和魏明聊天是一件很愉快的事情:一則他十分健談,再精深晦澀的技術,他都能輕巧地娓娓道來,淺顯易懂、趣味盎然;二來是他獨特的四川口音,話一出口,就平添了幾分活潑輕快的氣氛。
紮根北京多年,魏明依然覺得自己是“北漂”:“在北京,就永遠是北漂。”
從某種意義上說,他的確是在“飄著”——身邊一起離開四川的朋友,如今就只剩他一個人漂泊在外,畢竟蜀地的自在安逸,實在讓人難以抗拒。“他們都說,外地不好耍、上海不好吃、北京太乾燥,總之,還是四川好。”魏明笑道。
魏明
可魏明偏偏不願選擇這種生活。高中時參觀中關村電子城的經歷,讓他暗暗下了決心:“一定去北京,那才是搞計算機的地方。”如今,他已得償所願,安全事業做得風生水起——相比於舒適和穩定,他更享受的是安全,是技術,是創業。
緣起“八分量”
阮安邦和魏明曾是研究生同學,畢業後,一個出國深造,一個留在北京。和阮安邦浸淫安全多年不同,起初,魏明從事的是工控、雲計算,和信息安全接觸並不多;但時間越久,魏明就越清晰地意識到,安全行業大有可為。
最早讓魏明接觸到信息安全的,是參與打造某國外PLC廠商的工業安全測評系統。彼時,國外一家電廠剛剛遭受到黑客入侵,被勒索2000萬美元;根據事後調查,正是PLC協議通訊出現了漏洞,導致防禦變得毫無用處,讓黑客輕鬆得手。“那是我第一次清楚地意識到,在當今的時代,安全是一切的命脈。”魏明回憶道。
之後不久,魏明進入了航天領域。這裡是信息安全的前沿戰場,安全的重要性被最大程度地放大了。“在航天領域,每出現一個安全問題,就是大事。”他曾親眼見到,原本前途大好的人才,因為一時疏忽導致的洩密被追究法律責任。
安全亟待發展,國內的安全市場卻並不能很好地滿足需求,國內企業提供的方案,按照國際標準衡量,根本無法滿足要求。“很多安全企業的出發點還是合規,沒有從攻擊場景去考慮,不能很好地解決實際問題。”
身處航天行業的幾年,讓魏明對國內安全行業的缺失有了充分的認知。一位安全行業前輩的疑問,讓他至今記憶猶新:“從互聯網的數據量用戶量來說,我們已經和美國差不多了,但為什麼安全市場只有人家十分之一左右的規模?”
恰在此時,學成歸來的阮安邦,給魏明帶來了和國內不同的消息。
魏明
聊天中阮安邦提到的《歐盟數據保護白皮書》,讓魏明大為讚許:“都落到了實處,目的就是有效地解決問題。”
魏明也曾親眼見過國外同行的務實和專業。某次,他們將DEMO產品帶給英國一家雲服務提供商——DEMO是初版,沒有任何操作界面,但對方毫無異議並不需要界面,立刻拿來進行命令行的攻擊測試效果,“這是真的懂行、門清兒。”據該公司CSO介紹,“人家的規矩是,一年給你足夠的安全預算,比如一億美元,不管你怎麼搞,不出大問題就行;一旦出了大問題,CSO要立刻辭職負最高責任。”
另一件讓魏明印象深刻的事件是,2013年,歐洲Saint-Raphael醫院決定首次使用醫療雲,消息一經公佈,立刻引發了遊行:“民眾關注的焦點是,第一,隱私數據放在雲上,如何保證安全?第二,使用我最寶貴的數據做大數據分析,是否應該給我使用費?”
“無論是企業還是民眾,安全意識都強到了這個份上。”魏明感慨,“國內還沒有達到,安全意識、法律責任都是原因;但我覺得,這一天不遠了。”
於是,便有了“八分量”。
防禦:兼修內外
阮安邦解釋“八分量”的由來,頗具情懷;而魏明介紹八分量,開門見山、單刀直入:技術。
“八分量這個產品,整體來說就是一個持續免疫系統,但要達到效果、抵抗異常威脅,不是一個技術點就能完成的。安全是系統問題,加密、殺軟,都不是萬能的,勒索病毒就是一個例子。”魏明解釋道,“到了客戶那裡,根據不同的需求、認知、場景,可以拆成四塊來使用。”
首先是主機安全加固,“在這一塊,我們使用的是可信計算。”
傳統的主機安全加固,使用殺軟配合IDS、IPS,核心就在於特徵庫,根據對比識別將攻擊拒之門外。通過及時更新特徵庫,便能做到防禦大部分攻擊。但是,有句俗話叫“拳打人不知”——當攻擊來得出其不意、迅猛凌厲時,功力再深的高手也很難從容應對,正如信息安全中的0day漏洞。
“傳統防禦的弱點是,基於特徵、規則、病毒庫,很大程度是事後解決——也就是說,打的是時間差,一定有人先出事,才能抓取特徵進行防禦;那麼,誰能知道下一秒鐘最新的攻擊是什麼樣子呢?如果一開始,樣本沒有大範圍擴散,抓不到樣本,再新的特徵庫也無可奈何。”
說到技術,魏明的情緒更高了,“勒索病毒、0day,都是比較經典的場景。”
八分量採取的對策,是變“黑”為“白”:“既然不能判定誰是壞人,那麼,只要不是好人就都擋在外面;對當前的版本、主機狀態都可以進行“快照”,一旦監控到有不同“快照”的意外舉動,立刻阻止。”通過與國外水平持平的可信計算,八分量很好地解決了這一問題。
第二層是內網安全加固。魏明提到了一個真實的例子:一家創業公司的創始人反目,負責技術的創始人直接通過密鑰把數據拷貝,進行勒索——傳統安全場景下,這幾乎是個無法解決的難題。
傳統攻防爭側重邊界,如同攻城戰,勝敗決定城牆是否堅固到拒敵於外;一旦內城出現敵人,邊界防禦便幾乎束手無策,局面無法收拾,只得宣告失守;再強大的防禦,也擋不住竊取管理權、內部人員洩密這樣從內而外的破壞。
而八分量給出的對策,關鍵在於UEBA(用戶行為分析系統)。
魏明
根據魏明的經驗,黑客奪取管理權後,下一步便是順理成章地擴大戰果:“配置一下安全措施,然後掃描一下局域網裡有沒有其他機器相連,做跳板滲透,如果不加阻止,破壞就大了。”
“其實說句實話,誰能保證自己的防禦不會有裂縫呢?關鍵在於,如何縱深防禦,減少損失。”魏明提出的對策,在於企業內部的機器存在分工,而攻擊者並不知道具體情況,得到管理權後,一定會進行滲透探索,行為必然存在異常。“一旦發現某臺機器上有異常舉動,馬上在周邊建立起防禦,把IP地址、賬號等放入異常防禦範圍,阻止其擴散。”
最妙的是,一招出完,還有後手:“你不是喜歡滲透嗎?我在周邊建立蜜網,只要攻擊者一掃描滲透,我就能知道你是壞人。”
外防攻擊,內防滲透——八分量說起來只是一個產品,其內涵卻讓人忍不住拍案叫絕。
區塊鏈:最後的難題
內外兼備的八分量,還存在著一個最後的問題。
身為CTO,魏明依然會不時衝上前線,和客戶交流——畢竟,事關自身安全,客戶的疑問往往是最有價值的。一次,一位客戶提出的問題,讓魏明犯了難:“如果白名單被修改了,怎麼辦?”
“當時沒顯露出什麼,事實上還真把我問住了。”魏明回憶。這個困惑久久縈繞在他的腦海中,直到去年,八分量才找到了解決問題的法寶:區塊鏈。
如今,區塊鏈早已炒得沸沸揚揚、真偽莫辨。他所看重的,是區塊鏈的一個重要特性:不可篡改。
“區塊鏈有著管理員模式難以比擬的優勢。”魏明介紹道,“傳統模式下,拿到管理員權限就是開了上帝模式,可以為所欲為了;就算有備份,有時候也不能解決問題——如果管理員手抖了呢?如果他心懷不軌呢?你還要祈禱這個人不會出問題。但說實話,手抖總是難免,我敲了多少年代碼,還是會有打錯的不是?”
“而在區塊鏈裡,想非法篡改不是不行,不過成本高到你懷疑人生。”八分量將白名單佈置在了區塊鏈裡,想要篡改,就要做到同時攻破所有的區塊鏈節點進行更改。“最後,你還要祈禱自己能跑得過區塊鏈的共識速度。”魏明笑道,“說實話,我自己也沒有可以保證穩定攻破的方法。”
相比於魚龍混雜的“幣圈”,這才是區塊鏈真正的價值所在。目前,八分量已經將區塊鏈技術用於各類場景下的防篡改,包括金磚會議的網頁防篡改、關鍵證據存檔、日誌存證等,收到了良好的效果。而有了區塊鏈的保障,八分量才算是做到了功德圓滿。
拋開技術不談,即便打磨產品到了如此境界,魏明也有著自己的困擾:“目前來看,國內的市場還是以合規需求為主,對於一項新的技術,也難免會有懷疑和不信任,不過產品做好了,我相信,前景總是好的。”
魏明相信,這裡是最好的舞臺,而八分量,也一定會得到所有人的認可。
“我一直認為,我們要做有創新性的東西,在北京就很好;這有很好的人才,也有能理解你新技術的人。”魏明說,他願意一直在北京“漂”下去。
閱讀更多 八分量 的文章
