深 入 敌 后 ， 先 黑 客 一 步 保 护 网 络 安 全 是 一 种 什 么 样 的 体 验 ？

所 谓 “ 魔 高 一 尺 道 高 一 丈 ”， 这 些 人 潜 入 地 下 网 络 ， 看 着 罪 犯 一 步 步 形 成 他 们 的 阴 谋 、 出 售 他 们 的 工 具 。 最 近 一 个 周 三 的 早 上 ，100  名 情 报 分 析 师 挤 进 了 一 个 没 有 特 征 的 会 议 室 ， 并 通 过 拨 号 接 通 了 群 组 电 话 ， 和 来 自 阿 根 廷 、 巴 西 、 塞 浦 路 斯 、 印 度 、 荷 兰 、 罗 马 尼 亚 、 西 班 牙 、 台 湾 和 乌 克 兰 的  100  位 对 手 碰 了 个 头 。 待 在 会 议 室 里 的 时 候 ， 这 些 分 析 师 彼 此 之 间 通 报 着 “ 暗 网 ” 的 最 新 进 展 。 在 位 于 美 国 弗 吉 尼 亚 州 尚 蒂 利 的 安 全 公 司 iSight 的 总 部 ， 情 报 分 析 师 正 在 电 脑 前 工 作 。 图 片 来 源 ：Gabriella Demczuk for The New York Times 巴 基 斯 坦 的 一 家 安 全 公 司 正 在 赚 着 一 笔 小 外 快 ， 以 最 少 500 美 元 一 套 的 价 格 出 售 着 它 的 谍 报 工 具 。 已 经 有 数 家 美 国 公 共 事 业 公 司 遭 受 了 攻 击 ， 一 个 犯 罪 组 织 又 重 施 故 伎 ， 用 一 种 新 型 “ 勒 索 软 件 ” 感 染 并 锁 定 受 害 者 的 电 脑 ， 直 到 收 到 赎 金 之 后 才 会 解 锁 。 和 军 事 上 的 侦 察 员 提 供 敌 军 情 报 很 像 ， iSight Partners 是 一 家 提 供 计 算 机 安 全 威 胁 情 报 的 公 司 ， 它 的 雇 员 ， 也 就 是 那 些 分 析 师 ， 都 很 小 心 地 不 说 出 人 名 或 者 客 户 的 名 字 ， 以 防 公 开 线 路 上 的 某 处 有 人 监 听 。 半 小 时 后 ， 他 们 就 都 回 到 了 键 盘 旁 边 ， 监 控 暗 中 进 行 的 聊 天 和 隐 秘 的 市 场 、 分 析 可 以 造 成 伤 害 的 计 算 机 代 码 、 监 视 潜 在 攻 击 者 所 在 的 网 络 ， 并 仔 细 查 看 社 交 媒 体 上 有 关 即 将 发 生 的 攻 击 的 迹 象 。 对 于 公 司 所 关 注 的 事 情 ，iSight 的 首 席 执 行 官 约 翰 · 沃 特 斯 用 军 事 术 语 来 形 容 。 在 过 去 8 年 里 ，iSight 一 直 在 默 默 组 建 着 可 能 是 这 个 新 兴 行 业 里 最 大 的 私 人 专 家 团 队 —— 这 个 行 业 叫 作 威 胁 情 报 业 （threat intelligence）。 在 公 司 的 311  位 员 工 中 ，243  位 是 所 谓 的 网 络 情 报 专 家 ， 公 司 高 管 说 ， 如 果  iSight  是 一 家 由 政 府 经 营 的 网 络 情 报 机 构 的 话 ， 这 样 的 统 计 数 据 能 让 它 排 进 世 界 前  10—— 不 过 由 于 公 司 行 为 天 然 的 隐 秘 属 性 ， 这 个 统 计 数 据 是 无 法 查 证 的 。 iSight 的 分 析 师 每 天 都 在 地 下 网 络 中 挖 掘 信 息 ， 然 后 拼 凑 出 黑 客 的 意 图 、 目 标 和 技 术 ， 从 而 为 他 们 的 客 户 提 供 一 些 信 息 ， 比 如 警 告 他 们 即 将 迫 近 的 攻 击 ， 以 及 被 用 来 侵 入 计 算 机 网 络 的 最 新 工 具 和 技 术 。 按 照 iSight 的 首 席 执 行 官 约 翰 · 沃 特 斯 （John P. Watters） 的 说 法 ， 公 司 的 关 注 点 在 于 “ 防 止 爆 炸 的 发 生 ”（left of boom）， 这 是 一 个 军 事 术 语 ， 指 的 是 爆 炸 装 置 爆 炸 之 前 的 时 刻 。 沃 特 斯 今 年 51  岁 ， 是 一 个 高 个 子 的 德 州 人 ， 他 的 标 准 制 服 就 是 夏 威 夷 短 裤 和 定 制 的 牛 仔 靴 。 在 谈 到 网 络 威 胁 时 ， 他 常 常 拿 战 争 中 的 情 况 来 做 类 比 。 “ 当 我 们 进 入 伊 拉 克 时 ， 导 致 人 员 伤 亡 最 多 的 并 非 狙 击 手 ，” 他 说 。 而 是 因 为 隐 蔽 的 爆 炸 装 置 。“ 我 们 一 直 没 能 走 在 威 胁 的 前 面 ， 直 到 我 们 开 始 自 问 ：‘ 谁 在 制 造 这 些 炸 弹 ？ 他 们 是 如 何 得 到 原 材 料 的 ？ 他 们 是 如 何 引 爆 它 们 的 ？ 我 们 如 何 能 在 炸 弹 被 放 置 到 那 些 地 方 之 前 就 进 入 这 个 循 环 里 ？’” 他 继 续 说 ：“ 我 们 的 业 务 就 是 追 踪 那 些 武 器 商 人 和 炸 弹 制 造 者 ， 所 以 我 们 能 防 止 爆 炸 的 发 生 ， 并 避 免 它 造 成 影 响 。” 到 目 前 为 止 ，iSight 的 投 资 人 已 经 为 公 司 投 入 了 6000  万 美 元 ， 他 们 相 信 公 司 的 服 务 会 在 防 止 威 胁 发 生 的 战 争 中 填 补 一 大 关 键 空 白 。 大 多 数 安 全 公 司 ， 比 如 FireEye 、 赛 门 铁 克 、 Palo Alto Networks 和 英 特 尔 的 安 全 部 门 ， 它 们 关 注 的 都 是 拦 截 或 者 检 测 正 在 发 生 的 侵 入 行 为 ， 或 者 在 攻 击 发 生 之 后 处 理 它 们 。 iSight 则 直 接 瞄 准 了 敌 人 。 它 的 分 析 师 中 的 很 多 人 都 能 说 流 利 的 俄 语 、 汉 语 普 通 话 、 葡 萄 牙 语 和 其 他 21  种 语 言 ， 他 们 会 潜 入 地 下 网 络 ， 看 着 罪 犯 一 步 步 形 成 他 们 的 阴 谋 、 出 售 他 们 的 工 具 。 公 司 的 客 户 包 括 280  家 政 府 机 构 ， 以 及 银 行 和 信 用 卡 、 医 疗 、 零 售 和 石 油 天 然 气 公 司 。 分 析 师 的 报 告 会 帮 助 客 户 确 定 最 迫 近 的 威 胁 和 可 能 造 成 毁 灭 性 后 果 的 威 胁 的 先 后 顺 序 。 安 全 专 家 说 ， 现 在 对 此 类 情 报 的 需 求 是 有 史 以 来 最 大 的 。 在 过 去 3 年 间 ， 各 类 公 司 都 一 直 在 “ 大 数 据 ” 分 析 工 具 上 投 资 ， 这 些 工 具 可 以 在 有 人 做 出 非 常 行 为 时 发 出 警 报 —— 这 些 非 常 行 为 包 括 获 得 进 入 中 国 一 台 服 务 器 的 权 限 、 建 立 私 人 连 接 ， 或 者 从 公 司 网 络 中 抽 取 数 量 非 同 一 般 的 数 据 。 这 些 工 具 带 来 的 是 持 续 不 断 、 令 人 困 惑 的 噪 音 。“ 除 了 一 些 最 成 熟 的 组 织 以 外 ， 其 他 大 部 分 公 司 都 被 淹 没 在 了 警 报 里 ，” 安 全 公 司 Optiv 的 首 席 安 全 官 杰 森 · 克 拉 克 （Jason Clark） 说 。 根 据 一 月 份 由 追 踪 数 据 泄 漏 的 Ponemon Institute 发 布 的 研 究 结 果 ， 平 均 算 下 来 ， 每 个 组 织 每 周 要 收 到  16937  次 警 报 ， 其 中 只 有  19% 被 认 为 是 “ 可 靠 的 警 报 ”， 只 有 4% 的 警 报 能 得 到 调 查 。 当 罪 犯 制 造 了 足 够 的 噪 音 、 以 致 终 于 引 发 全 面 调 查 时 ， 金 融 服 务 公 司 要 想 发 现 它 们 ， 平 均 要 花 3 个 多 月 ， 而 零 售 商 则 要 花 半 年 多 时 间 。 “ 制 造 更 多 的 警 报 不 过 是 在 浪 费 数 十 亿 的 风 投 资 本 罢 了 ，”iSight 的 一 位 投 资 人 、Bessemer Venture Partners 的 合 伙 人 大 卫 · 科 文 （ David Cowan ） 说 。 他 说 ， 负 责 网 络 安 全 的 高 管 最 不 需 要 的 就 是 更 多 的 警 报 ，“ 他 们 没 有 时 间 ， 他 们 需 要 人 手 ， 需 要 可 以 让 人 采 取 应 对 措 施 的 威 胁 情 报 ”。 科 文 和 其 他 人 都 提 到 了 2013  年  Target  连 锁 超 市 发 生 的 事 故 ， 当 时 这 家 零 售 商 忽 略 了 一 个 警 报 ， 从 而 让 罪 犯 从 它 的 网 络 上 窃 取 了  4000  万 名 顾 客 的 详 细 支 付 信 息 。 此 前 一 年 ，iSight 曾 警 告 它 的 客 户 说 ， 罪 犯 们 正 在 编 写 和 出 售 专 门 用 来 从 现 金 收 银 机 里 抓 取 支 付 数 据 的 恶 意 软 件 。 如 果 Target  听 取 了 那 次 警 告 ， 那 它 网 络 中 存 在 的 暂 时 性 问 题 也 不 会 没 人 重 视 。 “Target 面 对 的 是 所 有 零 售 商 每 天 都 会 面 对 的 问 题 ，” 沃 特 斯 说 ，“ 它 们 每 天 都 会 被 淹 没 在 潮 水 般 的 严 重 警 报 里 。 如 果 没 有 威 胁 情 报 ， 它 们 从 中 发 现 正 确 警 报 的 概 率 大 概 和 玩 轮 盘 赌 差 不 多 。” 研 究 机 构 Gartner 预 计 ， 在 两 年 的 时 间 里 ，iSight  所 处 的 威 胁 情 报 市 场 的 规 模 将 会 从  2013  年 的  2.55  亿 美 元 增 长 到  10  亿 美 元 。Gartner 预 计 ， 到 2018 年 ，60% 的 公 司 会 在 安 全 防 御 策 略 中 包 括 威 胁 情 报 这 一 项 。 iSight