攻击手在哪里？——中睿天下专注攻击溯源

　　信息安全领域的研究方向，长期以来都是以防御为主，比如基础设施安全、漏洞探测、病毒查杀等。但这种方式有其不足之处，那就是忽视了对攻击者本身的关注。如今，在信息安全领域已经产生了一种新的思维，叫做“攻击溯源”。这种思维主张要“知己知彼”，也就是既要关注自身的安全，也要搞清楚攻击者的身份、动作(手法)、、背后动机，并以此为参考制定有针对性的防御策略。

　　北京中睿天下信息技术有限公司(以下简称中睿天下)是国内较早关注“攻击溯源”的安全厂商之一。凭借在全球已经布局的三千多个采集点，中睿天下可捕获全球范围内的黑客攻击行为数据，并能够基于这些数据帮助客户构建全新立体式信息安全防御体系。

　　“爸爸攻击哪？”

　　在“安全圈”里，一般把已经“被黑”的企业分成三种，第一种是知道自己被黑了，第二种是不知道自己被黑了，第三种是知道自己被黑了但死不承认。

　　第一种企业一般是已经发现了损失，比如因用户信息、账号密码等重要信息被窃遭受损失。

　　第二种是因为企业本身明显不存在对攻击者来说有价值的资源，企业对信息安全也无足够意识。

　　第三种企业就是处于APT(Advanced Persistent Threat高级持续性威胁)下的企业，这种企业一般都拥有对攻击者来说十分具有吸引力的高价值资源，也能感受得到自己的系统已经“被人盯上”，无论这个企业的防护有多严密，如果有黑客盯上，只要出现一点纰漏，黑客就会进入它的内网。这时，不能只用IDS(Intrusion Detection Systems入侵检测系统)检测出来提交上去就完事了，因为攻击者会立即调整作战策略，进行二次攻击。更重要的是，如果不能提前清楚攻击者的攻击位置、具体行为和攻击目的，一旦出现问题时，损失常十分巨大。

　　在中睿天下iLAB实验室负责人白应东看来，三种企业都需要做攻击溯源，尤其是第三种企业。

　　“企业要知道攻击者为什么攻击自己，因为攻击者是个黑客主义者？还是攻击者仅是做了一次全球端口扫描。当不知道攻击者的具体情况时，就不能针对攻击者的攻击动机构建自己的防御体系，以实现有针对性的防御。所以，一定要做攻击溯源，这是客观需要。”白应东告诉记者。

　　那么，要如何实现攻击溯源？

　　中睿天下的做法是，构建一个部署在云端的解决方案，它是以大数据为基础，联动为主线，以iLAB研究创新实验室为中心，去进行综合分析防御。

　　“比如要判断一个黑客是否正在使用跳板来攻击时，就先把基础的网络信息都搜集齐了，为这个黑客建立一个‘数据生态’，这时黑客处在哪个国家、是否做过木马攻击等信息一目了然，如果发现这个黑客经常使用的IP都来自某个机房，这就是判断黑客使用跳板的一个有力证据。”白应东解释说。

　　在这个过程中，数据的积累是构建数据生态的基础。数据生态从狭义上说，就是数据库，但广义上也包括数据库中数据生产的过程，比如生产工具的选择、生产车间、生产技巧、生产时间和效率的管理等。

　　白应东告诉记者，要实现上述过程，最大的难点在数据积累的过程，半年更新一次数据非常简单，但要做到每周更新一次数据就非常困难。作为安全厂商，要实现数据源源不断的采集和更新，也要有强大的机器群来保障这些工作的进行。

　　攻击驱动防御

　　当下，很多安全公司都在成立自己的实验室，但每家公司成立实验室的目的和定位都不一样。在中睿天下，iLAB创新实验室被白应东称为公司的“灵魂”。

　　iLAB创新实验室最有特色的地方，是做“攻防转化”，也即把攻击的经验转化为防御的经验。iLAB创新实验室推崇的也是攻击驱动防御的理念，认为只有从攻击角度建立的防御模型才能真正符合市场要求。根据这个理念，中睿天下也会进行一定的调整。比如在公司安全研究人员与开发人员的比例调配上，更加重安全研究人员的比例。“要让公司有足够的人站在攻击技术的金字塔尖，再把攻击技术转化为防御模型，以此形成丰富的防御套路。”白应东说。

　　此外，iLAB创新实验室作为中睿天下的“灵魂”，也包含有一定的“情怀”成份。白应东告诉记者，一直以来，从事安全行业的人都很苦。近两三年来因为国家对信息安全领域越来越重视，安全行业的从业人员也逐渐能“抬起头来”。iLAB创新实验室也希望能为安全行业的从业人员提供一个“归宿”。

　　iLAB创新实验室于2014年5月正式成立，中睿天下正在构建的黑客“数据生态”主要就是由iLAB创新实验室设计研发。除此之外，中睿天下的一些主力产品和攻防转换的模型也都出自于这里。

　　知识即产品

　　在社交领域，有个流行的词叫做“连接一切”。安全领域需不需要“连接”？白应东认为需要。

　　比如，防火墙是一个重要的信息安全防护系统，位于内部网络与外部网络之间。但在不同的时代，防火墙需要发挥的作用也不一样。最初，人们只是希望可信网络与公网能够用防火墙实现隔离。而现在，防火墙要满足更多的用户需求。传统构建防火墙的方式，是以防御模型为基础，而不是从攻击的角度去考虑，这会导致一些问题。比如，不同的防火墙厂商都有不同的产品标准，这会导致不同的防火墙产品之间无法形成协同防御。

　　中睿天下在打造产品时，则更希望通过重新组织企业内部的安全产品，构建一个开放的、联动的局面。其中，形成统一的、清晰的知识体系非常关键。

　　在中睿天下推出的睿眼Web攻击威胁溯源系统中，威胁检测、攻击过程还原、攻击者溯源、系统弱点分析信息等都被作为知识积累下来。在此基础上，黑客的每一步动作都能按照时间轴清晰地展示出来，真正实现“所见即所得”。

　　链接有关iLAB创新实验室

　　中睿天下iLAB创新实验室是中睿天下的安全研究机构，致力于信息安全领域的新理念、新技术及相关安全问题的研究。为了对系统有更深入的了解，从而制定新的应对方案及时有效地防护计算机系统，中睿天下成立了以专注于互联网信息安全领域10年以上的安全专家为中坚的创新实验室，致力于研究和挖掘计算机及互联网系统中存在的各种安全缺陷，以免被攻击者利用。中睿天下iLAB创新实验室将会把最新的漏洞和修复方案无偿发布，以使社会各界的计算机使用者能了最新的互联网安全动态。

　　本报记者 于杰