二战早期,英国人首先发明了雷达。这直接帮助英国在不列颠空战中打退了德国。雷达的功能是“看见”,防止敌机偷袭。如果没有雷达,就要派出战斗机前进到至少二百公里以外的地方巡逻。
雷达的缺点在于难以辐射地面。敌方战斗机可以贴地飞行而不被发现。二战后期美国人造出了预警机,弥补了雷达这个缺点。预警机升空,可以无死角把几百公里内的空域监视住。一旦敌机来袭,可以为后方提供反应时间。
90年代海湾战争,中国开始意识到预警机的关键作用。把预警机的研发提到登月和核武同等重要的位置。现在,全球最先进的预警机技术掌握在美、俄、中手里。
近一年的周鸿祎,孜孜不倦的推广一个理念,“网络战争已经悄无声息发生在我们身边”。前天在乌镇推介了“全视之眼”。这就是网战中的“预警机”,可以“看见”网络攻击,并启动应对。
周鸿祎一直说。网战中,看见是1,其他都是0。看不见,堆再多武器都是白瞎。
09年,伊朗纳坦兹核燃料浓缩工厂的科学家们苦思冥想几个月,仍然束手无措。他们用试验排除了由机电故障引发的可能性,还将工厂的离心机数量翻倍。但浓缩铀的产量仍然停滞不前,甚至每况愈下。
最后,他们在一台装有控制软件的电脑上发现了带有恶意软件的u盘。这包括了两个事实。一是有内部人被买通,插上了这个u盘。一是外来的攻击瘫痪了系统。病毒最终导致1000台铀浓缩离心机废弃,直接摧毁了伊朗“核计划”。
一国的兴衰强弱,竟然就系在这一个u盘上了。
后来伊朗人知道了,一个名为震网的秘密软件一直在暗中干扰。震网的出现,标志着具有“超级破坏性”的网络武器登上人类的历史舞台。人们惊惶地发现,虚拟世界的网络攻击可以摧毁现实中的钢铁机器。
攻击之所以能得逞,与“0day漏洞”息息相关。0day漏洞,就是还没有发现的漏洞,还没有补丁可以升级以封杀的漏洞。相当于你的盔甲上有一块破洞,你自己不知道,但对手知道。
震网设计者精心构置了微软操作系统中4个在野0day漏洞,并和工控系统的在野0day漏洞进行组合,实现了精准打击、定向破坏。
震网之后,apt(高级持续性攻击)组织开始浮出水面。他们利用最先进的攻击手段对特定目标进行长期持续性网络攻击,其背后往往是国家级的“网军”。这几年360累计发现40个apt组织,其攻击涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施行业。
0day漏洞颇受apt组织青睐。因为它不可预知,所以极难防御。2018年11月25日,乌俄两国突发“刻赤海峡”事件。4天后,360安全大脑第一时间发现了一起针对俄罗斯的apt攻击。其相关样本来源于乌克兰,攻击目标指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者利用了常用软件flash的 0day漏洞。
可怕在于,0day漏洞“无处不在”。它可能隐藏在任何一个稍有规模的软件系统中。一般平均每一千行代码中就存在着4-6个漏洞。当下万物互联时代,各类基础设施联网后,漏洞的危害也随之闯入“物理世界”。
2015年圣诞节期间,乌克兰国家电力部门受到apt组织的猛烈攻击。乌克兰西部140万居民在严寒中遭遇了大停电,城市陷入恐慌,损失惨重。2019年委内瑞拉遭遇全球最大规模的“断电袭击”,停水停电、地铁停摆、电信服务、网络接入服务中断。
“看不见的才是最可怕的”。这就是0day的真正威胁。
铺垫完了。现在来介绍360的预警机,“全视之眼”。就是它来负责“看见”。
思路一。0day漏洞无处不在,那要“看见”所有0day漏洞几乎不可能,也无必要。既然如此,那要看见什么呢。是的,看见攻击。“凡走过,必留下痕迹。”任何攻击都会留下痕迹。
思路二。攻击分为三个阶段。漏洞的触发、利用、扫尾。比如,因为某种原因而发生越界访问的这一刻,或者释放内存后再次去使用这个已释放内存的时刻,就是触发时刻。接下来,通过精心设计的数据,比如利用漏洞改变了控制流程,或者修改了系统关键数据,这就是利用阶段。最后,植入并持久化的工作。在这三个阶段都难免伴随着一系列的异常行为。要看见的就是这些异常行为。
思路三。要看见所有的异常行为,必须有最底层的权力。要一望无遗。360的天生赢家凯发k8国际的解决方案是造全网安装的虚拟机系统。可以理解为,虚拟机是更高层特权的管理软件,比操作系统更高,所以才能监控操作系统内的一举一动。360的虚拟机监视器运行后,原本的windows操作系统就变成了一个guest系统,受到控制。
思路四。虚拟机有了,它是被装在pc和服务器上。具体的渠道,比如安全卫士里的核晶引擎就是其组成部分。目前还不支持手机,需要与手机厂商合作才行。
思路五。既然虚拟机有最高的权力,那么有监督才能被信任。政府和行业都可以监管,有兴趣的技术人员都可以分析研究。周鸿祎最近布道,要行业协同,而不是相互竞争。有意思的是,今年乌镇周鸿祎跟360分拆出去的奇安信老大齐向东合了个影,发到了朋友圈。
思路六。在国家安全层面,本质上虚拟机打破了苹果、微软、谷歌等美国公司对操作系统的垄断控制。
这一套东西,说起来轻松,具体做出来却是难。比如具有最高权限的虚拟机,诸多企业都想做但还没做出来。这需要长期的专注和投入。
周鸿祎五六年前在江湖里就很得意,说中国顶级的黑客至少一半在360。现在看来确实。前一段微软发布最具价值黑客排行榜,360占前两位,前50里有7个,世界第一。
现在“全视之眼”已经应用于数亿个人用户和大量政企单位,每天感知异常行为超过5亿次,阻止了几十起apt。
热点新闻