“撒旦”在人間

李昊原

曾經有某機關單位的計算機被黑客入侵，但黑客沒有竊取價值重大的敏感信息，而是植入了挖礦程序。這件看起來有點好笑的事情，原因其實很簡單——無關“盜亦有道”，只是攻擊者根本不知道這是哪里的計算機。

對這一攻擊方式，華順信安CSO鄧煥解讀說，攻擊者是得知了一個漏洞后，在全網進行搜索，然后攻擊有這個漏洞的所有計算機，注入挖礦程序。這種情況下，他并不清楚攻擊的是哪里的機器，也不關心，做好“薄利多銷”就夠了。

但對受攻擊的企業和組織來說，這件事卻一點也不好笑。新的漏洞被發現，黑客可能只需要幾個小時就能發動攻擊，這么短的時候很少有誰來得及打上相應的補丁。新的漏洞總是層出不窮的被發現，就像鄧煥所說：“互聯網只要開放，那么被黑是必然的。”

華順信安是成立于2015年的一家網絡安全公司，CEO趙武在黑客圈有一個響亮的名字“Zwell”;他開發的安全工具“Pangolin”在2009年的時候，全球日活數就達到了10萬，后來他受邀加入了360，補天漏洞平臺就是他的杰作。

從大學開始對技術著迷而走上了攻防之路的趙武見證了網絡攻擊的發展，從2000年前后蠕蟲肆虐的黑客狂歡時代，到之后紛紛轉向針對網站的腳本漏洞時代，再后來，大集成化的框架平臺出現，如斯諾登事件，體系化的漏洞平臺開始變成一種武器，MIRAI病毒顛覆性的將漏洞集成為自動化攻擊平臺，網絡攻擊從惡作劇、商業利益行為上升到了國家安全。

一個明顯的變化是，發現一個漏洞越來越難，但其價值，或者說可以造成的危害卻也越來越大。“現在一個漏洞賣上百萬元太正常了。”趙武說，以前發現漏洞就無償地“秀”出來——那個時代一去不復返了。

“撒旦”降臨

在2009年舉辦的全球黑客大會DEFCON上，黑客約翰·馬瑟利發布了一款名為“Shodan”的搜索引擎，不久后就獲得了“世界最可怕的搜索引擎”的稱號。

Shodan可以搜索網絡設備的信息，比如服務器、路由器、交換機、打印機、攝像頭等，并根據其所屬國家、操作系統、品牌等屬性進行分類，而其危險性顯而易見。某個漏洞被發現后，以前黑客需要對想要攻擊的對象進行掃描，確認是否有這個漏洞。而現在，只要在Shodan搜索對應的軟件或是設備，就能找到全網的結果，然后進行攻擊，效率極大提升，也難怪會被翻譯成“撒旦”（Shodan原是游戲《網絡奇兵》中邪惡主機的名字）。

對黑客來說，這無疑是打開了新的思維。“他們原來會盯著某一個企業進行攻擊，近兩年越來越多的事件是針對通用的漏洞發動大規模的入侵，只要是受漏洞影響的資產都可能被入侵，然后數據遭到竊取。”鄧煥提到，作為Shodan起源地的美國，不久前的選民數據泄露事件便和這個平臺有關，而在全球引起恐慌的永恒之藍，同樣是針對Windows主機的漏洞進行大范圍的勒索。

趙武漏洞出來后，同樣用網絡測繪的技術且比黑客更快，在黑客進攻前就通知有漏洞的資產小心防護，和黑客打時間差對攻

趙武從2013年開始跟蹤UpGuard的風險分析師克里斯·維克利，他曾經先后爆料過2017年共和黨2億選民數據泄露事件和墨西哥9300萬選民數據泄露事件，甚至還有美國軍方的數據泄露。“他的敏感性非常強，可以將全球的數據采集過去，有記者來采訪，他拿著一個硬盤，里面儲存了幾個T的數據，包括公民、軍隊和商業公司的。”趙武曾專門為他寫過專題，但其實維克利“黑遍天下”的技巧并不復雜，就是通過漏洞加搜索。

解釋這類搜索引擎的原理并不復雜，其核心技術就是網絡空間測繪。全球大概有42億的IP，而網絡空間測繪就是進行不間斷地掃描然后記錄，因此可以對搜索快速響應。“以前黑客想要了解一個漏洞影響全球多少數據資產是不可能的，但現在平臺可以提供數據，比如只要幾秒鐘就能告訴你全球有多少攝像頭。”趙武做過統計，這種模式下，從一個漏洞出現到黑客完成一次大規模攻擊，只需要一個小時。

然而對企業來說，傳統的安全體系難以跟上這樣的速度，假如企業有10萬臺資產，漏洞掃描器掃描一臺資產需要一個半小時，那么全部掃完就是一個季度。而由于漏洞是全新的，以前的防火墻和安全軟件防不住，而黑客“廣撒網多捕魚”的攻擊方式，企業早晚會有中招的時候。那時還在360企業安全的趙武，長期在一線研究攻防，他有了一個新的想法：既然防是防不住的，那只有打一個時間差，和黑客對攻。在漏洞出來之后，同樣用網絡測繪的技術，而且比黑客更快，在黑客進攻前就通知有漏洞的資產小心防護。

速度與安全

最初趙武在360企業安全做了一個Demo（原型），但那更多是屬于部門使用的工具產品。“360太大了。”趙武告訴《IT經理世界》，網絡安全有很多細分的領域，網絡空間測繪只是其中之一。彼時360企業安全在產品方向上需要考慮收入，產品不但要市場清晰，更重要的是，需要有行業內的銷售許可。而網絡空間測繪技術，在這兩個問題上至今沒有很好的解決，因此也難以得到資源的傾斜，充滿想法和激情的趙武最終決定自己跳出來創業。

華順信安搭建的FOFA平臺，每天都會不間斷地通過對IP發出數據包，獲得響應進而分析的方式，爬取全網42億的IP，大約一周就可以更新一次，從而了解每一個IP上面的應用和屬性。趙武打了個比喻，企業就像是千家萬戶，每個家庭都會買防盜門，而防盜門有不同的品牌和鎖芯，以前的黑客是去看看這家的防盜門有沒有漏洞，而現在的黑客則是先知道某個品牌或鎖芯有漏洞了，再去挑這樣的門。

而FOFA的平臺，是這樣一個防盜門的數據庫，一旦得知有新的漏洞，就可以提醒對應的品牌和鎖芯“你們有漏洞了”——雙方用同樣的手段進行攻防。而對企業來說，這樣的提醒讓響應快了許多，原本對10萬臺機器的檢測，縮短變為對100臺會受特定漏洞影響的機器的檢測。2017年1月，Elastic Search被曝出漏洞，一個月內全球上萬臺設備遭遇勒索，而白帽匯短時間內就給出了威脅情報預警——全球受影響美國最多4380臺，其次是中國944臺，并針對性地給出了防御建議。

同樣是一線出身的趙武團隊，獲取漏洞的速度并不比黑客們慢，除了博客、郵件組、討論群外，美國的CVE漏洞庫、中國的CNNVD和CNVD，都有漏洞信息公開的渠道。而同樣是2015年成立的白帽匯，聚集了2萬多名白帽子，他們可以在發現漏洞之后遞交給白帽匯從而獲得獎勵。這樣的獎勵除了現金外，還可以用于FOFA平臺使用，在平臺上進行搜索和研究。比如在某個系統出漏洞后，可以查詢具體的分布情況和感染量，或是用于商業決策，例如看不同的OA系統的使用量。趙武強調，FOFA采集的資產都是公開的，像核電等敏感的公共系統不會進行公開，而精確的二次確認，也會在得到企業或相關部門授權之后才進行。

鄧煥介紹，網絡空間測繪的核心就是爬蟲技術，雖然門檻不高，但是會在資產識別上衍生新的問題，比如被禁止或屏蔽，因此也會有相應的提升技術。當FOFA爬取到設備和應用信息后，會將數據打散成細粒度的特征，讓FOFA的使用者在平臺上也可以對這些特征進行篩選和組合，這就要求針對不同的資產不斷疊加規則增加新的特征，而目前FOFA可以識別的設備已經達到3萬多種。

從國家到企業

和網絡攻擊從企業到國家的發展不同，強調緊跟潮流的趙武，公司的業務卻是從國家再到企業，一個直接的原因是，他們不可能直接給企業發提醒。

如同文章開頭那位不知道自己攻破了部委系統的黑客，他們也不清楚那些IP具體是誰。“以前在做補天的時候就遇到過這個問題，給他們提醒漏洞，但他們的第一反應是警覺地問，你怎么知道我這里有漏洞？”談起往事，趙武還有點哭笑不得。

就在趙武還在思考怎么辦的時候，政府機構找上門來。當時趙武和團隊通過國外的情報點得知Redis數據庫存在一個漏洞，經過全網測繪，發現大面積的數據庫都受到漏洞影響，甚至已經有黑客團體利用漏洞進行批量入侵工作，于是當晚他們通宵出了報告，并發出了預警。

“那個時候影響到國內特別多企業，比如說首都機場等大型的機構都受到了影響，是我們的成名之作。”趙武說，“實戰型的、有價值性需求的最認同我們，那批人是誰？是監管單位。”

華順信安隨之順理成章地開始接政府機關的項目，而網絡空間測繪技術在國家層面尤其適用。“以前他們對漏洞的影響程度，往往是霧里看花，現在變成了可以量化的結果。尤其是針對關鍵信息基礎設施，例如醫療、社保、通信、軍工等，及時的響應會非常重要。”

原本沒有辦法直接通知企業的問題也得以解決，“就像是醫生和你說有病癥要買藥很正常，陌生人和你說就非常詭異。”他說，華順信安目前是國家互聯網應急響應中心和國測的支撐單位，會例行輸送安全事件的分析和漏洞通報，再由政府通報給企業。

不過，B端的市場同樣重要。考慮到企業并不愿意被測繪，華順信安開發了新的產品——“FOEYE”盒子。這個硬件產品會置于企業的內網之中，在企業內部進行爬取，但不會對外傳輸。而華順信安則會定期的向盒子發送威脅情報，再由盒子分析和對企業預警。趙武說，2018年，公司的重點將是B端市場。就在今年年初，曾先后在瑞星、安全寶、360擔任高管的鄭政也受邀加入了華順信安并擔任COO。

鄧煥“互聯網只要開放，那么被黑是必然的。”

據了解，新的產品將按照企業的資產規模收取軟硬件費用，并收取年費，而華順針對不同行業的企業也會進行定制化服務，以適應行業的系統和軟件。今年3月，華順信安剛剛完成了丹華資本千萬元級別的融資，趙武說，今年也將是公司團隊擴張和豐富產品線重要的一年。