為了成為「液态世界」中的「安全穩态」,網絡安全團隊要怎麼做?
「我們處在一個液态的世界,所有東西都在不斷地流動,不斷更新。」
2020 年,凱文·凱利在演講中指出:現如今,資料——不管你是做房地産、醫藥、化工,還是教育,都是資料,流動的資料将催生技術超體。
這種「技術超體」的直接載體,如今成為了我們日常的一部分。
正如支付寶圍繞「衣食住行」為我們打理一切與錢相關的日常,微信成為工作和生活的重要溝通工具那樣,一切的背後都是資料。我們不必帶上錢包,手機掃描二維碼,便能将錢從一個地點或一個人轉移到另一個地點或另一個人,不必特意找到公用電話,就能知道他人的目前狀态。
這是一種巨大的變化,從 PC 時代一路走到移動網際網路時代的大多數人們,在這種變化中體會到的是技術進步帶來的高效、便捷、零距離。但在技術從業者和極客們的眼中,看到的則是危機并存的資料化浪潮。
資料安全從來沒有像今天這樣重要。
不久前,在剛剛落幕的 GeekPwn 2022 安全極客大賽中,來自螞蟻集團的天穹與光年實驗室共同組成的戰隊完成高技術難度挑戰,榮獲 G-TOP 年度極客榜冠軍,而兩位年輕的獲勝者,也再一次站在國内安全領域的聚光燈之下。極客公園也在賽後和他們聊了聊,探究這群年輕人如何走上網絡安全,并成為螞蟻集團「安全堡壘」中不可或缺的一份子背後的故事。
01
極客少年,
逐夢「奪旗」
GeekPwn 與 Pwn2Own、Defcon 并稱世界三大黑客賽事,是全球最大關注智能領域資訊安全的極客大賽。
每一年,中國的頭部網際網路公司、資訊安全公司、高等院校、科研機構等衆多頂級極客隊伍參賽,如同技術時代的「啄木鳥」,尋找那些我們常用的系統或軟體漏洞。這些漏洞的發現,能更好幫助網際網路公司,提高産品安全性。
都說「黑客出少年」,實際上不僅是「黑客」,業界有許多優秀的「白帽」也年少成名,他們懂「黑客」技術,但選擇用技術保護網絡安全,在每一次呼吸之間,都在思考怎樣發現漏洞、消滅漏洞。
本次 GeekPwn 2022 賽場上,便閃耀着無數青年「白帽」的身影:清華大學 NISL 物聯網安全研究小組、19 歲拿下最強大腦「全球腦王」的天才少年鄭林楷、CTF 賽事比賽選手等新生力量,都在這場關注智能安全的極客技術挑戰賽上一展風采,蔣宇豪(幹拉)和應鑫磊(骛望)便是參與此次大賽,來自螞蟻安全天穹及光年實驗室中的兩位年輕「白帽」。
蔣宇豪(幹拉)和應鑫磊(骛望)
「00 後」幹拉在高中時期讀完《龍紋身的女孩》一書後,對黑客産生了強烈的好奇,并在随後逐漸了解了網絡安全相關知識。大學期間,幹拉通過努力加入了國内著名的資訊安全社團 Vidar-Team。
這是一支成立于 2008 年的團隊,其名稱中的 Vidar 一詞來源于北歐神話「諸神黃昏」中幸存于難、帶領人類重建了家園的神 Víðarr,這支名稱很酷的隊伍由杭州電子科技大學一群熱愛資訊安全的同學自發成立,并作為高校戰隊活躍于各大 CTF(Capture The Flag,網絡安全技術人員之間進行技術競技的一種比賽形式,也稱奪旗賽)賽事,采訪時,幹拉仍記得自己剛加入社團時的難忘經曆:
「正式加入團隊之後,我們幾個大一新生建了一支小隊,進去打了一個 0CTF 比賽。當時在學校一個會議室,通宵打了 2 天,那時候我們大概十來個人就一直在會議室裡面做題目,去努力攻克這個挑戰,到第二天中午解出來了,還進入了全國高校隊伍的前十,就感覺這種氛圍特别好,這對我來說也是很多的鼓勵。」
談到自己在大學社團的經曆,幹拉坦言,社團在 Web 開發及滲透、逆向工程、二進制、Windows&Linux、移動安全等領域的研究和學習,對于自己的提升很大,大學社團時期的各種比賽,也成為進入職業生涯中不可或缺的一部分。
不同于幹拉,另一位「90 後」骛望在國中時代接觸到了《電腦報》等雜志,大學時代,他身邊并沒有 Vidar-Team 這樣的優秀社團,于是他轉而通過圖書館自學,他提到了自己經曆的 PC 時代「大事件」:
「我也經曆過熊貓燒香和以前的蠕蟲病毒這些事件,當時接觸 PC 的時候感覺裡面不止有很多破壞,還有很多對抗,是以就投入時間去研究。」
他表示,由于自學經常遇到各種疑惑,自己便通過參加 CTF 比賽的方式進一步結交志趣相投的朋友,這是提升資訊安全方面技術能力的好辦法:「大家會有一個共同的目标去做一些事情,彼此形成了一些契合度,一起學習和鑽研這方面的知識。」
相同的愛好讓兩人組成了團隊,在加入螞蟻安全實驗室後,他們在虛拟化方向上找到了許多技術突破點。
虛拟化誕生的目的是讓環境更安全,由于其存在與外部實體機互相隔絕,是以一些操作都會被放入虛拟化環境中完成,這樣即便出現病毒感染或其他問題也不會影響外面真正的電腦。要在這樣的一個虛拟環境上進行突破,技術難度可想而知。
幹拉透露,通過找出虛拟機中存在的漏洞,他們不僅成功破解了最新虛拟機産品 VMware Fusion,在 1 分鐘内迅速奪得了主控端的所有控制權限,還擷取了主控端内的指定的機密檔案。
這一項目最終在比賽現場拿到了 6.04 分——GeekPwn 曆年最高分,成為本屆比賽含金量最高獎金最多的項目。
但當被問及是否擔心最終失敗時,骛望談道:「并不能保證 100% 穩定成功,但通過實驗室長期實踐沉澱下來的漏洞挖掘技術手段,能夠大幅提升成功率。」這或許也是他們如此有信心的重要原因。
成立 6 年,作為螞蟻基礎安全攻防、紅藍對抗演練的主力軍,天穹實驗室和光年實驗室沉澱了一套完整自主研發的全自動漏洞挖掘技術方案。
憑借這套技術,在 2020 年,兩大實驗室僅用三個季度,就拿下蘋果 47 次漏洞緻謝,位列當年全球緻謝數排行榜第一。這 47 次緻謝中,包含系統庫、浏覽器、核心等多個層面,幾乎都是高危漏洞,部分漏洞獲得高危評分。
如今,兩個實驗室進行了組織更新,光年并入天穹旗下運作。兩個實驗室各有專攻,天穹做紅藍對抗演練,光年是基礎軟體及裝置的安全研究,合力建設頂尖的安全攻防能力,助力螞蟻和整個行業安全水位的提升。
02
用技術打造隐形之盾
為什麼這樣一群年輕人會投身到安全産業,持續不斷地研究新技術并做出大膽突破?
當抛出這個問題時,我的腦海中浮現出的是「興趣」「黑客情結」等答案,但幹拉卻給了我一個出人意料的回答:
「我覺得做白帽是對社會能産生價值的一個正确的方式,讓我們去保障整個網絡空間的安全。通過挖掘有影響力的漏洞,讓社會了解到這個安全問題的危害,然後我能夠督促廠商修複這些安全問題,讓他們增加對安全的重視,這是一個正向的路,也是能讓我感受到網絡安全的技術魅力的地方。」
從一個「00 後」白帽的口中聽到這樣的回答,不免讓人更加好奇,螞蟻安全實驗室究竟具備怎樣的特質,吸引這樣的年輕人加入,實驗室又是怎樣篩選出出色的年輕極客加入,關于這個問題,螞蟻安全天穹實驗室負責人曲和說:
「我們在國内主要是招聘三個層面的同學。首先是幹拉這樣屬于在學校裡就參加過各種大賽的,并且有豐富的實踐經驗以及參賽經驗,同時基本功非常紮實的同學;另一種是剛畢業一兩年,在企業工作過,有一定的安全研究經驗,可能他的成果不是那麼多,但是具備一些潛質或者說思維活躍,對一些問題有獨特看法;第三類是行業中已經有影響力,做出過一些高品質成果的同學,這類同學是比較難招的,我們就會和他們長期溝通。」
他同時提到,團隊内一些優秀的研究同學,通常會具備一些不同尋常的研究思路。比如此前團隊招的一個同學,他在一個比賽中攻破了一款虛拟機,雖然整個攻擊路徑的技術并不高深,但其路徑選擇卻很有獨特性,因為這代表着一種可能性,在未來,螞蟻遇到新的項目和技術挑戰時,「也許他的視角會比其他人更新穎一些」。
實際上,人才的多樣性确實大大推動了螞蟻在安全技術方向的突破。
早年間,當支付寶剛剛出現時,黑灰産的侵擾曾讓支付寶團隊下定決心,既要保證使用者資金安全,又要確定使用者體驗順暢,圍繞這個目标,安全團隊打造出大資料風控引擎(CTU),随後,數次更新讓這一風控引擎不斷強化。
伴随「雙十一」的火爆,上億筆支付同時發生,為了解決大量資料帶來的效率問題,螞蟻安全團隊在大資料風控引擎基礎之上又加入了人工智能,成為了大名鼎鼎的 AlphaRisk,這一年,是 2016 年,支付寶智能風控引擎更新到了第五代。而每一代的風控引擎背後,随着産業的發展與變遷,安全下的細分賽道領域不斷豐富增加,逐漸孕育如今的九大安全實驗室這一全新的安全科技組織陣型。
曲和談到,在螞蟻内部有多個安全實驗室在做黑灰産相關的研究和對抗,在黑灰産相關方面的研究工作積澱已久,根據各自的專業特長互相配合,建立了完整的安全研發、安全營運流程和紅藍演練機制,能夠提前規避、發現解決線上風險問題、實時感覺黑産态勢及攻擊行為、快速進行攻防對抗。
如今,包括天穹實驗室在内,螞蟻九大實驗室的成果互相協作,共同為業内的技術更新提供了正确方向和有益補充。例如,天筭、天玑、天塹三大實驗室主攻智能風控、數字身份、資料安全領域攻堅技術和實踐;光年、天穹、非攻三大實驗室側重前沿基礎安全研究和安全水位提升;天穹、天樞、天盟三大實驗室研究重點在于網絡犯罪研究及行業生态協作。
多樣化的技術團隊,使得螞蟻安全實驗室擁有目前全球範圍内數量最多的「AI 安全可信關鍵技術」專利,并成功主導及參與國際标準 14 項,多次獲得國内外行業大賽冠軍,還屢屢因為「白帽子」貢獻獲得國際、國内同行的緻謝。并且,天玑實驗室也是谷歌安卓全球唯一直接授權的生物識别安全性檢測認證明驗室。
而當安全團隊在做好防盜的防禦之後,這群年輕極客們并未止步于此,随後又主動出擊,深入電詐模型研發與技術反制。比如面向使用者端推動的「延時到賬 2.0」。當使用者遭遇詐騙時,這種延時轉賬功能可以為使用者及時報警争取時間,當警方下達止付指令,這筆轉賬就可以原路傳回。
另外還有近年來逐漸成型的「圖計算」,通過研究在詐騙轉賬和正常轉賬之間的資料差異性,實驗室的安全研究員們不斷發掘量化名額,通過圖計算能夠從個案騙子騙錢的蛛絲馬迹中找到異常特征,進而更快速、高效地為可能上當受騙的批量群體使用者輸出個性化千人千面的反詐騙提醒與系統防控,直至資金攔截。
據了解,結合完整風控引擎能力的全圖風控現已實作了在 10 毫秒内對每一筆交易進行欺詐掃描與風險檢測,并且準确率達到 95%。而随着引擎不斷加快、功耗變低,計算間隔不斷縮短,未來的準确率還将繼續提升,而螞蟻内部的安全團隊,如今正通過這樣的「無形之盾」,守護使用者的資訊安全。
03
當黑客「破解人類」
伴随着資訊化技術的快速發展,資料正成為世界上最重要的資産。曾經的 PC 時代網絡安全問題已經改變形态,從系統安全,更新為資料和隐私安全。在數字化生活逐漸加深的過程中,很多人驚訝的發現,在生活中,即便一些很小的細節,一個詐騙電話,一個二維碼,甚至一根不起眼的充電線,就可能造成比 PC 時代更嚴重安全問題,産生可怕後果,正如尤瓦爾·赫拉利所說:
「我們正在進入『黑客攻擊人類』的時代,因為資料是如此重要,這不僅是關于我們去哪裡和購買什麼的消費資料,而是關于我們身體和大腦内部發生的事情的資料。利用資料不僅可以破解計算機,還可以『破解人類』。」
當然,還有我們正在大規模應用的 AI,也将會成為被攻擊的對象,也會成為不法分子的武器。
是以,網絡安全成為繞不過去的一堵牆,這堵牆不僅需要「兵來将擋水來土掩」,還要能夠伴随外部危險的更新不斷加厚加高。曲和也表示,「在螞蟻内部,天穹實驗室和光年實驗室都是九大安全實驗室中的一員,通過九大安全實驗室,以及螞蟻其他安全團隊的共同協作,才有了如今螞蟻的生态安全防線。」
PC 時代,網絡威脅是主要問題,但到了移動網際網路時代,盡管 PC 時代遇到的問題依然存在,人們卻更關注個人隐私和資訊安全問題。
包括螞蟻在内,更多公司都在通過各種手段確定個人資訊不會被盜用或者濫用,尤其是國産手機廠商,也在對使用者資訊安全提高管控,對于詐騙電話/資訊的攔截,對于資料安全和隐私防護都進一步提升,是以像過去 PC 上那種影響範圍很廣的病毒在移動網際網路時代逐漸變少。
但安全水位線依然在不斷提高。所謂的資訊安全,實際是在某個安全假設前提下的安全。是以在實際情況下,行業對于安全需求的了解、共同形成的行業共識都伴随技術的發展,技術的使用門檻、防範能力等而變化,随之而來的,是安全水位線也會随之變化。
凱文·凱利曾提出世界發展的四個規律,第一條便指出,「不論哪一個行業,颠覆不是從内部出現,而是從外部推動」。
在他看來,「搜尋引擎的創新,不是從搜尋開始的。」而網絡安全的創新,也并非資訊安全本身,而是關乎我們衣食住行的各個角度,從掃碼繳費的支付寶,到日常聊天的微信,從高德地圖到大衆點評,當我們談論個人隐私和資訊安全概念的革新,我們或許應該用更深入的視角去體會變化的到來。
當移動支付逐漸興起,普通人看到的是相比紙币更快捷高效,是科技恢宏的一面。但「白帽」們看到的卻是大潮背後的暗面——無論是偷、騙還是當年的 P2P,現在的賭博、詐騙與洗錢,無數黑灰産業也像潮水一樣一波波湧來,大多數人之是以對此感覺不強,是因為背後有強大的「白帽」在護航。