孫子云:“知己知彼,百戰不殆。”在安全領域,尤其是業務安全領域,如果能知道攻擊者是誰、在什麼時候、以何種方式、攻擊自己的哪項業務,對企業而言,防禦能力將事半功倍。因此,獲取威脅情報的能力在企業的攻防對抗中尤為重要。在深圳的威脅獵人,正是一家捕獲業務安全中威脅情報的公司。安全牛有機會採訪了威脅獵人的創始人畢裕,深入瞭解獵人是如何捕獵的。
畢裕
個人簡介
畢裕,前獵豹移動高級安全技術經理,騰訊高級安全技術工程師,曾因為騰訊賬號安全的貢獻獲得騰訊年度獎,負責或主推過金山毒霸網購保鏢、騰訊QQ木馬搶殺、獵豹移動下一代反釣魚系統,海外移動安全產品CM Security,長期關注黑灰產發展及相關研究。2015年推出物聯網行業信息防洩露解決方案,2016年創立“威脅獵人”,聚焦互聯網黑灰產研究。
一、獵人的誕生——業務安全的威脅情報
安全牛:業務安全已經有不少的公司在做,為什麼還要涉入這領域?
畢裕:做這家企業最早的契機是在2016年,當時有些剛剛起步的互聯網公司找到我做安全諮詢。由於他們的業務發展飛快,雲端服務器成百上千的增長,在線業務的安全成為一個非常大的問題。因為黑產對這些公司而言是陌生的,他們從未經歷過和黑產對抗的階段。而且,在線業務安全與用戶的業務場景相關性較高,很難有一個標準化的產品。
安全牛:那怎麼會想找到你做諮詢呢?
畢裕:那段時間我在獵豹,這幾家公司和獵豹都有業務關係。再以前我在騰訊負責的就是賬號安全,而在業務安全裡,我又特別側重情報這一塊。當時和他們聊完以後,我發現國內現在對業務安全的需求非常大,而且增長的也非常快。很多公司兩三年就能成長為一個小“獨角獸”,面臨著嚴峻的黑產威脅。不像BATJ等巨頭,沒有這方面的對抗經驗,因此很多黑產也特別願意咬這樣的“軟柿子”,投入產出比高嘛。這已經不是幾家公司從自己研發調轉幾個人,針對性的去處理一個問題,而是已經形成一個行業性的需求。
另一方面,隨著在線業務的放量,黑灰產的威脅形勢遠比幾年前嚴峻,攻防對抗也來到了一個新的階段。以前大家主要關心防護量,比如攔截了多少爬蟲、多少次撞庫、多少次攻擊等等。但慢慢地大家發現,僅關注這個防護量意義不大,業務安全的本質是攻防效率。所以,對於業務安全的深度要求,進入到了一個全新的階段。這就是我們做威脅獵人的一個大背景。
再具體一些,雖然國內做業務安全的公司已經有一些,而且每年還會有新的公司進入這個領域。但是這個市場當下的狀態還是場景化、碎片化的,每家公司都有自己的打法,可產品上的差異化卻並不明顯。我認為在業務安全這個領域可分為兩大塊:一個是做系統的或者叫解決方案;另外一個是做數據的,就是情報能力。後者是業務安全市場的一個長期需求點。
國內早期有些公司在做業務風控系統,然後賣給一些互聯網公司。但是客戶買了以後發現,把系統買回來不能解決問題。如何把系統用好,才是解決問題的根本。業務安全的核心是攻防效率,而攻防背後的核心則是威脅情報能力。這是我們目前的認知以及公司的定位。
安全牛:威脅情報只是攻防中的一個點,整個體系還有很多環節要處理的。
畢裕:對。威脅情報只是在攻防中最早需要做的一件事,並不是說做完了威脅情報就能解決所有的問題。但是對於創業公司來說,做事情還是需要有一個路徑的,所以威脅情報平臺是我們進入業務安全領域的一個切入點。而且我們平臺的客戶全是國內超一線的互聯網公司,雖然他們都有自己的安全團隊和一流的技術能力,但在感知上沒有太多的精力和經驗。我們的情報平臺對於他們來說是非常好的補充。
二、獵人武器之——情報平臺Karma
安全牛:能否介紹一下這個情報平臺?
畢裕:這個情報平臺叫Karma,它的價值在於可主動的告知客戶“是誰、在什麼時間、用什麼方法攻擊客戶的哪種業務,並會帶來什麼樣的危害?”,平臺的核心目標客戶就是國內超一線的互聯網公司,比如BAT、滴滴、今日頭條、58同城、京東等都是我們的客戶。
安全牛:這些公司本身已經在業務安全上很有實力,甚至是最強的團隊,為什麼還要用你們的服務?
畢裕:是這樣,以前我還在騰訊的時候,一般是基於業務數據做分析,找到風險的模型,分析後做成決策模型,然後再放到風控系統裡。但是這個過程有一個難點:就是如何驅動這個決策引擎不斷迭代?騰訊每天都有幾百TB的數據,但安全人員每天卻只能花一兩個小時,在海量數據裡區分黑白數據,找到新的攻擊方法,再去建立模型,非常困難,效率差。
為了解決這個問題,我就做了套蜜罐網絡,每天能收到幾十億次的攻擊流量,通過監控這些流量,我們可以知道是哪一臺黑產服務器,在什麼時間發起的攻擊行為。然後把這些黑流量做場景分類,判斷是否為已知場景,再補充到客戶那裡。
安全牛:那客戶為什麼不自己做蜜罐呢?
畢裕:牽扯到精力和成本的問題。這個事情本身非常耗精力,要投入大量的人力運營,成本也比較大,業務安全也可以說是成本的對抗。拿盜號這件事來舉例,客戶追求的並不是沒有任何賬號被盜,而是在某個可接受的範圍內穩定可控。
另外,我們的投資方是獵豹移動,擁有金山毒霸的資源,以補充攻擊樣本和攻擊工具。我們會監控這些黑產的攻擊工具,每次發現新工具的時候就會給客戶做預警。如果客戶有進一步的需求,我會再給他們做分析。比如工具的新版本,使用何種攻擊手法,利用了什麼樣的攻擊資源,來攻擊哪項業務等等。
其實從某種層面上講,業務安全與黑產的對抗,也是工具的對抗。之前這一塊對客戶來說是個黑盒子,我們的Karma平臺可以從各種維度幫助客戶去打開這個黑盒子,看清黑產到底怎麼運作,業務又有哪些風險。
三、獵人武器之——多種數據標籤構建風險畫像
安全牛:具體能做哪些事情?
畢裕:通過一些外圍的數據標籤,結合我們的蜜罐做分析。比如我們在蜜罐裡抓到了一個場景:一個黑灰產有了5萬個手機號,然後在某電商平臺做了一個批量的小號註冊,那麼基於這些數據,我就能知道這些號碼其實是這些黑產團伙的。再往後,他們在哪個時間點,針對哪個業務,做了怎麼樣的壞事,我們都可以把這些情報做共享,同步到其他的客戶。下次如果黑產用這些號去其他客戶那裡做壞事的時候,客戶就能提前知道這些數據以前在其他地方幹過壞事。因此,這些共享數據對於客戶的價值,就是從外部風險的角度做數據標籤的補充。
實際上,對於客戶來說,風控業務主要還是在為風險畫像,而風險畫像的底層能力其實上主要是數據標籤能力。只要有足夠多的標籤,風控一定可以做好。否則,就是把斯坦福、伯克利的高級研究人員請過來也發揮不了多大的價值,巧婦難為無米之炊。
安全牛:數據標籤聽上去還是類似黑名單性質的東西?
畢裕:基本上可以這麼理解。但是據我瞭解,整個行業只有我們在用這個方式做。其實大部分公司並沒有這樣做。所以我們在產品的價值和能力上,跟競爭對手還是存在差異化的,有著自己的優勢和特點。拿IP舉例,其實國內很多公司,不管門檻高低都在做IP,但我們的側重點與他們不太一樣。首先我們所有的IP來源是自由渠道,再者每一個IP我們給客戶提供的不是一個簡單的標籤,而是一整套IP的畫像,即這個IP在什麼時間點幹了什麼,訪問了什麼接口。
安全牛:也就是說你們側重於業務?
畢裕:對。我們給客戶提供的IP是基於業務的,這是最大的價值。傳統的IP服務提供的信息,很難在業務場景下使用。比如一下發過來2000千萬的 IP,你如果只提供一個IP的惡意標籤,在業務場景下匹配後,30%的誤報,40%的準確率,風控系統該何去何從呢?不要說30%的誤判,在大量訪問的情況下,哪怕只有1%的誤判,對很多大公司來說都是無法接受的 。因為一旦發生誤報之後,不管是客戶還是IP的提供方,雙方都會不知所措。因為提供方的數據來源也是扒的,自己都不知道這個IP怎麼來的。但我們威脅獵人給客戶提供的IP是一個完整的風險畫像。
四、獵人武器之——黑產思維的業務安全測試
安全牛:所以你這才叫情報。
畢裕:是的,我們側重的是在業務場景。同樣是處理IP,我們做得更深入,和別人是完全不一樣的 。不過,坦率地說,我們自己現在還是會有問題。就是在準確度上,有些客戶覺得可以,有些客戶還是覺得不夠。對於我們來說,還是在改進,但是我們還是能看到一個明確,可行的路徑的 。
安全牛:我聽說你們還在做一些測試,能具體說說是怎麼樣的嗎?
畢裕:因為我們發現,業務安全有一件事情是需要改變的,業務測試。之前業務測試是業務安全並不被重視,許多人覺得安全測試就等同於業務測試。甚至有些公司,會把業務測試變成滲透測試中的一個點,然後標記成“低危”。這些公司認為,這是一個流程問題,而不是一個技術問題或說漏洞。但是服務上線了以後才發現,流程問題會導致非常大的損失。到現在,大家才明白以前大家都在犯的一個錯:用應用安全的思維看待業務安全。
另外,用戶在做業務安全的時候,很多工作或效果難以量化。比如別人又在用什麼樣的方法?不同的方法優缺點在哪裡?如果只從用戶的業務來做分析,意義不大,因為各自的業務差異很大,哪怕都是電商,業務差異也很大。但由於我們一直在研究黑灰產,所以發現這裡面其實有個可收斂的點——就是黑產的攻擊手法。
黑產選擇不同的攻擊手法,其實本質上也成本的選擇。比如他們發現陌陌這塊獲利大,他們就可以上雲控;如果他們發現快手這方面獲利小,他們就能上改機工具。對於黑產而言,他們有著明確的分層。那為什麼我們不能從黑產攻擊的視角來給用戶做測試 ,得出一個成本的ROI投入產出比。
安全牛:那你們是如何做到這個評測的?
安全牛:感覺這樣做要和黑產打交道,會很危險。
畢裕:我們做這些事情也不是第一次了,還是能找到一些比較清晰的運營路徑,危險也比較小。而且做安全這個行業,面臨黑產的打擊報復也算是一個常態,關鍵在於你能不能找到邊界,就是我這個情報是怎麼來的?假設我有一個朋友,他在黑產搞一個什麼東西,所以我知道這個東西,再把這個情報賣給客戶,這是我們所排斥的。我們還是希望能夠通過平臺能力,通過系統建設,去達到一個效果。
五、目標明確的威脅獵人
安全牛:你們的天使投資人是獵豹,而你本身之前就在獵豹工作,你從獵豹離職創業,獵豹還給你投資?
畢裕:其實我之前就和傅盛聊過,講過我們做這個事情的意義和邏輯。傅盛也是比較理解的。我覺得做到他這種級別的人心胸都很寬,格局也非常高。他也覺得我們做這個事還是有價值的,是面向未來的。總共聊了連十分鐘都沒到,他就很爽快地答應了。
安全牛:是不是類似於一些科技巨頭的那種培養模式?鼓勵有想法的內部小團隊脫離組織在外部突破創新,之後再花錢買回來?
畢裕:這個是有可能的,從早期來看,獵豹是有非常明確的想法的。因為早期聊的時候,包括股份佔比,企業運營,是帶著一個非常明確的意識形態去做的。但是現在從客觀實際情況來看,獵豹自己變化還是很快。我希望除了資源協作以外,還是會盡量獨立發展。
安全牛:現在大概有多少人,是從哪些公司來的?
畢裕:我們暫時不到十個人是騰訊出來的,有三四個人是從獵豹出來的,然後其他大部分都是一些安全公司的老朋友找過來的,總共大概五十多個人。
安全牛:Pre-A大概是什麼時候融的?
畢裕:Pre-A大概是半個月前協議簽完的,2500萬。但坦率來說,這輪融資也反映了我們缺乏經驗,屬於別人找上門來被動融資。以現在這個行業情況,確實應該加速,整個行業的發展還是超出了我們自己的判斷。
安全牛:對,如果在這個行業快速發展的時候,你原地不動或者踏踏實實往前邁,你就會落後。
畢裕:是的。那個時候我們還是天天在算成本,算利潤。後來發現大家跑得都很快,發現這個行業的天花板早期會覺得很小,但是現在發現也沒想的那麼小。另外,增量市場的變動還是挺快的,而且每兩個月都會出現一些新的場景。所以如果整個團隊的執行力、產品包裝能力、落地能力很快的話,還是會在商業方面有一些比較快的增長的。按現在的情況來看,我們對團隊的快速成長還是比較有信心的。
安全牛:是否考慮開始下一輪融資?
畢裕:談是可以談,但目前很多精力還是在業務上。先是把現在的位置站穩,通過業務安全的差異化,拿到一批大客戶,並且滿意度非常高,只有超出客戶的預期,才能收到超出預期的訂單。現階段的目標是讓公司在整個盈收和技術研發上處於非常健康的狀況,即平均每月的盈收要達到成本的1.5倍以上。等到這個時候再去融下一輪,我覺得對公司來說會更有主動性。然後公司發展會進入下一個階段,那時我們可能會去進一步擴展產品線以及服務能力。
安全牛:提升客戶滿意度就需要非常瞭解客戶。
畢裕:是的。所以我們現在對產品團隊有一個硬性要求:產品一定要和客戶聊!我們現在每週開產品會,先要彙報的東西就是和客戶聊了些什麼,客戶對我們的產品變動有什麼意見。所以現在我們在這一塊非常注重。
安全牛:那就帶來一個問題:如果這樣做的話,成本會不會很高?
畢裕:是這樣,和客戶的深度溝通了解到真正需求,會找到整個行業的需求。所以我們現在產品的打法是這樣的一個路徑:一個功能點,兩個天使客戶,快速迭代。所以我們現在客戶聚焦的是在安全方面和互聯網思維方面是差不多的大型互聯網公司,根據這些核心客戶的需求快速迭代。不誇張地說,如果這個功能讓核心客戶滿意,那有90%的可能給到下一個客戶滿意。
安全牛:未來有什麼更大的想法呢?
畢裕:首先,我們有一點是很確定的:業務安全市場一定是一個未來市場,而且未來會是一個巨大的市場;因為業務安全市場是個主動安全市場——這就會導致體量上的迅速膨脹,而且不會有一個非常明確的天花板。當然現在來看,還遠不到這個地步。
從公司本身來說,分為兩個階段:第一個階段就是剛才說的站穩腳跟,跑通商業模式,盈收進入非常健康的狀態;第二個階段就是我們要嘗試在業務安全市場找到一個平臺化的產品。定位是“基於一個穩定攻防平面構建的攻防平臺產品”。
舉一個例子:比如殺毒軟件這個東西那麼多年,產品形態沒變過。殺毒軟件有兩個非常穩定的攻防平面:第一個是在驅動層——不能讓病毒文件進驅動層,所以在驅動層上有很多主防的邏輯;第二個攻防平面是特徵,無論是雲特徵還是本地特徵,現在殺毒軟件基本都能做到秒級響應了——這就能完全適應黑灰產的攻防邏輯——你秒級,我也秒級,這就是這個產品穩定的核心原因。
但是現在,在業務安全這塊,大家沒有找到這個穩定的平臺。我們在這一塊是希望能成為國內最瞭解黑產的攻防團隊,然後再去找出可以定義下一代的業務風控產品。坦率地說,這個未必可行,但是這個確實是我們的下一步考慮的方向。
閱讀更多 安全牛 的文章