑客女朋友应该会是很酷的事”,那你觉得黑客男朋友会很酷吗?

站在女生的角度也许不会觉得很酷。我很多朋友刚认识我的时候,会觉得我会不会去盗他们的号,还挺尴尬的。其实我们作为白帽子,虽然知道这些原理,但并不会去做这些事情。此外,说到男女朋友,可能做黑客的女朋友会比较难有安全感吧,会担心查手机之类的(笑)。

编者评:看来不了解这一行的同学对于安全专家还是容易有误解啊。其实白帽子小哥哥小姐姐都很有爱啊,快来交个朋友吧!

5. 对于想从事这一行的新手有什么建议和寄语?

APT 分析和溯源是一项压力很大同时很有成就感的工作,有时候遇到瓶颈会很烧脑,但是当结果浮出水面的时候却又让人无比欢喜。如果你能享受这种痛并快乐的过程的话,那么恭喜你,这将成为你热爱的行业。

*本文作者:AngelaY,FreeBuf 官方报道,转载请注明来自 FreeBuf.COM

来源:freebuf.com 2018-06-25 11:35:33 by: AngelaY

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论