“黑客”杭特:为什么老湿父更看重“防”?
2018/1/10 14:18:41 浅黑科技
一枚导弹飞跃广袤的海洋,蒸腾的沙漠,向我们的核心目标坠落而来。
在距离边境一千公里之外,这枚导弹被雷达系统捕获,在零点一秒之内,反导系统计算了敌方导弹的型号,速度,可能目标,触发了防御机制。
几颗反导导弹从不同的位置发射,以围剿之势在天空中向目标冲去。对方的导弹迅速躲闪,但是由于它的可能路径已被封堵,系统计算无解。刹那间,入侵导弹所需转弯半径大于机械载荷,躲闪不及。
在边境外的天空中,一阵绚烂的烟花。
国境线内,人们往来如常。
这是一次完美的防御,也是一场完美的隐喻。
在杭特眼里,互联网世界的攻防大战,恰恰是以这种方式呈现。画面美丽而朋克。
“黑客”杭特:为什么老湿父更看重“防”?
文 | 史中
杭特是一个黑客。他名字的意思不是“杭州特别屌”,虽然他工作在阿里巴巴。“其实这个名字是“Hunter”的音译”,他一脸骄傲地向我解释。一瞬间我还是被他风骚的走位惊呆了。
杭特是中二男里的老炮儿,从八十年代就浸淫在各种动漫的海洋。自己的花名也是源于最喜欢的动漫《全职猎人》(Hunter x Hunter)。
所谓读书破万卷,动漫他读了万卷不止。
不过,他不齿什么 Cosplay,也不去拆奶罩(ChinaJoy),他只是感受那些热血的世界,然后在内心盛开一片花园。这让我相信,他是那种会享受“精神马杀鸡”(Spirital Massage)的人。
有了这样的认知,眼前这个中年大叔的脸也就不那么违和了。
阿里安全资深专家兼动漫爱好者,杭特
一、会“防”的是师傅:举个足球比赛的例子
某种程度上说,中二男杭特是一个理想主义者。本来,黑客这个群体的 Slogan 就是批判、反叛,结果杭特比他们还批判,对这些同行的思维模式感到很捉急。一捉急,他就想“开炮”。
中国安全研究根本没有战略可言嘛!天天去挖漏洞打比赛,锻炼出一堆“攻”,对产业有什么帮助?
为什么要研究这个技术,这个技术在整个安全产业里处在什么战略位置,很多人都不会想!
中国黑客只知道攻、攻,其实他们都在自己的“舒适区”,根本没有尝试建立防守的体系化思维嘛!
总之,他言外之意就是中国黑客们大多有点跑偏。
这让我一度怀疑,面前坐了一个牢骚满腹的中年油腻黑客。虽然他说的也是事实。
我觉得要解释他的思路,可以类比足球比赛:
很多球迷觉得足球就是要对攻,如果两边都玩铁筒防守,那还踢个什么劲?不过,真正顶尖的足球队,比如意大利,他们就把防守战术放在了相当重要的位置。
我觉得这倒不是因为意大利人是缩头乌龟(虽然在打仗的时候他们经常这样),而是因为几十年的实践证明,防守体系在对抗的过程中非常重要。注意,我说的是体系。
这里要明确一点,球队的目标是获胜,而不是一场精彩的比赛。
再说一遍,球队的目标是获胜,而不是一场精彩的比赛。
如果全力攻击,当然有可能打出更精彩的比赛。但是,输赢从来不是儿戏。特别是在网络攻防的战场上。
两国在网络上角力,暗流涌动,四野并无观众,也没人关心你是不是用漂亮的左勾拳长驱直取对方面门。只有一点最重要,那就是你有没有被对方攻破,你的核心机密有没有被对方窃取。其他都是扯淡。
对于一家公司来说,也是如此。
纵然很多黑客觉得攻击才是世界上最酷的事,但说到底,酷不能当饭吃。还记得太极大师雷雷么。。。花拳绣腿结局往往不美。
我知道,输了是因为地滑。。
没错,说到这,我才理解这位81年出生的老黑客在说什么,他说的不是企业应该怎样建立网络安全防护体系,他在用自己的“血泪史”告诉年轻人怎么才能有饭吃。
二、“防”要有套路:齿轮、机器和战舰
防守是一门有关体系的哲学,攻击者可能永远都不懂。
对手向你的脸挥拳,用手捂脸肯定不是一个聪明的选择。别人打你的脸,你可能要俯下身来,向他的小腿飞起一脚。这甚至都不需要经过你的大脑,而是属于肌肉的固定记忆。头疼抱头脚疼护脚,肯定是个小徒弟所为。
我想用城池作个比喻。
为了防止敌军来犯,守军如果时间来得及,一定不是原地直接死磕,他们需要筑城。城防需要几大要素:
1、坚固的城墙:城墙的每一块砖都要环环相扣,不能有丝毫的缺口。
2、平稳的接缝:两条墙之间的接缝要平稳顺滑,不能有丝毫裂缝,也不能给敌人留下攀登的抓手。
3、防守的套路:城墙之上的守军,要针对敌人可能采用的各个进攻方式,提前进行演练。例如敌人架起了攻城梯,守军小队要如何掀翻。敌人向上放箭,守军要如何支起盾牌。必要的时候,需要制作专门的反制机器。
专门的反制机器,就像这样。(来自抗饕餮神片《长城》)
你可能明白我在说什么,防御很重要,但我说的不是单点防御,而是体系防御。这也是杭特这么多年用“血泪史”总结出来的经验。
在网络防御中,对方的黑客可能用各种姿势攻进来。防御的方法也应该像刚才说的城池一样成体系。杭特说了三个挺开脑洞的认知,我想分享给各位盆友:
1、风险要“收敛”
企业的系统是一个庞大的体系,如果没有经过安全思维的设计,可能每个环节都会出问题。
黑客是什么人,那是全世界最聪明的一票人。逻辑再缜密的系统都难逃被他们攻破的命运,何况很多时候,程序中还会混入一些小白程序员写的代码。
这样的情况下,企业的安全威胁就“不收敛”。因为他们自己都不知道会在什么地方出问题,更别说防护了。
什么叫“收敛”呢?就是要在大多数逻辑简单的环节,尽量把风险可能控制在零。而把可能出问题的地方,聚拢在有限的几处,然后重点防御。
这就像市政输水系统,管路本身都是厚厚的材料,但凡输水系统出现泄露,一定是管道的接缝处。这样,我们就说:输水系统的风险被收敛在了接缝处。
风险被收敛在接缝处
对应在企业安全防护中,一些数据的流转过程,绝大部分情况可以“全程加密”,这就导致数据在传输的过程中,即使万一泄露,对方也无法解密,从而大大降低了出问题的可能。
这个例子说明,我们是有可能设计出一套大大提高安全性的系统的。而这种设计,比兵来将挡水来土掩的瞎忙活合算的多,因为它的风险是“收敛”的。
2、防护强度要“可度量”
当然,首先风险要“收敛”,然后才能“可度量”。不收敛的风险是无穷大。
我再举一个生活中的例子吧:
现在人们都知道,不能抱着婴儿坐在副驾驶座位,因为如果遇到碰撞,人根本抓不住怀里的婴儿。如果这样做,风险是“不收敛”的。
那怎么解决呢?
1、婴儿坐后排;2、使用儿童汽车座椅。就像这样↓↓↓
每个婴儿座椅都有严格的碰撞测试(如果不是山寨的),它会告诉你,在多高的速度之下,能够保障儿童安全;时速100公里时如果发生碰撞,伤亡的概率又是多少。
这就叫防护强度“可度量”,你可以用加减乘除算出来所面临的风险。
说回企业安全。
毕竟企业最核心的资产一般都是数据,所以杭特还是用“数据加密”举例。
加密的强度是数学化的,而破解加密需要“暴力破解”(简单理解为穷举法)。根据现在芯片的算力,以及技术水平,可以算出破解一个秘钥所需时间的平均值。这个数值,就是可度量的风险。
他说。(对了,忘记说了,杭特是山东大学数学系毕业的,膜拜一下 Orz)
当然,国家规定的“等保合规”,其实就是为了让风险“可度量”。只不过杭特认为除了国家的要求之外,企业还应该有更严苛的自我要求。
只有“可度量”这个前提存在,才可以深入研究进一步的战略。杭特举了几个很科幻的例子。
美国国防部高级研究计划局 DARPA,专门负责顶尖信息技术的应用研究。他们有一些有趣的项目,比如:
电路的设计到流片,要求以月为单位完成(在普通世界基本是以年为单位);
火箭的发射计划设计,要以天为单位完成;
无线形式的骨干网,要做到 100G 的速度。
扯得有点远,不过你现在应该理解,地球上科技最发达的美国人是如何利用“可度量”来规划战略了吧。用杭特的话说,“中美至少有十年的差距”。
美国火箭之父冯·布劳恩和人类历史上最大的火箭土星五号,这张照片是当年美国科技碾压全球的标志,也是激励每个中国科学家的符号。
3、要把人的经验固化成自动化程序
说到经验固化,你可能有点蒙。但如果我说“套路”,你就理解了。
之前我说的所有例子,其实都可以总结为套路:
足球比赛中的防守战术,是套路;
城墙上的御敌战法,是套路;
企业安全防护的体系,是套路;
你可能会说城市套路深,我想要田园牧歌。我还是那句话,如果你的目的是要赢,那就必须要有套路。看看中国足球,你就知道不懂套路有多可怕了。
现在的问题是,仅仅懂套路都不好使了,你还要比对手更快地使出套路。
比如,我们的先人发明了火药,甚至知道用火药可以制造杀伤性武器。“利用火药和机械原理制造杀伤武器”,这就是套路。但事实证明我们的套路不如英国人深,他们把火枪这种套路固化得更好。
鸦片战争时,我们也是有火器的,只不过从技术固化的角度来讲,有点 low。
结果是,在鸦片战争真刀真枪的对抗中,交战的时间被限定,这种情况下,他们的自动化工具在对抗中更有效率,我们输了。(至少战争本身是如此)
在网络安全攻防中,同样如此。
举一个例子——软件的行为分析。一个程序是好是坏,很多时候要通过行为才能分析出来。而传统的安全研究,需要研究员来手工逆向。不过,杭特带领兄弟们做了一套自动分析系统,每一条指令都可以被自动化分析,这就是专家经验固化的一个例证。
至于顶级黑客大赛 DEFCON 上出现的机器人自动攻防,也正是机器固化人类经验的一次顶级尝试。
在美国顶级黑客大赛 DEFCON 上,DARPA 组织了一次机器人自动攻防。图中五颜六色的货就是参战的机器人。
我仿佛看到了赛博世界中一艘艘金色的战舰,他们可以自动编队,甚至自动变形,用毫无摩擦的运动轨迹,抵挡对手的进攻。他们是我们文明的记录者,他们也成为了新的文明。
我们千万年经历的一切,皆如此。
杭特曾经在黑客的“黄埔军校”绿盟工作8年,是不折不扣的老兵。他目睹过最激烈的对峙,排演过最华丽的进攻。
如今,他坐在我对面,笑容满面。他选择成为一个防守者。
end
对了,杭特最近准备组织一次网络攻防大赛,名叫“阿里安全软件供应链大赛”,这个比赛脱胎于杭特对于网络安全的理解,专门考验防御者的体系化思维。用他的话说,就是“真正对产业有用”。
他欢迎你们报名。
再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以加我微信,shizhongst。
不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”。
戳蓝字查看更多内容
黑客故事
黑客李均歪传
痴人赵武:我还没打算和命运握手言和
草根黑客K0:梦想很贵,但值得一试
“95后”黑客单好奇:再推一把自己
黑客小灰灰:让时间来证明一切
Oscar:我对人生的期望
十年前的黑客哥们,现在可还好?
妖妖灵吗?我是个黑客,我被黑客给黑了
你有勇气和这三个未成年黑客比一比谁更XX吗?借你三个梁静茹
风云观点
Fortinet|苹果资本|双面黑客
美国大断网全纪实
周鸿祎:未来的世界属于怪咖
张溪梦:“增长黑客”的四认知
李鸣雷:我眼中的云安全
“君有漏洞在腠理 不治将恐深”
刘刚:威胁情报和反病毒
王博:认真做人脸识别
“情报薛”:我要做的威胁情报
肖力:时间会把一切还给我们
探索好奇
大数据“读心术”|二维码破解
达摩院 |破解ofo
科幻巨制《天猫双11》
“摸屁股盗刷术”
CCF-IFAA科研基金
神龙云服务器
膨胀的iPhone 8
揭秘:两张A4纸破解人脸识别
浅黑科技,让技术被读懂
http://weixin.100md.com
娣団剝浼呮禒鍛返閸欏倽鈧喛绱濇稉宥嗙€幋鎰崲娴f洑绠e楦款唴閵嗕焦甯归懡鎰灗閹稿洤绱╅妴鍌涙瀮缁旂姷澧楅弶鍐ㄧ潣娴滃骸甯拋妞剧稊閺夊啩姹夐敍宀冨閹劏顓绘稉鐑橆劃閺傚洣绗夌€规粏顫﹂弨璺虹秿娓氭稑銇囩€硅泛鍘ょ拹褰掓鐠囦紮绱濈拠鐑藉仏娴犺埖鍨ㄩ悽浣冪樈闁氨鐓¢幋鎴滄粦閿涘本鍨滄禒顒佹暪閸掍即鈧氨鐓¢崥搴礉娴兼氨鐝涢崡鍐茬殺閹劎娈戞担婊冩惂娴犲孩婀扮純鎴犵彲閸掔娀娅庨妴锟�
返回 浅黑科技 返回首页 返回百拇医药