经验分享 | 网络安全漏洞分析者之路

跟传统的软件项目研发相比，基于社会大背景下的网络安全是一个动态攻防对抗过程。

传统的软件项目研发大多时候需要产品经理提出产品模型概念后，制定相应软件项目生命周期计划，然后研发团队根据具体计划完成分配给自己的具体工作。这个过程更像流水线车间，每一个参与者需要在自己的岗位上做好自己的工作，然后就可以流转到下一个步骤。

但是安全不一样，它更强调动态攻防对抗。需要针对实时攻击带来的动态威胁进行有效的防护，就导致安全行业的发展不存在固有的程序。作为安全厂商，很多时候只有产品或只关注产品是远远不够的，需要在安全产品的基础上搭配相应的安全服务和解决方案；同时要针对威胁态势的变化，产品和服务的应对和变化要快，响应动作也要快。

网络安全是个大话题，其涵盖的内容比较多。物联网、产业互联网、工业互联网等概念提出，在这样一个聚集于万物智连的时代，要根据不同的对象分层，即通常所说 “云、管、端”3个层面。网络就是中间通信过程的管道，属于“云、管、端”中的“管”， 管的两头是端和云， “端”就是各种类型的终端；“云”就是目前最为流行的云服务。

“管、端”层面的安全问题是安全领域一直关注的传统安全问题，而近几年流行的“云” 则对安全领域带来一个巨大的变革，如果云服务出问题，可能最终会导致比较严重的后果，如暴风影音的DNS解析问题就带来很大的影响；以及近几年云服务器出现的信息泄露、虚拟机逃逸等，都是非常严重的安全事件。因此在云安全方面，除了利用以往的安全经验对云进行一次结构分析，同时还需要根据云上运行的业务，去识别是否会引入新的攻击面，新的隐患，然后再研究新的方法，把云做得更安全。

在日常的安全工作中，就需要我们根据岗位和业务从不同对象视角和区域、纵深来看待安全问题，如企业的IT部门更关注的是网络出口，业务服务部门则更关注自己部门的终端、业务系统等。目前很多企业在网络安全方面可能只关注“云、管、端”中的某一部分，从整体来看这是不够的。

AI技术给安全行业带来了很大的冲击，其中AI技术在安全行业的应用以及AI自身的安全尤为重要。

2010年业界和学术圈就开始关注AI技术在安全行业的应用，尤其是使用AI技术进行大数据分析，去发现安全对抗规律。绿盟科技2015年尝试在Web安全检测的新引擎中引入AI算法。在这个过程中我们的视角就完全发生了变化，过去都是依据专家经验用正则表达式去标识一个个攻击特征，通过特征匹配，以及多组特征的逻辑组合去完成攻击检测；而引入AI后，可以使用机器学习和深度学习等进行智能的威胁检测。

目前，在安全行业引入AI，最突出的难点不是检测率，因为检测率可以用多种方法组合去处理。最大的难点在于AI算法的可解释性差，如提供一张图像给谷歌或百度等搜索引擎，让它们去做图像判别，图像中是一只猫还是一条狗，最开始算法是不能给出正确的答案。图像中可能耳朵特别像猫，但其脸型特别像狗，在这种情况下人们可以很轻而易举地根据过往的经验在对各种各样的特征比对之后，觉得它特别符合猫的特征，这样就认为图像中是一只猫，人类对这些特征进行识别和罗列出来过程就是可解释性；再比如两层神经网络，结合一定的应用场景可以对其进行解释，人们也可以知道这个两层神经网络的特征含义，但多层神经网络，其可解释就比较差。因此这些AI算法当其不具备可解释性的时候，人们很难在其工程应用上进行优化，在具备可解释的情况下，可以通过这些可解释的特征去判别。比如某个特征是一个强关联，我们可以给特征赋予更高的权值，反之弱关联项则降低其权值。

所以我们现在研究AI在安全行业的应用也是在尽可能去尝试，去结合一些可解释的方法去做。包括知识图谱算法等，都在进行可解释性尝试，在这个过程中来寻找平衡点，当某个算法计算出正确的结果，并找出支持该结果的维度后，我们再根据专家经验去形成一些关联，这也是未来AI在工作方面一个比较好的思路。

APT攻击这个概念在2010年前后开始流行，它本质上没有一个精确的定义，它强调的就是对一个攻击目标进行持续性的复杂手段攻击。攻防的手段和技术会随着APT对抗升级的过程变得越来越复杂，一旦攻击手段和技术更新或提升了，防御方的防守、加固手段和技术也必然要增强。

以往的攻击大多为单点攻击，通过单点应对就可以解决。而APT攻击则是全链条的攻击过程，它很可能在我们不关注的单点进行突破，在这个点上突破后再对全链条进行攻击。近几年越来越多的安全厂商强调对安全运营中心SOC(Security Operation Center)的研发，通过这种综合分析手段，寻找APT攻击的“蛛丝马迹”，然后顺着“蛛丝马迹”里继续深挖。假设在这个过程中发现APT攻击驻留的一些后门，这些后门没有通过我们的常规入口进去，而是用其他别的方法进去的，那我们就要想办法明确攻击者还有没有下一步的行动。在这个分析的过程中每天会收到大量的日志，如主机日志，服务器日志，网络通信日志，访问日志、数据库日志等，其中最大的难点就是在其实就是从海量的日志中找到最可疑的部分，然后在进一步的攻击活动前采取对应手段，缓解攻击的影响，减少安全事件造成的损失。整个过程需要从各个维度，各个层次来收集、筛选有效的日志、情报和数据，还原攻击动作，同时进一步挖掘攻击行动的意图。

绿盟科技是在国内较早做商业漏洞库的安全公司，当时国内安全市场还在发展初期，一些安全基础设施还在建设过程中，我们需要自建漏洞库，支撑如扫描器产品、入侵防御产品、入侵检测产品等多种产品的漏洞检测、防御能力。绿盟科技漏洞库早期版本设计中已经包含了非常详细的漏洞信息，包括漏洞的厂商、 应用场景、版本、提供者、厂商公告等，经过多年持续不断的更新，目前绿盟科技的漏洞库已经积累了大量的漏洞信息。

现在已有CNVD、CNNVD等国家漏洞信息管理平台，可以对外提供漏洞信息了，但是对于产品线比较全面的安全厂商构建和维护自己的漏洞库还是很必要的，一方面可以在CNVD、CNNVD等漏洞库信息的基础上添加更多的漏洞信息；另外也可以根据漏洞信息对公司内部的安全产品、服务之间进行关联，通过持续地升级和更新公司产品来解决这些漏洞。安全厂商在自己构建和维护漏洞库的过程中，则可通过与CNVD、CNNVD进行集成和相互认证来更快、更及时、更全面地发现漏洞信息。

安全这个行业的不同之处在于，在企业中安全始终是一个需要持续成本投入的领域。其价值体现跟其他业务部门也完全不一样，他不像业务部门，如销售部门可以通过销售数据就可以支撑价值的明确的目标。如何体现安全的价值，往往需要结合企业需求去琢磨。安全要自己去寻找企业可能存在的安全问题，同时还要对这些安全方案和安全问题的解决形成衡量标准。安全从业人员在不同的公司、不同的行业都需要自己去找到相应的视角展示安全给公司带来的价值。作为安全厂商本质上也是一样的，需要给客户带来价值，并让客户认可其价值，而不是自己感觉良好就可以了。

其实在安全从业还是一个比较辛苦的事情，首先需要对安全感兴趣、有热情、有想法；然后才是需要有必备的安全技能。如果在兴趣和专业的基础上觉得安全这个行业有意思的话，坚持下去，未来还是会更好的。很多安全从业人员在早期接触的时候是从运维、数据分析等开始。起初他们对安全并不十分了解，这样需要一段时间打牢安全基础知识，如果不掌握安全知识，很难分析和解决安全问题。

这两年在高校中有很多同学对漏洞分析是很有兴趣的，随着现在网络上学习资源的不断丰富，他们可以通过去看论坛、微博等方式来接触到漏洞分析的知识并能打一定的基础。但随着相关技术的不断学习，也可能会有些迷茫，就是到底应该分析什么，我主要的分析对象是什么呢？比如你是通过学习Windows内核挖掘的书籍来学习漏洞分析的，那就是从Windows平台的安全和漏洞一步一步学习下去。如果是通过看其他类别的图书来学习的话，你可能又学习的是其他的漏洞分析知识。在漏洞分析的技术学习中，比如说提权，或者是跨站脚本，软件漏洞等涉及的技术面非常广泛，大多时候需要在软件代码层进行分析，有时还需要一些二进制分析；涉及的编程语言也非常广泛，包括C、C++、ASP、Java、Go等。这么多的技术和语言都对于漏洞分析人员来讲都是可以学习的，但不管学习哪一种技术，一定要精，另外一定要非常的有兴趣。对于漏洞分析这个特殊的岗位来说，一定是学习的自驱力大于外部推动他去学习的能力。在“精”过程中，会使你在某一个领域获得较大的成就感，或者会更好的勾起好奇心，这样是一个比较好的学习和工作过程。

我在读研期间做过像扫描器、原理性安全分析等工作。毕业后就进入绿盟科技。目前在绿盟科技工作已经有13年了，曾参与过绿盟科技早期的IPS，审计、WAF等产品的核心功能研发。随着公司核心技术去发展，逐步进入到现在的研究部门负责管理工作。

绿盟科技是一家以专业技术见长的网络安全企业，所以在技术岗位到管理岗位这个转换过程是一个挺自然的过程。因为熟悉技术，而且在前沿技术研究、产品研发这两类技术岗位都工作过，因此在担任管理岗位后在进行工作安排和团队沟通交流时，没有技术壁垒，上下级之间会互相去支持和帮助，我崇尚激发大家的工作内驱力，给予一定的自由度去向前发展；同时绿盟科技从20年前开始就有一个特别的制度——导师制，即使升级到管理人员，也会有管理导师来帮扶，现在安全圈挺多公司来绿盟科技交流导师制。

目前国家层面对安全非常重视，相信在各级主管部门的领导下，国内各个厂商机构积极配合和推动，通过在技术、服务产品上不断创新，向客户提供可以依赖、实际效果更好、更有价值的安全能力。