造一个“钢铁侠”帮你揍黑客,有没有搞头?
文 | 史中浅黑科技
夜晚越陷越深,铁柱还在工作。
妻子安睡在他身边。
他特意把膝头的电脑屏幕调暗,借着幽暗的光芒,他能看到她隆起的小腹。
还有几天,他就要做爸爸了。
铁柱是好梦公司最重要的人物 --IT 运维工程师,按理来说,他一天也不能离开岗位。
但老婆生娃可是人生大事,领导得知情况,特批他居家工作。
一个礼拜前,他刚给自己开好了远程端口。此刻,他只要在家连上这个端口,输入之前设定的密码,就能进入公司内网日常维护了。
他噼里啪啦拍动键盘,眼睛扫过每一行参数,一切正常。
"嗨,公司的网络防火墙我都配置好了,就算黑客偷偷进来,也会被拦截的嘛!干嘛这么紧张。"他嘟囔。
铁柱合上了电脑,良夜中传来妻子均匀的呼吸。
"一生中总有几个特别美好的夜晚,人间值得。"想着想着,他也沉沉睡去。
翌日早晨八点半,手机铃声大作。
"你怎么搞的!"领导劈头盖脸,"公司电脑全被锁住了,上面显示着英文,说什么交钱才能解锁电脑,我们被勒索了!勒索了你知道吗?!"
铁柱一个鲤鱼打挺,光速冲到公司。
老板电脑上一个猩红的提示框,下面有一行比特币收款地址,旁边是炸弹一般的倒计时。
黑客写得很清楚,公司重要资料都被加密,倒计时之内如果不打钱,所有资料就会永久消失。
末尾,还留下一个近乎嘲讽的诡异表情"0_0"。
铁柱紧急连接公司的网络防火墙,调出昨夜的日志。
他全明白了。
问题正出在几天前他给自己开的远程端口上。
因为觉得全世界只有自己知道公司网络开了这个端口,所以他就随便用"123456"做了密码。
没想到,黑客通过暴力尝试很轻松地就破解了密码,几天前就长驱直入。
但黑客很狡猾,没有直接作案,而是植入了后门程序,方便随时进出。
夜里三点,就在铁柱熟睡的时候,黑客光临了公司网络,开始向电脑植入勒索病毒。
防火墙不是吃素的,第一时间探查到了非法入侵,把攻击指令尽数拦截。
黑客无功而返。
然而,诡谲的事情发生了。
凌晨四点,黑客换了个面具再次蹑手蹑脚摸了进来。由于掌握了铁柱的管理员密码,这次,黑客一上来直接用铁柱的身份把防火墙给关了。
刹那间,网络空间所有的"摄像头"熄灭,恰和夜晚一样漆黑。
记录戛然而止。
后面的故事,也用不着看日志了,看看眼前几十台电脑上齐刷刷的勒索信就都明白了。
铁柱呆坐在原地,灵魂出窍,像拖进度条那样一遍遍把世界从午夜拽到凌晨。
问题到底出在了哪儿??
他先是恨自己设置了弱密码。
可是,就算设置了更强的密码,也难说就一定不会被破解。况且,仅仅一个密码就导致网络被一锅端,也太不科学了。
他又恨自己没有在防火墙上打开强提醒功能。
探测到黑客进攻,防火墙应该给自己拨电话的。可是防火墙存在一定误报率,如果事事都提醒,那肯定不堪其扰。
他又恨自己睡得太早。
如果昨晚再熬几个小时的话,在防火墙被黑客关掉的一瞬间,肯定能发现不对劲。想到这儿,他自己都笑了,世界上有早晨四点还不睡觉的运维工程师吗??
第二天,公司支付了几万元赎金,铁柱被记了大过,黑客满意而归,消失在黑暗里。
这是个悲伤的故事,也是个真实的故事。
除了铁柱和好梦公司是化名以外,其余情节完完全全来自一份"赛博案件卷宗",而且,这起攻击事件就发生在 2021 年。
普通人也许不了解,在广袤的网络空间里,这样的黑客戏码就像魔鬼的舞剧一样一刻不停上演。
黑客吃着薯片动动手指就能发起偷盗和勒索,而"铁柱"们要想守卫自己公司的领土,却连媳妇生孩子的当口都提心吊胆。
事实背后,是两个残酷的结论:
1、虽然现在很多公司都会购买"防火墙"、"入侵检测系统"等等一堆安全产品,但安全产品就像枪、炮、坦克这类武器 -- 武器再好用,也需要战士来操作。而且要日夜坚守,才能荡清敌人。
2、绝大多数中小公司,根本雇不起"战士",像铁柱这样了解一定攻防知识的工程师已经是稀有物种。于是,无数公司就像黑暗森林里的小鹿 -- 尚未成为黑客的猎物,仅仅因为还没轮到你。
那。。。这个世界会好吗?
中哥不敢说,但我知道起码有一群人在为此努力。
这群人组织了一支热血军团,日夜巡逻,专门帮企业胖揍图谋不轨的黑客,犯我强汉者,虽远必诛。
如果仅仅是会打架,还不够高级,最牛的地方在于:他们不是那种穿西装塞耳机的只有总统才有资格用的黑衣特工,而是老百姓都能用得起的"亲民钢铁侠"。
钢铁侠咋还能亲民呢?你看看下面的图就知道了。
黑衣特工个顶个都得是优中选优,拳上能站人,臂上能走马,还得经过 007 一般的训练,那选拔成本和日常开销肯定都杠杠的,一点不亲民,光亲邦女郎了。。。
但钢铁侠就不同了。
它的核心奥义是,不需要每个战士都有 007 一般的战斗力,而是"把一整套黑科技固化成机甲战衣"。
普通战士穿上了机甲战衣,立刻拥有飞天神力,Buff 拉满不比詹姆斯邦德差。如此,既有人的灵性,还不失机器的效率,岂不美哉?
今天中哥就给你讲讲:"钢铁侠"是怎样炼成的。
(一)"钢铁侠"还是"背锅侠"?
2018 年的一天,深信服公司大楼。
产品研发负责人胡斌被领导叫到了公司的打印房里,讨论一件"机密事宜"。
老浅友应该知道,深信服是一家我蛮喜欢的公司。
要我说,他们的核心技能就是一招儿:研发出干净利落的 IT 产品,然后通过遍布全国的销售渠道迅速推进各个企业。
这一招儿看上去确实平淡无奇,但世上的事怕就怕"认真"二字。
在中国 IT 历史上,深信服把这一招儿用得出神入化,接连做出很多"爆款"。就这样一边缓慢抬高广大中国企业(尤其是中小企业)的技术水位,一边自己成长为无法被忽视的 IT 巨头。
这波操作在 20 年的时间里从未变形,一度让围观群众目瞪狗呆。
回到那个打印房,胡斌接到的任务正是研发一个神秘的"新品"--MSS。
MSS 的官方翻译一点都不性感,叫做"安全托管服务",Managed Security Services。我不喜欢这个翻译,要我说,MSS 应该翻译成"没啥事"。
因为,MSS 的功能就是:
派一群专家天天在线帮客户盯着网络安全,没事儿帮你巡逻,有事儿帮你摆平,那客户不就"没啥事"了么?
胡斌
话说,胡斌可是从 2013 年起就负责深信服的产品研发,很多爆款都是他从头规划的,大风大浪全见识过,妥妥地算是"老炮儿"了。
可是那天听到 MSS,他却皱起了眉头。。。
这么说吧,原来深信服就像是"卖武器的"。
我把一整套枪炮卖给你,你自己去用,后面我作为厂家就只管保修了,你得真的学会用枪才能抓到小偷。
(就像下面这样,瑞克把枪卖给莫蒂,莫蒂自己去搞定怪兽。)
可 MSS 却不是这样。本质上它卖的不是"武器",而是"抓小偷"的服务 -- 我得实打实派出一群"保安大队"日夜在人家公司巡逻。
这种情况下,如果小偷来了我没逮着,那人家肯定要问:你是干啥吃的?
(所以"卖服务"的话,就像下图,瑞克姥爷要亲自下场。)
如果让中哥选,我肯定选择卖武器,我才不想做抓小偷的服务呢。
又累又麻烦,抓住小偷是钢铁侠,抓不住小偷秒变背锅侠,你说是不是这个理儿?
"老炮儿"胡斌当然更明白,抓小偷这个活儿,挺难干的。
讲到这儿,不妨暂停一下,中哥先给你普及一下"世界大势":
从天空俯瞰,这几年随着全球经济增速变缓,各个产业都迎来一波巨变。
别的不说,单说"黑客"行业:
过去,黑客专注于搞大企业,因为大企业钱多嘛。
所以大企业没办法,不仅要买各种防火墙、入侵检测,还会雇佣一堆昂贵的"御林军"(全职网络安全人员)来保卫自己的安全。
现在,经济形势不好,黑客也学会了"拓宽业务"、"精细化运营",于是盯上了更多中小企业。毕竟蚊子肉也是肉嘛,有枣没枣打三竿子。
结果,中小企业躺枪。
安全形势急转直下,他们买不起那么多设备还雇不起那么多人,又必须挡住黑客。
所以,MSS 这种远程帮你揍黑客的"高性价比模式"悄然迎来春天。
讲完这个"大势",我们回到现实。
这不,已经有很多客户快抵挡不住了,明确表示:你们深信服能不能帮我们抓黑客?只要别太贵,我们肯定买!
这次领导特意把胡斌找来,就是为了告诉他一件事:都知道安全服务这摊事儿难做,但为了人民的幸福和公司的发展,MSS 已经箭在弦上,不得不做了。
面对这么艰巨的任务,几位团队里的"老师傅"浮现在胡斌脑海里。
蔡成志和李焕波先后被派去,组成"敢死队"。
要说这两位,可是深信服内部的"资深 CP"。
2012 年左右,他俩曾作为搭档,蔡成志负责技术产品,李焕波负责市场运营,搞出了深信服的神作 --"下一代防火墙"。
举个不太严谨的例子。
"下一代防火墙"对于深信服来说,就像苹果的 iPhone4,是个里程碑级别的超级爆款。
自从有了下一代防火墙,腰不酸了背不疼了,深信服在网络安全这片江湖里浪荡才有了沉稳的压舱石。(当然防火墙是另一个曲折的故事,今天先不展开了。)
总之,这次把蔡成志和李焕波这样的功勋大牛都调动起来了,可见深信服在 MSS 上想押一把大的。
可是把时间拉回到 2018 年,两眼一抹黑。
到底这个钢铁侠应该怎样设计,才能以最高的效率干掉黑客呢?蔡李两位老湿也很头大。。。
蔡成志(左)和李焕波(右)
(二)搞出"钢铁战衣",拢共分几步?
2018 年的深圳,蔡成志和产品团队围坐在桌子前。
两个雷打不动的事实摆在面前:
1、黑客并不遵守劳动法,他们的上班时间是 007。
如果要保证客户爸爸的绝对安全,巡逻队就必须 24 小时无死角值守。也就是说,防守队伍必须三班倒,有人要上夜班。
2、这么一支三班倒的专业队伍,如果还一对一专属贴身服务,那成本肯定高得吓人,只有"贵族"企业才用得起,这不好。
所以正常情况下,应该像饭店的服务员一样,站在大厅里,哪桌有需要我就去服务哪桌。
咱都是下过馆子的人,你想象一下这个场景。
既然"服务员"是一对多服务,那就需要有两个素质:眼疾、手快。
眼疾,就是第一时间发现哪家企业正在被黑客攻击;
手快,就是用最快的速度把黑客干掉。
你懂的,相比机器,人类的眼睛和手速都十分弱鸡。所以,"眼疾"、"手快"这两个素质,恰恰要靠之前说的"钢铁侠战衣"来加持。
到底要怎么搞呢?
第一步,为了发现黑客,蔡成志他们设计了一个精巧的"钢铁侠千里眼"。
假设面前有 1000 个企业,每个企业内部都安装了网络安全产品(杀毒系统、防火墙等等),这些安全产品会实时产生日志。
把这些日志汇总起来,传到云端的"威胁分析平台"进行分析。
一旦分析出日志有异样,平台就会发动告警。
注意,告警不等于就真的有攻击,因为之前说过,机器判断存在失误的可能,此时切勿急躁,要人类进行二次确认。
所以,这个告警会瞬间传到"人类分析师"面前。
分析师需要在几分钟内完成检查,然后给出"真"或"假"的判断。(当然,这里不一定是一位分析师,如果任务多,可能增加分析师。)
如果是假威胁,就不再继续追究;如果是真威胁,则马上"立案",进入下一步骤。
所以,威胁分析平台和人类分析师串起来,就是"钢铁侠千里眼"。
第二步,当然就是干掉黑客,这里就要用到"钢铁侠机械手"。
蔡成志告诉我,干掉黑客必须分为两步:调查和处置。
先说调查。
调查的意思就是,弄清楚黑客是怎么进来的,比如用了什么漏洞、破解了谁的密码等等。
注意!!调查,其实是整个环节里最难的一步。这就像柯南探案一样,要想揪出凶手,必须有高超的调查技巧。
在网络安全这一行,最有经验丰富的老师傅才负责调查案件,他们就相当于柯南。(工资水平也相当于柯南。)
可是,问题来了:
如果每一桩案件都让"柯南"来查,固然很好,但"柯南"的数量终归是有限,忙不过来。
这里就必须借助科技的魔法 -- 让柯南把自己的调查步骤写成脚本,让普通侦探来执行脚本。
脚本咋执行呢?举个栗子吧:
假如"柯南"要调查一个凶杀案,拢共分三步:
第一,需要先查看关键位置(窗户、门)有没有破坏的痕迹;
第二,需要查看隐秘的角落里(门背后、床底下)有没有藏凶器;
第三,查看关键位置(门把手、杯子)上有没有指纹。
这些步骤就组成了"脚本"。
中哥拿着柯南的脚本,也是先看破坏痕迹,再查隐秘角落,最后看关键位置,也能八九不离十地找出凶手。
当然,在反黑客攻击的世界里不看指纹,看的是:关键漏洞、攻击程序、异常行为等等。
针对不同的进攻形式,老司机们总结出了不同的脚本,他们专业术语叫做"库"。
比如 A 类攻击,工程师就启动"A 库"来调查;B 类攻击,工程师就启动"B 库"来调查。
调查之后,工程师就能知道:1)黑客是从哪进来的,2)黑客进攻到哪一步了。
接下来就是处置。
处置有很多方法,这里你可以简单理解为"堵门"和"抓人"。
堵门的意思是:
黑客用哪个漏洞进来的,就把漏洞赶紧修好,黑客使用哪个 IP 攻击,就把这个 IP 的全部指令拦截;
抓人的意思是:
不是真的去把黑客抓到,要想抓到黑客肉身,只有报警让警察叔叔去抓。
这里说的抓人是指把机器上黑客安装的进攻软件清除掉,并且收集到黑客的特征数据,如果再敢来,就第一时间认出来,削他。
当然,处置的一系列动作也可以由脚本来完成,老师傅们根据不同情况做了 200 多个告警处置脚本。
以上,就是蔡老师给我讲的,MSS 的基本工作流程。
给你一张完整的图感受一下
你注意到没,整个流程虽然挺长,但是逻辑很严谨。
总的来看,就像个糖葫芦:
机器自动执行的"库",就是一颗颗山楂;而人类的指挥,就是把山楂串在一起的竹签。把幸福和团圆连成串,没有愁来没有烦。
硬核糖葫芦
李焕波告诉我,这种"安全系统"和"安全工程师"相亲相爱、各自发挥优势的系统模式,就叫"人机共智"。
听完他俩一通科普,我盘算了一下,这群老师傅不简单啊,人机这么一"共智",起码从两个角度提高了效率:
第一,工程师可以一个顶过去十个。
安全工程师每天上班 8 小时,原来是有活儿就干,没活儿只能闲着。现在就跟打地鼠一样,处理完 A 公司处理 B 公司,效率拉满,多劳多得。
第二,问答题都变成了选择题。
过去,安全工程师遇到问题,得依靠经验查来查去,就像做"问答题"。
现在,只要从"库"里选择一个脚本执行就好。就像做"选择题"。
做选择题肯定比问答题快到不知哪里去了。
等等!
有什么地方不对!
"黑客可不会按照你们的套路来,他们的脑洞可大了,万一藏在一个隐秘的角落,用 A 库 B 库 C 库内裤都调查不出来黑客在哪,那怎么办嘞?"我问。
李焕波看到瞒不过聪颖的中哥,呵呵一笑,交代了他们的小秘密。
秘密就在人身上。
深信服的安全工程师团队,虽然都叫安全工程师,但却像战士一样,是有"军衔"的。他们分为三个等级:T1、T2、T3,意思就是:优秀级,史诗级、战神级。
假如你是铁柱,需要深信服 MSS 来帮你管理安全运营工作,那么,你将会认识一个"小分队":
里面的 T1 工程师帮你摆平日常攻击,他摆不平的话,任务就会自动交给小分队里的 T2 工程师。
到 T2 工程师这儿,已经能搞定 99% 的问题了。
那 T3 级别的战神工程师呢?他们专门对付疑难杂症,绝大多数客户都是听说过没见过。
(要是 T3 工程师还搞不定,那估计就是三体人的水滴攻击,需要二向箔来对付了。。。这种攻击不能说没有,只能说极少。)
所以说,下面这张图才是最完整的"没啥事"流程
怎么样,人机配合指哪儿打哪儿,打得黑客跪下叫爸爸,很牛掰吧?
我的眼神逐渐崇拜,两位老师傅赶紧给我浇冷水:其实以上所说的,是钢铁侠的理想形态,但现实嘛,总是和理想有差距。
即便是现在,深信服 MSS 还有一些不如人意的地方。如果退回到 2018、2019 年那会儿,钢铁侠更是初出茅庐。
那时,即便拳脚稚嫩,还要强撑着跟黑客打架,可坑苦了 MSS 的同志们。
(三)钢铁侠不听话怎么办?
我们不妨把视线放到长沙。
MSS 的服务工程师"根据地"设立在火辣的长沙,一场火辣的"磨合"就发生在那里。。。
画面里有"几股势力":坐镇深圳的蔡成志产品代表队,驻扎湖南的服务工程师代表队,遍布全国的客户代表队。
当时的局面是酱的,看中哥给你摆一摆:
客户的要求很明确。
第一,有深信服帮忙守卫,不能出现安全风险,这是基本;
第二,即便没有风险,每周我的网络里究竟发生了什么,你要给我一个书面汇总报告。
可问题是,不同行业、不同属性的客户,尤其是大客户,想看的报告内容各不相同 -- 工程师要针对性地给每家公司写报告。
这样一来,就出现了尴尬的局面。。。
每周服务工程师们都要手动查很多数据,还得用 Excel 算一下,然后填进报告里。
服务工程师跟产品团队说:为了提高效率,你得针对各个客户给我开发自动提取数据的功能啊。
产品团队跟服务工程师说:你这一个客户一个样,我总不能针对每个客户都开发一套功能吧?累吐血也赶不过来啊。
这时,客户反而很冷静,说:有事好商量嘛,不要吵~ 反正顾客是上帝,我!就!要!每周看报表!!!
三方就尬在这里。
作为吃瓜群众,估计你都不耐烦了:什么嘛,不就是个报表,看不看的有那么重要么?只要能把黑客抓住不就行了?
问题是,在当时,抓黑客这件事也完成得不够好。
举个例子你感受一下。
你还记得吧,MSS 工作流程里有一个"钢铁侠千里眼"环节:
分析平台要汇总数据,然后发出报警,人类分析师对这个报警的真假进行判定。
一个新报警出现,分析师不是看一眼就能判断真假,他要用各种工具进行"调查"才能得出可靠结论。
比如去样本库里搜索一下这个程序连接的网址是不是有"案底",去综合查看几个关键点位有没有连带异常。
问题来了:
分析师觉得产品团队给的工具很难用,还不如手动查找快。
产品团队觉得分析师用工具的姿势不对,用对了肯定更快。
这个矛盾的本质是:工具是死的,严格按照代码执行,可人是活的,不会百分百按照你设想的方式干活。
要怎样把人类智慧揉进代码流程,当时别说蔡成志,就连深信服也没有太多经验。。。
这样一来,整个系统的效率一直提不上去,这必然会导致在和某些黑客的对抗中慢半拍。
"半拍"的时间极其宝贵。
黑客进攻企业就像下面的水滴这样,会从各个角度尝试,哪怕你挡住了 99 次,只要有 1 次反应不及时,就会被攻陷。
然后迅雷不及掩耳盗铃,黑客就可能已经把企业资料盗走,勒索软件可能已经把资料锁住了。
这可不是闹着玩儿的。
类似这样的问题还有很多。
要我看,这些都是"人机矛盾"的例证。
凯文・凯利把人机协作的模式分为四种:奴隶模式、外星人模式、宠物模式、上帝模式。就像下图这样。
无论哪种协作模式,都需要长期的磨合。
MSS 的人机协作模式大概应该算是"宠物模式"。
怎么理解呢?
比如你有一匹马,你不能像开车一样,出门的时候骑上它,回来之后拴起来,平常不管不顾。
会骑马的人都知道,你得摸清楚马的脾气,知道它的长处短处,还要和它做朋友,这样才能人马合一,成为优秀的骑手。
你看,MSS 的这副钢铁躯壳像不像一匹难以驯服的"野马"?
哪有什么东西一上来就是成熟的?人类驯马还花了好几千年呢。这么复杂的产品,要给时间慢慢来嘛!
可是,历史是个相当没耐心的家伙,最不会的就是"慢慢来"。
2020 年 1 月,一位不速之客降临我们的国度。没错,它就是疫情。。。
很多公司都猝不及防地开始了居家办公,即便是去办公室,也得分成几组轮岗。
2020 年视频会议软件 ZOOM 的股价飙涨说明了一切。
这样一来,像铁柱这样的运维工程师,就更没办法天天肉身守护公司网络了。
于是,找人远程帮忙管理网络安全成了新时尚。
这可不得了,MSS 团队一抬头,客户们已经排队冲过来了。。。
但问题是,MSS 当时仍然不够完善,还需要辅助不少手工工作。这时候几百个新客户涌来,湖南的工程师团队面前的任务一下子就爆了。
客户本来冲着简单省事选择了 MSS,可是,很多安全响应却比较缓慢,于是有的客户又纷纷放弃了 MSS。。。
口碑就是生命啊!生死存亡之秋,需要一位老炮儿来帮大伙儿稳住阵脚。
胡斌就是这个人。
当时,胡斌接手了 MSS 所在的安服业务,带着蔡成志和李焕波飞到长沙,马上跟大家开会。
迎接他们的,是扑面而来的吐槽。
深信服有个传统,越是靠近客户的人,他的意见就越不能被忽略。这些工程师天天被客户爸爸怼,显然最知道问题出在哪儿。
胡斌给大伙儿承诺:两个月内,我把大家需要的工具全部集成在系统里,而且,日常服务客户再也不用自己做 Excel!
很多大佬都告诉过我,Excel 是智能化转型的最大绊脚石。。。
说到这儿,你可能要撇撇嘴:之前都没磨合好的事情,胡斌又不是神仙,他说搞定就能搞定吗?
但胡斌手握尚方宝剑,已经决心杀开血路。
这第一招,就是借来天兵天将。
在公司的支持下,他愣是拽来了好几十号技术大牛。
这第二招,就是集中优势兵力。
他把其他所有开发任务都给暂停了,所有人只进攻一个方向:开发人机协作的模块。
这第三招,就是各个歼灭。
就拿自动化编排报告来说。他让大伙儿先集中精力研究中小客户的需求,把他们的共同需要先开发出来。
在这个基础上,再集中火力对大客户的特殊功能逐一开发。
就这样,一个个功能调研、设计、实现,两个月的时间,还真让服务工程师们用 Excel 的次数越来越少。
当然,这些工具全部是给深信服服务工程师用的,客户们感觉不到,他们能感觉到的是自己的网络挺安全,还能定期收到详细报告,钱花得蛮值。
历史奔涌的大潮中,MSS 总算没翻船,而且还渐渐开进了主航道。
"钢铁侠"总算造好,也顺畅工作起来。
按理说,应该 Happy Ending 了吧?可服务业是这个世界上最难的行业,老天对这帮人的折腾还远远没有停止。
这不,李焕波又成了最纠结的那个人。
(四)钢铁侠"心理学"
就在 2020 年,半夜两点,MSS 团队发现了一家公司的某台电脑正在被黑客动手脚。
夜班工程师赶紧按照流程处置,可是,就在最后一步 -- 阻断 -- 的时候,他犹豫了。
因为黑客感染的那台电脑在内网中处于一个有些重要的位置,贸然阻断可能会影响客户系统的正常运作,有些投鼠忌器。
按照规程,这时候他应该给客户的运维负责人(也就是铁柱)打电话,确认一下要不要阻断。
于是,他打了。
客户半夜两点接到电话,正睡得昏天黑地,一听,啥?阻断一台电脑也要半夜问我?你们自己干了不就行了?!这是啥服务啊?!
第二天,深信服 MSS 团队紧急开会,讨论一个关键问题:以后半夜两点要不要打扰客户。。。
结论是,别打扰了。
过了几个月,还是半夜两点,这位夜班工程师发现一家公司的电脑正在被黑客入侵。
为了不打扰客户,他展开紧急调查,还特意确认了一下没有业务在这台服务器上运行,然后决定直接阻断。
第二天早晨,客户打电话来,很生气:你们怎么不说一声就直接阻断呢?我们当时是在内部测试!!
工程师哭了,还有活路没有啦。。。
看到了没,这个悲惨的工程师映射出服务业的一个巨大痛点:不是说你把该做的做了,客户就满意,你得了解每个客户的性格和心理,服务才能更贴心。
李焕波他们痛定思痛,决定在前期就跟客户们约定清楚:
半夜 12 点到早晨 7 点之间,哪些级别的入侵事件,我们可以通知你?哪些级别的事件,我们能直接处理?
在?看看黑客
这样的细节改动数不胜数。
到最后,逼得运营团队都开始看起《用户心理学》的书籍了。。。
不过,李焕波讲这些故事的时候,明显面露幸福,说明他们这么努力,还是有回报的。
这次去深信服,我恰好碰到了一位常年在一线给客户做方案的同学,他叫段雄舰。
他所在的是广东区,在他的记忆里,全是惊心动魄的故事。
有一家医院,原本系统很老旧,也没做什么特别的安全措施,这么多年也没发生问题。
不过,就在 2019 年,突然有相关部门找到他们,说检测到他们医院有接口对外暴露,存在风险。
段雄舰给我讲。
他就是当时医院找去给检查问题的老师傅之一。
很快,原因找到了。
原来,这家医院想要更好服务患者,添置了几台服务器,开设了互联网医院。可是由于经验不足,这些接口没有报备信息科管理起来,成了"孤儿"。
这张图仅仅以医院为例。很多公司和机构都存在类似情况的"未被保护资产"。
万幸,这个接口还没被黑客盯上,万一。。。那可不得了啊。。。
第二天一早,信息科领导紧急把全院很多部门都叫来开会:快说,你们还有谁架设了服务器,统统报备!
你可能会问,让部门自己上报,万一漏报了,不还是有风险么?
没错,靠人报备确实会有遗漏。
段雄舰告诉我,很快医院就上了 MSS,让深信服的同事制定巡检计划,定期扫描医院网络。
如果探查到未知设备,就马上溯源处理,这样就收敛了安全风险。
我记得那年过年的时候,MSS 就承担了医院网络重点保护的责任,早七点晚十点各发一次报告,总结半天的安全数据。
后来,医院信息科的同事们告诉我,他们终于可以不像往年一样轮流去医院值班了。那时候,我觉得我们做的事情还是挺牛的。
段雄舰笑。
我听得津津有味,问段雄舰,还有啥故事,再给我讲讲。
他说这样的故事太多了,但时间可不多了。一小时后他就要赶到东莞,跟客户约好了要谈一个问题,有机会再见,漂流瓶联系。
说完,他把电脑夹在胳肢窝,风尘仆仆地冲进了电梯。
段雄舰"人机协同"是一个更本质的未来
跟 MSS 几位老师傅聊完,夜幕已经降临。
会议室外,人们安静地穿行,有人下班,有人仍旧在闪烁的屏幕前凝视。这种低噪声的秩序感是深信服一直以来散发的独特味道,每次来我都能闻到。
我突然想到两个更深层的问题:
作为产品见长的公司,深信服为什么会冒险闯入不那么熟悉的 MSS 赛道?
而短短几年,MSS 就在中国蓬勃发展,这背后又隐藏了什么逻辑?
其实,只要把视角拉远,就能看到一个非常有趣的现象 --"人机协同"正在成为这个时代的标配。
2016 年,阿法狗刚虐李世石那会儿,人们相信 AI 的春天已经来了,未来 AI 会取代各行各业劳动者。
然而,5 年过去了,没有任何一个行业被 AI 代替,清洁工还在黎明破晓清扫落叶,工程师还在深夜的屏幕前画图,中哥还在这死去活来地写稿。
但是,机器和智能真的没有渗入我们的工作吗?
随便举两个中哥最近了解的行业:
客服。
你给银行客服打电话,接听的是人类小姐姐。
你不知道的是,在她面前的屏幕上,你问的问题都被实时转成文字。在文字旁边,AI 还会给出几个备选答案。
客服小姐姐可以把答案和她的专业技能结合成最终回复说给你。
物流。
如果你日常在学校或开阔的办公园区,这个"双 11"可能已经体验过"送货快递车",而它们是被快递小哥领养的。
小哥指派它们完成路况简单、不需要上下楼的任务,小哥自己则去跑只有人才能送到的场景。
在客服的场景里,机器如果直接合成声音和你对话,你就会觉得傻傻的。但它辅助小姐姐和你说话,你就觉得爽爽的。
在物流场景,机器无法覆盖所有环境,却可以作为小哥的补充,也是一种天衣无缝的配合。
人机搭配之所以干活不累,背后的本质是:机器没有你想得那么好,而人,没有你想得那么差。
我们还是说回网络安全。
我也曾幻想哪家公司发明一个"神器",就像大片里的银弹一样,可以干掉所有进犯的黑客。
但现实却一再修正我的看法:网络安全对抗终究是人和人的战斗,包含了欺诈、权谋以及不时涌现的灵感。
这些特征都包含了"非理性"因素(非理性和创造力是相联系的),是人类智慧特有的属性,如今计算机和 AI 的发展水平难以企及。
但黑客的威胁步步紧逼,一种新的安全组织模式必须出现。
这种新模式,除了要"人机协作",还要"报团取暖"。
自古以来,人类就会"抱团取暖"。部落的形成,就是个人让渡了一些权力,交由一个组织来集中保卫他们的安全。
而 MSS 的本质,正是企业们的联合,交由网络空间的"部落安保队伍"来集中守卫自己的安全。
由此,效率可以达到最优。
所以,MSS 在原理上可以认为是更先进的组织模式。就像下图这样。
胡斌日常会看到很多中国网络安全的态势数据。
他觉得,如今被 MSS 保护的企业只有几千家,还远远太少了,几万、几十万企业仍然在"野外"独自作战。
如果向未来看,当越来越多企业进入"部落",野兽们就会失去大量猎物,变得更加饥饿。而那时,仍然坚持孤军奋战的企业会面临更加凶险的局面。
没有人会在清晰地认识到形势之后,仍然选择独自和野兽对垒。
报团取暖,于是成为一个确定性的趋势。
如果回到 2018 年,深信服确实是在冒险,因为当时他们是中国罕有的一支做 MSS 的队伍;
而在如今的 2021 年,一些前瞻性同样很好的安全企业和互联网大厂宣布进入 MSS。友商的进场,也许反而会让深信服更安全一些。
老话说,人生没有白走的路,每一个坑都算数。
胡斌、蔡成志、李焕波这群人以前犯过的每一个错,如今都会变成一根安全绳,在别人"徒手攀岩"的时候,自己能爬得更稳。
冒险者永远值得尊敬。
不过,"善于冒险"比"敢于冒险"更值得喝彩。
2022-05-06 15:20:49