“撒旦”在人间

李昊原

曾经有某机关单位的计算机被黑客入侵，但黑客没有窃取价值重大的敏感信息，而是植入了挖矿程序。这件看起来有点好笑的事情，原因其实很简单——无关“盗亦有道”，只是攻击者根本不知道这是哪里的计算机。

对这一攻击方式，华顺信安CSO邓焕解读说，攻击者是得知了一个漏洞后，在全网进行搜索，然后攻击有这个漏洞的所有计算机，注入挖矿程序。这种情况下，他并不清楚攻击的是哪里的机器，也不关心，做好“薄利多销”就够了。

但对受攻击的企业和组织来说，这件事却一点也不好笑。新的漏洞被发现，黑客可能只需要几个小时就能发动攻击，这么短的时候很少有谁来得及打上相应的补丁。新的漏洞总是层出不穷的被发现，就像邓焕所说：“互联网只要开放，那么被黑是必然的。”

华顺信安是成立于2015年的一家网络安全公司，CEO赵武在黑客圈有一个响亮的名字“Zwell”;他开发的安全工具“Pangolin”在2009年的时候，全球日活数就达到了10万，后来他受邀加入了360，补天漏洞平台就是他的杰作。

从大学开始对技术着迷而走上了攻防之路的赵武见证了网络攻击的发展，从2000年前后蠕虫肆虐的黑客狂欢时代，到之后纷纷转向针对网站的脚本漏洞时代，再后来，大集成化的框架平台出现，如斯诺登事件，体系化的漏洞平台开始变成一种武器，MIRAI病毒颠覆性的将漏洞集成为自动化攻击平台，网络攻击从恶作剧、商业利益行为上升到了国家安全。

一个明显的变化是，发现一个漏洞越来越难，但其价值，或者说可以造成的危害却也越来越大。“现在一个漏洞卖上百万元太正常了。”赵武说，以前发现漏洞就无偿地“秀”出来——那个时代一去不复返了。

“撒旦”降临

在2009年舉办的全球黑客大会DEFCON上，黑客约翰·马瑟利发布了一款名为“Shodan”的搜索引擎，不久后就获得了“世界最可怕的搜索引擎”的称号。

Shodan可以搜索网络设备的信息，比如服务器、路由器、交换机、打印机、摄像头等，并根据其所属国家、操作系统、品牌等属性进行分类，而其危险性显而易见。某个漏洞被发现后，以前黑客需要对想要攻击的对象进行扫描，确认是否有这个漏洞。而现在，只要在Shodan搜索对应的软件或是设备，就能找到全网的结果，然后进行攻击，效率极大提升，也难怪会被翻译成“撒旦”（Shodan原是游戏《网络奇兵》中邪恶主机的名字）。

对黑客来说，这无疑是打开了新的思维。“他们原来会盯着某一个企业进行攻击，近两年越来越多的事件是针对通用的漏洞发动大规模的入侵，只要是受漏洞影响的资产都可能被入侵，然后数据遭到窃取。”邓焕提到，作为Shodan起源地的美国，不久前的选民数据泄露事件便和这个平台有关，而在全球引起恐慌的永恒之蓝，同样是针对Windows主机的漏洞进行大范围的勒索。

赵武漏洞出来后，同样用网络测绘的技术且比黑客更快，在黑客进攻前就通知有漏洞的资产小心防护，和黑客打时间差对攻

赵武从2013年开始跟踪UpGuard的风险分析师克里斯·维克利，他曾经先后爆料过2017年共和党2亿选民数据泄露事件和墨西哥9300万选民数据泄露事件，甚至还有美国军方的数据泄露。“他的敏感性非常强，可以将全球的数据采集过去，有记者来采访，他拿着一个硬盘，里面储存了几个T的数据，包括公民、军队和商业公司的。”赵武曾专门为他写过专题，但其实维克利“黑遍天下”的技巧并不复杂，就是通过漏洞加搜索。

解释这类搜索引擎的原理并不复杂，其核心技术就是网络空间测绘。全球大概有42亿的IP，而网络空间测绘就是进行不间断地扫描然后记录，因此可以对搜索快速响应。“以前黑客想要了解一个漏洞影响全球多少数据资产是不可能的，但现在平台可以提供数据，比如只要几秒钟就能告诉你全球有多少摄像头。”赵武做过统计，这种模式下，从一个漏洞出现到黑客完成一次大规模攻击，只需要一个小时。

然而对企业来说，传统的安全体系难以跟上这样的速度，假如企业有10万台资产，漏洞扫描器扫描一台资产需要一个半小时，那么全部扫完就是一个季度。而由于漏洞是全新的，以前的防火墙和安全软件防不住，而黑客“广撒网多捕鱼”的攻击方式，企业早晚会有中招的时候。那时还在360企业安全的赵武，长期在一线研究攻防，他有了一个新的想法：既然防是防不住的，那只有打一个时间差，和黑客对攻。在漏洞出来之后，同样用网络测绘的技术，而且比黑客更快，在黑客进攻前就通知有漏洞的资产小心防护。

速度与安全

最初赵武在360企业安全做了一个Demo（原型），但那更多是属于部门使用的工具产品。“360太大了。”赵武告诉《IT经理世界》，网络安全有很多细分的领域，网络空间测绘只是其中之一。彼时360企业安全在产品方向上需要考虑收入，产品不但要市场清晰，更重要的是，需要有行业内的销售许可。而网络空间测绘技术，在这两个问题上至今没有很好的解决，因此也难以得到资源的倾斜，充满想法和激情的赵武最终决定自己跳出来创业。

华顺信安搭建的FOFA平台，每天都会不间断地通过对IP发出数据包，获得响应进而分析的方式，爬取全网42亿的IP，大约一周就可以更新一次，从而了解每一个IP上面的应用和属性。赵武打了个比喻，企业就像是千家万户，每个家庭都会买防盗门，而防盗门有不同的品牌和锁芯，以前的黑客是去看看这家的防盗门有没有漏洞，而现在的黑客则是先知道某个品牌或锁芯有漏洞了，再去挑这样的门。

而FOFA的平台，是这样一个防盗门的数据库，一旦得知有新的漏洞，就可以提醒对应的品牌和锁芯“你们有漏洞了”——双方用同样的手段进行攻防。而对企业来说，这样的提醒让响应快了许多，原本对10万台机器的检测，缩短变为对100台会受特定漏洞影响的机器的检测。2017年1月，Elastic Search被曝出漏洞，一个月内全球上万台设备遭遇勒索，而白帽汇短时间内就给出了威胁情报预警——全球受影响美国最多4380台，其次是中国944台，并针对性地给出了防御建议。

同样是一线出身的赵武团队，获取漏洞的速度并不比黑客们慢，除了博客、邮件组、讨论群外，美国的CVE漏洞库、中国的CNNVD和CNVD，都有漏洞信息公开的渠道。而同样是2015年成立的白帽汇，聚集了2万多名白帽子，他们可以在发现漏洞之后递交给白帽汇从而获得奖励。这样的奖励除了现金外，还可以用于FOFA平台使用，在平台上进行搜索和研究。比如在某个系统出漏洞后，可以查询具体的分布情况和感染量，或是用于商业决策，例如看不同的OA系统的使用量。赵武强调，FOFA采集的资产都是公开的，像核电等敏感的公共系统不会进行公开，而精确的二次确认，也会在得到企业或相关部门授权之后才进行。

邓焕介绍，网络空间测绘的核心就是爬虫技术，虽然门槛不高，但是会在资产识别上衍生新的问题，比如被禁止或屏蔽，因此也会有相应的提升技术。当FOFA爬取到设备和应用信息后，会将数据打散成细粒度的特征，让FOFA的使用者在平台上也可以对这些特征进行筛选和组合，这就要求针对不同的资产不断叠加规则增加新的特征，而目前FOFA可以识别的设备已经达到3万多种。

从国家到企业

和网络攻击从企业到国家的发展不同，强调紧跟潮流的赵武，公司的业务却是从国家再到企业，一个直接的原因是，他们不可能直接给企业发提醒。

如同文章开头那位不知道自己攻破了部委系统的黑客，他们也不清楚那些IP具体是谁。“以前在做补天的时候就遇到过这个问题，给他们提醒漏洞，但他们的第一反应是警觉地问，你怎么知道我这里有漏洞？”谈起往事，赵武还有点哭笑不得。

就在赵武还在思考怎么办的时候，政府机构找上门来。当时赵武和团队通過国外的情报点得知Redis数据库存在一个漏洞，经过全网测绘，发现大面积的数据库都受到漏洞影响，甚至已经有黑客团体利用漏洞进行批量入侵工作，于是当晚他们通宵出了报告，并发出了预警。

“那个时候影响到国内特别多企业，比如说首都机场等大型的机构都受到了影响，是我们的成名之作。”赵武说，“实战型的、有价值性需求的最认同我们，那批人是谁？是监管单位。”

华顺信安随之顺理成章地开始接政府机关的项目，而网络空间测绘技术在国家层面尤其适用。“以前他们对漏洞的影响程度，往往是雾里看花，现在变成了可以量化的结果。尤其是针对关键信息基础设施，例如医疗、社保、通信、军工等，及时的响应会非常重要。”

原本没有办法直接通知企业的问题也得以解决，“就像是医生和你说有病症要买药很正常，陌生人和你说就非常诡异。”他说，华顺信安目前是国家互联网应急响应中心和国测的支撑单位，会例行输送安全事件的分析和漏洞通报，再由政府通报给企业。

不过，B端的市场同样重要。考虑到企业并不愿意被测绘，华顺信安开发了新的产品——“FOEYE”盒子。这个硬件产品会置于企业的内网之中，在企业内部进行爬取，但不会对外传输。而华顺信安则会定期的向盒子发送威胁情报，再由盒子分析和对企业预警。赵武说，2018年，公司的重点将是B端市场。就在今年年初，曾先后在瑞星、安全宝、360担任高管的郑政也受邀加入了华顺信安并担任COO。

邓焕“互联网只要开放，那么被黑是必然的。”

据了解，新的产品将按照企业的资产规模收取软硬件费用，并收取年费，而华顺针对不同行业的企业也会进行定制化服务，以适应行业的系统和软件。今年3月，华顺信安刚刚完成了丹华资本千万元级别的融资，赵武说，今年也将是公司团队扩张和丰富产品线重要的一年。