DH3G游戏资讯网

造一个“钢铁侠”帮你揍黑客,有没有搞头?

发表于:2024-12-22 作者:创始人
编辑最后更新 2024年12月22日,文 | 史中浅黑科技夜晚越陷越深,铁柱还在工作。妻子安睡在他身边。他特意把膝头的电脑屏幕调暗,借着幽暗的光芒,他能看到她隆起的小腹。还有几天,他就要做爸爸了。铁柱是好梦公司最重要的人物 --IT 运维

文 | 史中浅黑科技

夜晚越陷越深,铁柱还在工作。

妻子安睡在他身边。

他特意把膝头的电脑屏幕调暗,借着幽暗的光芒,他能看到她隆起的小腹。

还有几天,他就要做爸爸了。

铁柱是好梦公司最重要的人物 --IT 运维工程师,按理来说,他一天也不能离开岗位。

但老婆生娃可是人生大事,领导得知情况,特批他居家工作。

一个礼拜前,他刚给自己开好了远程端口。此刻,他只要在家连上这个端口,输入之前设定的密码,就能进入公司内网日常维护了。

他噼里啪啦拍动键盘,眼睛扫过每一行参数,一切正常。

"嗨,公司的网络防火墙我都配置好了,就算黑客偷偷进来,也会被拦截的嘛!干嘛这么紧张。"他嘟囔。

铁柱合上了电脑,良夜中传来妻子均匀的呼吸。

"一生中总有几个特别美好的夜晚,人间值得。"想着想着,他也沉沉睡去。

翌日早晨八点半,手机铃声大作。

"你怎么搞的!"领导劈头盖脸,"公司电脑全被锁住了,上面显示着英文,说什么交钱才能解锁电脑,我们被勒索了!勒索了你知道吗?!"

铁柱一个鲤鱼打挺,光速冲到公司。

老板电脑上一个猩红的提示框,下面有一行比特币收款地址,旁边是炸弹一般的倒计时。

黑客写得很清楚,公司重要资料都被加密,倒计时之内如果不打钱,所有资料就会永久消失。

末尾,还留下一个近乎嘲讽的诡异表情"0_0"。

铁柱紧急连接公司的网络防火墙,调出昨夜的日志。

他全明白了。

问题正出在几天前他给自己开的远程端口上。

因为觉得全世界只有自己知道公司网络开了这个端口,所以他就随便用"123456"做了密码。

没想到,黑客通过暴力尝试很轻松地就破解了密码,几天前就长驱直入。

但黑客很狡猾,没有直接作案,而是植入了后门程序,方便随时进出。

夜里三点,就在铁柱熟睡的时候,黑客光临了公司网络,开始向电脑植入勒索病毒。

防火墙不是吃素的,第一时间探查到了非法入侵,把攻击指令尽数拦截。

黑客无功而返。

然而,诡谲的事情发生了。

凌晨四点,黑客换了个面具再次蹑手蹑脚摸了进来。由于掌握了铁柱的管理员密码,这次,黑客一上来直接用铁柱的身份把防火墙给关了。

刹那间,网络空间所有的"摄像头"熄灭,恰和夜晚一样漆黑。

记录戛然而止。

后面的故事,也用不着看日志了,看看眼前几十台电脑上齐刷刷的勒索信就都明白了。

铁柱呆坐在原地,灵魂出窍,像拖进度条那样一遍遍把世界从午夜拽到凌晨。

问题到底出在了哪儿??

他先是恨自己设置了弱密码。

可是,就算设置了更强的密码,也难说就一定不会被破解。况且,仅仅一个密码就导致网络被一锅端,也太不科学了。

他又恨自己没有在防火墙上打开强提醒功能。

探测到黑客进攻,防火墙应该给自己拨电话的。可是防火墙存在一定误报率,如果事事都提醒,那肯定不堪其扰。

他又恨自己睡得太早。

如果昨晚再熬几个小时的话,在防火墙被黑客关掉的一瞬间,肯定能发现不对劲。想到这儿,他自己都笑了,世界上有早晨四点还不睡觉的运维工程师吗??

第二天,公司支付了几万元赎金,铁柱被记了大过,黑客满意而归,消失在黑暗里。

这是个悲伤的故事,也是个真实的故事。

除了铁柱和好梦公司是化名以外,其余情节完完全全来自一份"赛博案件卷宗",而且,这起攻击事件就发生在 2021 年。

普通人也许不了解,在广袤的网络空间里,这样的黑客戏码就像魔鬼的舞剧一样一刻不停上演。

黑客吃着薯片动动手指就能发起偷盗和勒索,而"铁柱"们要想守卫自己公司的领土,却连媳妇生孩子的当口都提心吊胆。

事实背后,是两个残酷的结论:

1、虽然现在很多公司都会购买"防火墙"、"入侵检测系统"等等一堆安全产品,但安全产品就像枪、炮、坦克这类武器 -- 武器再好用,也需要战士来操作。而且要日夜坚守,才能荡清敌人。

2、绝大多数中小公司,根本雇不起"战士",像铁柱这样了解一定攻防知识的工程师已经是稀有物种。于是,无数公司就像黑暗森林里的小鹿 -- 尚未成为黑客的猎物,仅仅因为还没轮到你。

那。。。这个世界会好吗?

中哥不敢说,但我知道起码有一群人在为此努力。

这群人组织了一支热血军团,日夜巡逻,专门帮企业胖揍图谋不轨的黑客,犯我强汉者,虽远必诛。

如果仅仅是会打架,还不够高级,最牛的地方在于:他们不是那种穿西装塞耳机的只有总统才有资格用的黑衣特工,而是老百姓都能用得起的"亲民钢铁侠"。

钢铁侠咋还能亲民呢?你看看下面的图就知道了。

黑衣特工个顶个都得是优中选优,拳上能站人,臂上能走马,还得经过 007 一般的训练,那选拔成本和日常开销肯定都杠杠的,一点不亲民,光亲邦女郎了。。。

但钢铁侠就不同了。

它的核心奥义是,不需要每个战士都有 007 一般的战斗力,而是"把一整套黑科技固化成机甲战衣"。

普通战士穿上了机甲战衣,立刻拥有飞天神力,Buff 拉满不比詹姆斯邦德差。如此,既有人的灵性,还不失机器的效率,岂不美哉?

今天中哥就给你讲讲:"钢铁侠"是怎样炼成的。

(一)"钢铁侠"还是"背锅侠"?

2018 年的一天,深信服公司大楼。

产品研发负责人胡斌被领导叫到了公司的打印房里,讨论一件"机密事宜"。

老浅友应该知道,深信服是一家我蛮喜欢的公司。

要我说,他们的核心技能就是一招儿:研发出干净利落的 IT 产品,然后通过遍布全国的销售渠道迅速推进各个企业。

这一招儿看上去确实平淡无奇,但世上的事怕就怕"认真"二字。

在中国 IT 历史上,深信服把这一招儿用得出神入化,接连做出很多"爆款"。就这样一边缓慢抬高广大中国企业(尤其是中小企业)的技术水位,一边自己成长为无法被忽视的 IT 巨头。

这波操作在 20 年的时间里从未变形,一度让围观群众目瞪狗呆。

回到那个打印房,胡斌接到的任务正是研发一个神秘的"新品"--MSS。

MSS 的官方翻译一点都不性感,叫做"安全托管服务",Managed Security Services。我不喜欢这个翻译,要我说,MSS 应该翻译成"没啥事"。

因为,MSS 的功能就是:

派一群专家天天在线帮客户盯着网络安全,没事儿帮你巡逻,有事儿帮你摆平,那客户不就"没啥事"了么?

胡斌

话说,胡斌可是从 2013 年起就负责深信服的产品研发,很多爆款都是他从头规划的,大风大浪全见识过,妥妥地算是"老炮儿"了。

可是那天听到 MSS,他却皱起了眉头。。。

这么说吧,原来深信服就像是"卖武器的"。

我把一整套枪炮卖给你,你自己去用,后面我作为厂家就只管保修了,你得真的学会用枪才能抓到小偷。

(就像下面这样,瑞克把枪卖给莫蒂,莫蒂自己去搞定怪兽。)

可 MSS 却不是这样。本质上它卖的不是"武器",而是"抓小偷"的服务 -- 我得实打实派出一群"保安大队"日夜在人家公司巡逻。

这种情况下,如果小偷来了我没逮着,那人家肯定要问:你是干啥吃的?

(所以"卖服务"的话,就像下图,瑞克姥爷要亲自下场。)

如果让中哥选,我肯定选择卖武器,我才不想做抓小偷的服务呢。

又累又麻烦,抓住小偷是钢铁侠,抓不住小偷秒变背锅侠,你说是不是这个理儿?

"老炮儿"胡斌当然更明白,抓小偷这个活儿,挺难干的。

讲到这儿,不妨暂停一下,中哥先给你普及一下"世界大势":

从天空俯瞰,这几年随着全球经济增速变缓,各个产业都迎来一波巨变。

别的不说,单说"黑客"行业:

过去,黑客专注于搞大企业,因为大企业钱多嘛。

所以大企业没办法,不仅要买各种防火墙、入侵检测,还会雇佣一堆昂贵的"御林军"(全职网络安全人员)来保卫自己的安全。

现在,经济形势不好,黑客也学会了"拓宽业务"、"精细化运营",于是盯上了更多中小企业。毕竟蚊子肉也是肉嘛,有枣没枣打三竿子。

结果,中小企业躺枪。

安全形势急转直下,他们买不起那么多设备还雇不起那么多人,又必须挡住黑客。

所以,MSS 这种远程帮你揍黑客的"高性价比模式"悄然迎来春天。

讲完这个"大势",我们回到现实。

这不,已经有很多客户快抵挡不住了,明确表示:你们深信服能不能帮我们抓黑客?只要别太贵,我们肯定买!

这次领导特意把胡斌找来,就是为了告诉他一件事:都知道安全服务这摊事儿难做,但为了人民的幸福和公司的发展,MSS 已经箭在弦上,不得不做了。

面对这么艰巨的任务,几位团队里的"老师傅"浮现在胡斌脑海里。

蔡成志和李焕波先后被派去,组成"敢死队"。

要说这两位,可是深信服内部的"资深 CP"。

2012 年左右,他俩曾作为搭档,蔡成志负责技术产品,李焕波负责市场运营,搞出了深信服的神作 --"下一代防火墙"。

举个不太严谨的例子。

"下一代防火墙"对于深信服来说,就像苹果的 iPhone4,是个里程碑级别的超级爆款。

自从有了下一代防火墙,腰不酸了背不疼了,深信服在网络安全这片江湖里浪荡才有了沉稳的压舱石。(当然防火墙是另一个曲折的故事,今天先不展开了。)

总之,这次把蔡成志和李焕波这样的功勋大牛都调动起来了,可见深信服在 MSS 上想押一把大的。

可是把时间拉回到 2018 年,两眼一抹黑。

到底这个钢铁侠应该怎样设计,才能以最高的效率干掉黑客呢?蔡李两位老湿也很头大。。。

蔡成志(左)和李焕波(右)

(二)搞出"钢铁战衣",拢共分几步?

2018 年的深圳,蔡成志和产品团队围坐在桌子前。

两个雷打不动的事实摆在面前:

1、黑客并不遵守劳动法,他们的上班时间是 007。

如果要保证客户爸爸的绝对安全,巡逻队就必须 24 小时无死角值守。也就是说,防守队伍必须三班倒,有人要上夜班。

2、这么一支三班倒的专业队伍,如果还一对一专属贴身服务,那成本肯定高得吓人,只有"贵族"企业才用得起,这不好。

所以正常情况下,应该像饭店的服务员一样,站在大厅里,哪桌有需要我就去服务哪桌。

咱都是下过馆子的人,你想象一下这个场景。

既然"服务员"是一对多服务,那就需要有两个素质:眼疾、手快。

眼疾,就是第一时间发现哪家企业正在被黑客攻击;

手快,就是用最快的速度把黑客干掉。

你懂的,相比机器,人类的眼睛和手速都十分弱鸡。所以,"眼疾"、"手快"这两个素质,恰恰要靠之前说的"钢铁侠战衣"来加持。

到底要怎么搞呢?

第一步,为了发现黑客,蔡成志他们设计了一个精巧的"钢铁侠千里眼"。

假设面前有 1000 个企业,每个企业内部都安装了网络安全产品(杀毒系统、防火墙等等),这些安全产品会实时产生日志。

把这些日志汇总起来,传到云端的"威胁分析平台"进行分析。

一旦分析出日志有异样,平台就会发动告警。

注意,告警不等于就真的有攻击,因为之前说过,机器判断存在失误的可能,此时切勿急躁,要人类进行二次确认。

所以,这个告警会瞬间传到"人类分析师"面前。

分析师需要在几分钟内完成检查,然后给出"真"或"假"的判断。(当然,这里不一定是一位分析师,如果任务多,可能增加分析师。)

如果是假威胁,就不再继续追究;如果是真威胁,则马上"立案",进入下一步骤。

所以,威胁分析平台和人类分析师串起来,就是"钢铁侠千里眼"。

第二步,当然就是干掉黑客,这里就要用到"钢铁侠机械手"。

蔡成志告诉我,干掉黑客必须分为两步:调查和处置。

先说调查。

调查的意思就是,弄清楚黑客是怎么进来的,比如用了什么漏洞、破解了谁的密码等等。

注意!!调查,其实是整个环节里最难的一步。这就像柯南探案一样,要想揪出凶手,必须有高超的调查技巧。

在网络安全这一行,最有经验丰富的老师傅才负责调查案件,他们就相当于柯南。(工资水平也相当于柯南。)

可是,问题来了:

如果每一桩案件都让"柯南"来查,固然很好,但"柯南"的数量终归是有限,忙不过来。

这里就必须借助科技的魔法 -- 让柯南把自己的调查步骤写成脚本,让普通侦探来执行脚本。

脚本咋执行呢?举个栗子吧:

假如"柯南"要调查一个凶杀案,拢共分三步:

第一,需要先查看关键位置(窗户、门)有没有破坏的痕迹;

第二,需要查看隐秘的角落里(门背后、床底下)有没有藏凶器;

第三,查看关键位置(门把手、杯子)上有没有指纹。

这些步骤就组成了"脚本"。

中哥拿着柯南的脚本,也是先看破坏痕迹,再查隐秘角落,最后看关键位置,也能八九不离十地找出凶手。

当然,在反黑客攻击的世界里不看指纹,看的是:关键漏洞、攻击程序、异常行为等等。

针对不同的进攻形式,老司机们总结出了不同的脚本,他们专业术语叫做"库"。

比如 A 类攻击,工程师就启动"A 库"来调查;B 类攻击,工程师就启动"B 库"来调查。

调查之后,工程师就能知道:1)黑客是从哪进来的,2)黑客进攻到哪一步了。

接下来就是处置。

处置有很多方法,这里你可以简单理解为"堵门"和"抓人"。

堵门的意思是:

黑客用哪个漏洞进来的,就把漏洞赶紧修好,黑客使用哪个 IP 攻击,就把这个 IP 的全部指令拦截;

抓人的意思是:

不是真的去把黑客抓到,要想抓到黑客肉身,只有报警让警察叔叔去抓。

这里说的抓人是指把机器上黑客安装的进攻软件清除掉,并且收集到黑客的特征数据,如果再敢来,就第一时间认出来,削他。

当然,处置的一系列动作也可以由脚本来完成,老师傅们根据不同情况做了 200 多个告警处置脚本。

以上,就是蔡老师给我讲的,MSS 的基本工作流程。

给你一张完整的图感受一下

你注意到没,整个流程虽然挺长,但是逻辑很严谨。

总的来看,就像个糖葫芦:

机器自动执行的"库",就是一颗颗山楂;而人类的指挥,就是把山楂串在一起的竹签。把幸福和团圆连成串,没有愁来没有烦。

硬核糖葫芦

李焕波告诉我,这种"安全系统"和"安全工程师"相亲相爱、各自发挥优势的系统模式,就叫"人机共智"。

听完他俩一通科普,我盘算了一下,这群老师傅不简单啊,人机这么一"共智",起码从两个角度提高了效率:

第一,工程师可以一个顶过去十个。

安全工程师每天上班 8 小时,原来是有活儿就干,没活儿只能闲着。现在就跟打地鼠一样,处理完 A 公司处理 B 公司,效率拉满,多劳多得。

第二,问答题都变成了选择题。

过去,安全工程师遇到问题,得依靠经验查来查去,就像做"问答题"。

现在,只要从"库"里选择一个脚本执行就好。就像做"选择题"。

做选择题肯定比问答题快到不知哪里去了。

等等!

有什么地方不对!

"黑客可不会按照你们的套路来,他们的脑洞可大了,万一藏在一个隐秘的角落,用 A 库 B 库 C 库内裤都调查不出来黑客在哪,那怎么办嘞?"我问。

李焕波看到瞒不过聪颖的中哥,呵呵一笑,交代了他们的小秘密。

秘密就在人身上。

深信服的安全工程师团队,虽然都叫安全工程师,但却像战士一样,是有"军衔"的。他们分为三个等级:T1、T2、T3,意思就是:优秀级,史诗级、战神级。

假如你是铁柱,需要深信服 MSS 来帮你管理安全运营工作,那么,你将会认识一个"小分队":

里面的 T1 工程师帮你摆平日常攻击,他摆不平的话,任务就会自动交给小分队里的 T2 工程师。

到 T2 工程师这儿,已经能搞定 99% 的问题了。

那 T3 级别的战神工程师呢?他们专门对付疑难杂症,绝大多数客户都是听说过没见过。

(要是 T3 工程师还搞不定,那估计就是三体人的水滴攻击,需要二向箔来对付了。。。这种攻击不能说没有,只能说极少。)

所以说,下面这张图才是最完整的"没啥事"流程

怎么样,人机配合指哪儿打哪儿,打得黑客跪下叫爸爸,很牛掰吧?

我的眼神逐渐崇拜,两位老师傅赶紧给我浇冷水:其实以上所说的,是钢铁侠的理想形态,但现实嘛,总是和理想有差距。

即便是现在,深信服 MSS 还有一些不如人意的地方。如果退回到 2018、2019 年那会儿,钢铁侠更是初出茅庐。

那时,即便拳脚稚嫩,还要强撑着跟黑客打架,可坑苦了 MSS 的同志们。

(三)钢铁侠不听话怎么办?

我们不妨把视线放到长沙。

MSS 的服务工程师"根据地"设立在火辣的长沙,一场火辣的"磨合"就发生在那里。。。

画面里有"几股势力":坐镇深圳的蔡成志产品代表队,驻扎湖南的服务工程师代表队,遍布全国的客户代表队。

当时的局面是酱的,看中哥给你摆一摆:

客户的要求很明确。

第一,有深信服帮忙守卫,不能出现安全风险,这是基本;

第二,即便没有风险,每周我的网络里究竟发生了什么,你要给我一个书面汇总报告。

可问题是,不同行业、不同属性的客户,尤其是大客户,想看的报告内容各不相同 -- 工程师要针对性地给每家公司写报告。

这样一来,就出现了尴尬的局面。。。

每周服务工程师们都要手动查很多数据,还得用 Excel 算一下,然后填进报告里。

服务工程师跟产品团队说:为了提高效率,你得针对各个客户给我开发自动提取数据的功能啊。

产品团队跟服务工程师说:你这一个客户一个样,我总不能针对每个客户都开发一套功能吧?累吐血也赶不过来啊。

这时,客户反而很冷静,说:有事好商量嘛,不要吵~ 反正顾客是上帝,我!就!要!每周看报表!!!

三方就尬在这里。

作为吃瓜群众,估计你都不耐烦了:什么嘛,不就是个报表,看不看的有那么重要么?只要能把黑客抓住不就行了?

问题是,在当时,抓黑客这件事也完成得不够好。

举个例子你感受一下。

你还记得吧,MSS 工作流程里有一个"钢铁侠千里眼"环节:

分析平台要汇总数据,然后发出报警,人类分析师对这个报警的真假进行判定。

一个新报警出现,分析师不是看一眼就能判断真假,他要用各种工具进行"调查"才能得出可靠结论。

比如去样本库里搜索一下这个程序连接的网址是不是有"案底",去综合查看几个关键点位有没有连带异常。

问题来了:

分析师觉得产品团队给的工具很难用,还不如手动查找快。

产品团队觉得分析师用工具的姿势不对,用对了肯定更快。

这个矛盾的本质是:工具是死的,严格按照代码执行,可人是活的,不会百分百按照你设想的方式干活。

要怎样把人类智慧揉进代码流程,当时别说蔡成志,就连深信服也没有太多经验。。。

这样一来,整个系统的效率一直提不上去,这必然会导致在和某些黑客的对抗中慢半拍。

"半拍"的时间极其宝贵。

黑客进攻企业就像下面的水滴这样,会从各个角度尝试,哪怕你挡住了 99 次,只要有 1 次反应不及时,就会被攻陷。

然后迅雷不及掩耳盗铃,黑客就可能已经把企业资料盗走,勒索软件可能已经把资料锁住了。

这可不是闹着玩儿的。

类似这样的问题还有很多。

要我看,这些都是"人机矛盾"的例证。

凯文・凯利把人机协作的模式分为四种:奴隶模式、外星人模式、宠物模式、上帝模式。就像下图这样。

无论哪种协作模式,都需要长期的磨合。

MSS 的人机协作模式大概应该算是"宠物模式"。

怎么理解呢?

比如你有一匹马,你不能像开车一样,出门的时候骑上它,回来之后拴起来,平常不管不顾。

会骑马的人都知道,你得摸清楚马的脾气,知道它的长处短处,还要和它做朋友,这样才能人马合一,成为优秀的骑手。

你看,MSS 的这副钢铁躯壳像不像一匹难以驯服的"野马"?

哪有什么东西一上来就是成熟的?人类驯马还花了好几千年呢。这么复杂的产品,要给时间慢慢来嘛!

可是,历史是个相当没耐心的家伙,最不会的就是"慢慢来"。

2020 年 1 月,一位不速之客降临我们的国度。没错,它就是疫情。。。

很多公司都猝不及防地开始了居家办公,即便是去办公室,也得分成几组轮岗。

2020 年视频会议软件 ZOOM 的股价飙涨说明了一切。

这样一来,像铁柱这样的运维工程师,就更没办法天天肉身守护公司网络了。

于是,找人远程帮忙管理网络安全成了新时尚。

这可不得了,MSS 团队一抬头,客户们已经排队冲过来了。。。

但问题是,MSS 当时仍然不够完善,还需要辅助不少手工工作。这时候几百个新客户涌来,湖南的工程师团队面前的任务一下子就爆了。

客户本来冲着简单省事选择了 MSS,可是,很多安全响应却比较缓慢,于是有的客户又纷纷放弃了 MSS。。。

口碑就是生命啊!生死存亡之秋,需要一位老炮儿来帮大伙儿稳住阵脚。

胡斌就是这个人。

当时,胡斌接手了 MSS 所在的安服业务,带着蔡成志和李焕波飞到长沙,马上跟大家开会。

迎接他们的,是扑面而来的吐槽。

深信服有个传统,越是靠近客户的人,他的意见就越不能被忽略。这些工程师天天被客户爸爸怼,显然最知道问题出在哪儿。

胡斌给大伙儿承诺:两个月内,我把大家需要的工具全部集成在系统里,而且,日常服务客户再也不用自己做 Excel!

很多大佬都告诉过我,Excel 是智能化转型的最大绊脚石。。。

说到这儿,你可能要撇撇嘴:之前都没磨合好的事情,胡斌又不是神仙,他说搞定就能搞定吗?

但胡斌手握尚方宝剑,已经决心杀开血路。

这第一招,就是借来天兵天将。

在公司的支持下,他愣是拽来了好几十号技术大牛。

这第二招,就是集中优势兵力。

他把其他所有开发任务都给暂停了,所有人只进攻一个方向:开发人机协作的模块。

这第三招,就是各个歼灭。

就拿自动化编排报告来说。他让大伙儿先集中精力研究中小客户的需求,把他们的共同需要先开发出来。

在这个基础上,再集中火力对大客户的特殊功能逐一开发。

就这样,一个个功能调研、设计、实现,两个月的时间,还真让服务工程师们用 Excel 的次数越来越少。

当然,这些工具全部是给深信服服务工程师用的,客户们感觉不到,他们能感觉到的是自己的网络挺安全,还能定期收到详细报告,钱花得蛮值。

历史奔涌的大潮中,MSS 总算没翻船,而且还渐渐开进了主航道。

"钢铁侠"总算造好,也顺畅工作起来。

按理说,应该 Happy Ending 了吧?可服务业是这个世界上最难的行业,老天对这帮人的折腾还远远没有停止。

这不,李焕波又成了最纠结的那个人。

(四)钢铁侠"心理学"

就在 2020 年,半夜两点,MSS 团队发现了一家公司的某台电脑正在被黑客动手脚。

夜班工程师赶紧按照流程处置,可是,就在最后一步 -- 阻断 -- 的时候,他犹豫了。

因为黑客感染的那台电脑在内网中处于一个有些重要的位置,贸然阻断可能会影响客户系统的正常运作,有些投鼠忌器。

按照规程,这时候他应该给客户的运维负责人(也就是铁柱)打电话,确认一下要不要阻断。

于是,他打了。

客户半夜两点接到电话,正睡得昏天黑地,一听,啥?阻断一台电脑也要半夜问我?你们自己干了不就行了?!这是啥服务啊?!

第二天,深信服 MSS 团队紧急开会,讨论一个关键问题:以后半夜两点要不要打扰客户。。。

结论是,别打扰了。

过了几个月,还是半夜两点,这位夜班工程师发现一家公司的电脑正在被黑客入侵。

为了不打扰客户,他展开紧急调查,还特意确认了一下没有业务在这台服务器上运行,然后决定直接阻断。

第二天早晨,客户打电话来,很生气:你们怎么不说一声就直接阻断呢?我们当时是在内部测试!!

工程师哭了,还有活路没有啦。。。

看到了没,这个悲惨的工程师映射出服务业的一个巨大痛点:不是说你把该做的做了,客户就满意,你得了解每个客户的性格和心理,服务才能更贴心。

李焕波他们痛定思痛,决定在前期就跟客户们约定清楚:

半夜 12 点到早晨 7 点之间,哪些级别的入侵事件,我们可以通知你?哪些级别的事件,我们能直接处理?

在?看看黑客

这样的细节改动数不胜数。

到最后,逼得运营团队都开始看起《用户心理学》的书籍了。。。

不过,李焕波讲这些故事的时候,明显面露幸福,说明他们这么努力,还是有回报的。

这次去深信服,我恰好碰到了一位常年在一线给客户做方案的同学,他叫段雄舰。

他所在的是广东区,在他的记忆里,全是惊心动魄的故事。

有一家医院,原本系统很老旧,也没做什么特别的安全措施,这么多年也没发生问题。

不过,就在 2019 年,突然有相关部门找到他们,说检测到他们医院有接口对外暴露,存在风险。

段雄舰给我讲。

他就是当时医院找去给检查问题的老师傅之一。

很快,原因找到了。

原来,这家医院想要更好服务患者,添置了几台服务器,开设了互联网医院。可是由于经验不足,这些接口没有报备信息科管理起来,成了"孤儿"。

这张图仅仅以医院为例。很多公司和机构都存在类似情况的"未被保护资产"。

万幸,这个接口还没被黑客盯上,万一。。。那可不得了啊。。。

第二天一早,信息科领导紧急把全院很多部门都叫来开会:快说,你们还有谁架设了服务器,统统报备!

你可能会问,让部门自己上报,万一漏报了,不还是有风险么?

没错,靠人报备确实会有遗漏。

段雄舰告诉我,很快医院就上了 MSS,让深信服的同事制定巡检计划,定期扫描医院网络。

如果探查到未知设备,就马上溯源处理,这样就收敛了安全风险。

我记得那年过年的时候,MSS 就承担了医院网络重点保护的责任,早七点晚十点各发一次报告,总结半天的安全数据。

后来,医院信息科的同事们告诉我,他们终于可以不像往年一样轮流去医院值班了。那时候,我觉得我们做的事情还是挺牛的。

段雄舰笑。

我听得津津有味,问段雄舰,还有啥故事,再给我讲讲。

他说这样的故事太多了,但时间可不多了。一小时后他就要赶到东莞,跟客户约好了要谈一个问题,有机会再见,漂流瓶联系。

说完,他把电脑夹在胳肢窝,风尘仆仆地冲进了电梯。

段雄舰"人机协同"是一个更本质的未来

跟 MSS 几位老师傅聊完,夜幕已经降临。

会议室外,人们安静地穿行,有人下班,有人仍旧在闪烁的屏幕前凝视。这种低噪声的秩序感是深信服一直以来散发的独特味道,每次来我都能闻到。

我突然想到两个更深层的问题:

作为产品见长的公司,深信服为什么会冒险闯入不那么熟悉的 MSS 赛道?

而短短几年,MSS 就在中国蓬勃发展,这背后又隐藏了什么逻辑?

其实,只要把视角拉远,就能看到一个非常有趣的现象 --"人机协同"正在成为这个时代的标配。

2016 年,阿法狗刚虐李世石那会儿,人们相信 AI 的春天已经来了,未来 AI 会取代各行各业劳动者。

然而,5 年过去了,没有任何一个行业被 AI 代替,清洁工还在黎明破晓清扫落叶,工程师还在深夜的屏幕前画图,中哥还在这死去活来地写稿。

但是,机器和智能真的没有渗入我们的工作吗?

随便举两个中哥最近了解的行业:

客服。

你给银行客服打电话,接听的是人类小姐姐。

你不知道的是,在她面前的屏幕上,你问的问题都被实时转成文字。在文字旁边,AI 还会给出几个备选答案。

客服小姐姐可以把答案和她的专业技能结合成最终回复说给你。

物流。

如果你日常在学校或开阔的办公园区,这个"双 11"可能已经体验过"送货快递车",而它们是被快递小哥领养的。

小哥指派它们完成路况简单、不需要上下楼的任务,小哥自己则去跑只有人才能送到的场景。

在客服的场景里,机器如果直接合成声音和你对话,你就会觉得傻傻的。但它辅助小姐姐和你说话,你就觉得爽爽的。

在物流场景,机器无法覆盖所有环境,却可以作为小哥的补充,也是一种天衣无缝的配合。

人机搭配之所以干活不累,背后的本质是:机器没有你想得那么好,而人,没有你想得那么差。

我们还是说回网络安全。

我也曾幻想哪家公司发明一个"神器",就像大片里的银弹一样,可以干掉所有进犯的黑客。

但现实却一再修正我的看法:网络安全对抗终究是人和人的战斗,包含了欺诈、权谋以及不时涌现的灵感。

这些特征都包含了"非理性"因素(非理性和创造力是相联系的),是人类智慧特有的属性,如今计算机和 AI 的发展水平难以企及。

但黑客的威胁步步紧逼,一种新的安全组织模式必须出现。

这种新模式,除了要"人机协作",还要"报团取暖"。

自古以来,人类就会"抱团取暖"。部落的形成,就是个人让渡了一些权力,交由一个组织来集中保卫他们的安全。

而 MSS 的本质,正是企业们的联合,交由网络空间的"部落安保队伍"来集中守卫自己的安全。

由此,效率可以达到最优。

所以,MSS 在原理上可以认为是更先进的组织模式。就像下图这样。

胡斌日常会看到很多中国网络安全的态势数据。

他觉得,如今被 MSS 保护的企业只有几千家,还远远太少了,几万、几十万企业仍然在"野外"独自作战。

如果向未来看,当越来越多企业进入"部落",野兽们就会失去大量猎物,变得更加饥饿。而那时,仍然坚持孤军奋战的企业会面临更加凶险的局面。

没有人会在清晰地认识到形势之后,仍然选择独自和野兽对垒。

报团取暖,于是成为一个确定性的趋势。

如果回到 2018 年,深信服确实是在冒险,因为当时他们是中国罕有的一支做 MSS 的队伍;

而在如今的 2021 年,一些前瞻性同样很好的安全企业和互联网大厂宣布进入 MSS。友商的进场,也许反而会让深信服更安全一些。

老话说,人生没有白走的路,每一个坑都算数。

胡斌、蔡成志、李焕波这群人以前犯过的每一个错,如今都会变成一根安全绳,在别人"徒手攀岩"的时候,自己能爬得更稳。

冒险者永远值得尊敬。

不过,"善于冒险"比"敢于冒险"更值得喝彩。

2022-05-06 15:20:49
0