一次持续 15 年的网络安全“攻防之战”

2019 年 10 月 11 日

一次持续 15 年的网络安全“攻防之战”

2003 年 7-8 月,冲击波病毒爆发,对网络安全造成严重影响,尤其是校园网。冲击波病毒不仅使得校园网变得卡顿,还会在学生电脑上强制弹出一个倒计时窗口,60 秒后自动关机,给学生正常使用电脑和网络造成了极大不便。正值学生时代的邓欣通过第三方工具帮助同学查杀病毒,周围同学电脑上的冲击波病毒在他的帮助下被顺利清除,也让年轻的邓欣与网络安全结下了不解之缘。

大学毕业后,邓欣加入了腾讯,开始了网络安全的从业生涯。



结缘网络安全


在邓欣加入腾讯初期的那个年代,QQ 木马盗号的情况时有发生。在这背后,其实隐藏着的是一个巨大的黑色产业链,不法分子通过病毒木马盗取大量 QQ 号再进行转卖变现,整个过程可以获得上千万的利益。因为巨大利益的存在,黑客团体也有组织地开发木马、传播木马,以非法盗取用户 QQ。


在这一严峻形势下,腾讯成立专项组反击病毒木马,打击盗取 QQ 的不法行为,邓欣团队通过对病毒的精准识别,对其进行有效查杀;并且通过腾讯电脑管家和 QQ 联动,为 QQ 增加多重防护,这些举措使得 QQ 的安全性显著提升;同时通过溯源定位盗号团伙并进行法务打击,盗取 QQ 的案件量不断下降。


在专注于网络安全防护的同时,邓欣也在研究新型的网络攻击技术,做到攻防一体,不断提升自己对于网络安全的专业能力。而其团队也通过深入研究新型的网络攻击技术,反其道而行,开发对应的防御产品,整体提升团队对于网络攻防的理解和认知。


腾讯的工作经历让邓欣在网络安全领域积累了丰富的实践经验,在系统漏洞攻防和业务风险控制等领域构建起完善的知识体系。在腾讯期间,邓欣团队也曾于 Pwn2Own[1] 大赛斩获冠军头筹。


回望腾讯的 11 年工作历程,邓欣坦言,这段经历对其专业技术能力上的提升夯实了基础。作为中国最早一批发展起来的互联网公司——腾讯也是最早面临安全问题的企业之一。如前面提到的 QQ 账号安防事件,这个业务的体量足够大,系统的复杂程度足够高,安全技术人员在这里得到的锻炼也就很多。这样的背景,能够让邓欣这样一群人有机会不断的提升自己的专业能力。


安全事业上的新征程


在腾讯的工作期间,为邓欣构筑起完善的网络安全理论体系。


不论是技术团队管理还是整个公司的管理框架上,腾讯的经历都让邓欣成长了许多。随着对网络安全认知的加深,邓欣开始谋求一个跳出舒适区,寻找更好体现自身价值的机会。在采访中,邓欣提到,技术人员不能只是埋头做技术,而是应该聚焦于技术能用在什么地方,挖掘技术的实用价值。


在一颗“不安分”的心的驱动下,邓欣选择进入到一家创业公司——永安在线(原威胁猎人),并依然在他喜爱的网络安全领域下继续发力。


在国内,黑灰色产业链发展非常成熟,无孔不入。比如,网络营销活动中使用虚假账号薅羊毛、直播/ 短视频软件上刷点击量和刷粉丝、电商平台刷单、出行平台刷单、游戏刷道具和刷金币……这些问题需要通过构建网络安全体系去限制和解决。


中国的互联网行业的发展伴随着互联网黑灰产行业的发展,在某种程度上来说,两者是同时并存的。


其一,中国的互联网行业发展是最迅速的,不管是从移动支付还是其他层面来看,中国互联网行业都处于领先地位。如果互联网发展基础薄弱,互联网黑灰产也会没有太多发展基础;其二,如今很多传统企业都在大力发展互联网业务,或是通过互联网进行营销活动拓展客户,但相对缺乏网络安全的全面认知,网络安全建设工作也并不健全,导致被黑灰产利用;其三,中国在网络安全技术上的发展是比较快的,年轻人也有很多机会接触和学习到各种黑客知识、技术和工具,在巨大的利益诱惑面前,有不少人误入歧途从事黑灰产行业。


邓欣希望能解决这些问题。而解决这类问题的源点在于,你得知道“根源”在哪里


用他自己的话说,即“安全的工作是攻防一体的事,如果你只做防御,而不知道攻击者怎么攻击你,就像当年法国军队构筑的马奇诺防线,虽然做了层层防御,攻击者却可以绕道而行”。这也是邓欣团队为何热衷于参与 Pwn2Own、GeekPwn 等黑客大赛的重要原因之一。


目前永安在线的技术团队成员加起来三四十人有余,其中一部分人员主要负责产品的研发,另一部分主要负责研究黑灰产。通过深入挖掘黑灰产业链,探索更好满足客户需求,解决客户问题的产品。黑灰产是一个完整和成熟的产业链,有自己的上游、中游和下游,这个链条上存在着一些比较核心的节点,为黑灰产从业人员提供关键的资源支持和技术支持。永安在线现在的主要工作就是抓住这些核心节点,对节点进行感知和布控,从而准确发现通过这些节点进行的恶意攻击行为和数据,比如:发现恶意注册手机号,恶意攻击使用的 IP 地址等。


无论是从人员规模上,还是业务体量上,永安在线都仍属于上升与扩增阶段。在这个过程中,既需要技术团队管理者能抬头看路,把控业务战略的前进方向,也需要适时地“低头走路”,了解产品和技术的细节。这两方面的兼顾与平衡并不是一件易事。相信有不少创业者都会面对这样的难题。


对此,邓欣的经验和建议是:逐渐把低头做事的比例降低,将具体的业务细节交给有能力或有潜力的员工完成,管理层则聚焦于抬头看路,制定公司的未来发展方向。安全行业技术迭代非常快,技术管理者应时刻关注技术发展的动态,同时结合行业现状和公司实际情况,参与制定公司的发展战略。


当前,永安在线的技术团队管理比较灵活,也会参考和借鉴一些腾讯的成熟管理经验,比如会将产品研发人员和安全研究人员划分开,产品研发人员需要具备良好的编码能力和工程化能力,能够打造完备、成熟和稳定的产品。目前邓欣将研发团队交给了值得信任的研发主管来管理。同时,永安在线设有专门负责安全研究的“鬼谷实验室”,邓欣带领实验室的发展。这些研究人员会负责黑灰产的挖掘、威胁情报的收集、反欺诈模型的建设等工作,很多时候邓欣只需要设定目标和执行路径,具体的执行完全交给他们来完成。邓欣相信在他的带领下,这些年轻人会像以前的自己一样,很快的成长起来。


带团队打胜仗的三件最重要事


邓欣认为,带领技术团队打胜仗的过程中,有三点非常重要。


第一点,创业公司的技术团队就要有创业精神,和部分大公司技术团队按部就班的感觉不同,很多事就得不断尝试不断向前冲,冲过去才有回报,管理者还要冲在最前面;第二点,互联网的发展是非常迅速的,黑灰产也在不断的发展和迭代,技术团队需要保持空杯心态,不断学习新的知识和技术;第三点,公司的核心在于人才,团队应该不断地吸纳优秀的人才加入。对于人才而言,一方面悉心教导和培养有潜力的年轻人,让他们成长起来并最终能承担重任,另一方面给予他们足够多的成长和施展才能的空间和机会,必要时可以放权。总的来说,就是要不断提升团队的战斗力!


邓欣坦言,人才是对于创业公司而言是最核心的。相对于整个行业而言,网络安全的人才还是很匮乏的。永安在线对于网络安全方面的人才重视程度非常高,在腾讯的工作经历,使得邓欣对网络安全人才有了自己的衡量标准,出来后也依照这个标准去招聘员工或开展工作。


邓欣认为,选人的标准首先需要对网络安全抱有极大的热情,其次需要有良好的学习能力。学习能力体现在员工自身的工作实践中,在完成了公司安排的工作之后,还主动去了解和学习其它东西,并尝试用于实践。另外,邓欣还非常看重员工的一个素质,就是执行力,即能够将计划的任务快速高效的落实,并及时汇报进度,而不需要别人从旁推动。


Q&A


TGO 鲲鹏会:在企业互联网转型或上云的过程当中,网络安全往往不在优先级那么高的事项当中。那其中很重要的原因是什么?因为安全成本吗?


邓欣:主要是因为安全自身无法带来收益。在企业发展初期往往更注重于业务规模的增长,这个合情合理。当安全成为限制企业发展的瓶颈时,才会引起重视。以社交软件为例,在业务快速发展时,一般会容忍黑灰产注册的小号或机器人账号,但是当这些账号发布太多垃圾和不良信息充斥平台时,严重影响到平台合规性和用户体验时,就会引起重视,采取措施进行治理。因此网络安全的建设存在一定的滞后性。


TGO 鲲鹏会:网络安全该投入多少您有什么建议吗?


邓欣:投入多少还是要取决于业务发展的情况,但是业务发展早期管理者应该有基本的网络安全意识,并且知道什么时候该投入。网络安全的最理想状况是甲方乙方的联防联控,共同推进网络安全体系的构建,但是这在实际的推进过程中会有较大难度。另外,在系统框架搭建的早期,技术人员就应该考虑到安全因素,同时在设计业务逻辑的时候设置一道底线,避免系统发生失控的状态。


TGO 鲲鹏会:网络安全领域是攻与防的博弈,同时也是投入与产出的博弈。在两种博弈中,您认为最重要的是做到什么?技术管理人员有网络安全领域的认知吗?


邓欣:从攻防的角度来看,尽量做到 “知己知彼”。从投入的角度来看,在企业发展早期,业务规模并不大,安全上的投入自然也要谨慎;当业务规模起来以后,安全问题就显得日渐重要起来,这时候技术管理人员应该对网络安全问题引起足够的重视,才能保证业务的健康有序发展。


TGO 鲲鹏会:网络安全市场的人才缺口比较大,腾讯和 360 这样的大厂往往更受人才的青睐,您怎么看待这种现象?


邓欣:对于一些优秀人才而言,他们会优先选择大厂,因为在大厂里工作更有保障,而且腾讯这样的大公司业务结构复杂,新人能够接触到小厂接触不到的东西。不过,大公司发展成熟分工明确,每个人基本只会负责一小块业务。长期来看也许会接触到其他业务,但短期内一般都会将新人固定在一个岗位上,得到的锻炼机会并不多。另外大公司的网络安全体系建设已经比较成熟和完备了,很多东西前人都已经打造好了,新人很难有机会经历一个东西从 0 到 1 的建设历程。


[1]Pwn2Own,世界著名的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe 等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。


活动推荐


10 月 26 日,GTLC 成都站将在成都市高新区正式拉开帷幕。环球易购 CTO& 前苏宁科技集团副总裁乔新亮、TGO 鲲鹏会成员 & 知道创宇 CTO & COO 杨冀龙等一批业界优秀的技术领导者,将悉数到场,分享领先的技术管理思考与理念,从而为成都本地的技术人提供一次丰富的、深度的探讨学习及拓展人脉的平台或机会。点击「详情」查看 GTLC 成都站相关内容,现在购买 3 张以上门票还可以享受团购优惠——169 元 / 张,多买多优惠哦!




TGO鲲鹏会,是极客邦科技旗下高端技术人聚集和交流的组织,旨在组建全球最具影响力的科技领导者社交网络,线上线下相结合,为会员提供专享服务。目前,TGO 鲲鹏会已在北京、上海、杭州、广州、深圳、成都、硅谷、台湾、南京、厦门、武汉、苏州十二个城市设立分会。现在全球拥有在册会员 800+ 名,60% 为 CTO、技术 VP、技术合伙人。


会员覆盖了 BATJ 等互联网巨头公司技术领导者,同时,阿里巴巴王坚博士、同程艺龙技术委员会主任张海龙、苏宁易购 IT 总部执行副总裁乔新亮已经受邀,成为 TGO 鲲鹏会荣誉导师。



2019 年 10 月 11 日 18:371540
用户头像
Cherry倩芸 InfoQ高级策划编辑

发布了 51 篇内容, 共 16.0 次阅读, 收获喜欢 33 次。

关注

评论

发布
暂无评论
发现更多内容

Java如何处理异常情况

Rayjun

Java 异常

如何搞定Kafka重复消费?

奈学教育

kafka kafka配置

《零基础学 Java》 FAQ 之 8-Java方法调用是传值还是传引用

臧萌

Java

少说废话,先干起来

白鸽

学习 个人成长 自律

机会,是不会让你准备好的

Winann

学习 生活 知识管理 机会

从零到部署:用 Vue 和 Express 实现迷你全栈电商应用(一)

图雀社区

node.js vue.js Vue

比AtomicLong更优秀的LongAdder确定不来了解一下吗?

一枝花算不算浪漫

并发编程 jdk源码

【高级进阶】写给大忙人看的JDK14新特性

知春秋

Java java 14 java 14 新特性

都前后端分离了,咱就别做页面跳转了!统统 JSON 交互

江南一点雨

spring Spring Boot spring security

浅谈Cloud Native技术对云上产品的影响

韩超

Docker Kubernetes 云原生 IaaS PaaS

码农理财(一)

北漂码农有话说

理财

一种练好英语口语的方法

七镜花园-董一凡

学习

Collaboration on SaaS

zhenglei

SaaS Collaboration Cisco Webex

计算机中的递归对普通人有什么启示?

BitSea

算法

微服务为什么要有服务发现与注册?

攀岩飞鱼

微服务 微服务冶理 微服务发现

回“疫”录(19):都什么时候了,还在搞“填表抗疫”

小天同学

疫情 回忆录 现实纪录 纪实 形式主义

笔记:《如何系统思考》之如何应用系统思考

wiflish

思维方式

有问必答(2020-05-09):如何督促自己做好一件事情?

冯夷

生活

键入网址后,其间发生了什么?

小林coding

TCP 计算机网络 网络协议 IP HTTP

EasyExcel最权威教程

知春秋

Java Excel EasyExcel

Docker 镜像制作教程:针对不同语言的精简策略

米开朗基杨

Docker Dockerfile

2020第一篇技术博客

java劝退师首席大弟子

生活

写作对我的意义

Neco.W

总结 思考 写作 感悟

程序员的晚餐 | 5 月 17 日 当西红柿遇上鱼

清远

美食

Kotlin协程实践之进程、线程、协程

陈吉米

Java kotlin 协程 Coroutine

2020年比以往任何时候更想做成的使命感

乐少

发布Maven包的正确姿势

廖雪峰

maven 开源

从连续两届图灵奖(2018-2019)看GPU发展史

GPU

人工智能 gpu 计算机基础 计算机图形学 计算机体系结构

11 万字的字节码编程系列合集放送(ASM、Javassist、Byte-buddy、Javaagent)

小傅哥

Java asm bytebuddy 《字节码编程》

DevOps生命周期,你想知道的全都在这里了!

DevOps 测试 持续集成

游戏夜读 | Scikit-learn迎来0.21版本

game1night

一次持续 15 年的网络安全“攻防之战”-InfoQ