一次持续 15 年的网络安全'攻防之战'
引言:从冲击波病毒开始的缘分
2003 年 7 月至 8 月,著名的冲击波(Blaster)病毒在全球范围内爆发,对中国尤其是校园网造成了严重影响。该病毒利用 Windows RPC 服务的缓冲区溢出漏洞进行传播,不仅导致网络拥堵、系统运行卡顿,还会在受感染用户的桌面上强制弹出一个倒计时窗口,提示 60 秒后自动关机。这一行为严重干扰了学生的正常使用。
当时正值学生时代的邓欣,通过第三方工具帮助周围同学查杀病毒,成功清除了他们电脑上的威胁。这次经历让年轻的邓欣第一次深刻体会到网络安全的重要性,也让他与网络安全领域结下了不解之缘。大学毕业后,他正式加入腾讯,开启了职业生涯中的网络安全之路。
结缘网络安全:腾讯时期的攻防实践
QQ 木马盗号背后的黑色产业链
在邓欣加入腾讯的初期,QQ 账号被盗的情况频发。这背后隐藏着一个庞大的黑色产业链。不法分子通过编写和传播特制的木马病毒,窃取大量用户 QQ 账号,随后在黑市上进行转卖变现。据估算,整个非法链条每年可获得上千万的利益。
由于利益驱动,黑客团体开始有组织地开发木马、自动化传播木马,专门针对 QQ 协议进行攻击。面对这一严峻形势,腾讯成立了专项安全组进行反击。邓欣所在的团队主要负责对病毒进行精准识别和有效查杀。他们通过分析恶意代码的行为特征,建立了高效的病毒库更新机制。
此外,团队还通过腾讯电脑管家和 QQ 客户端的深度联动,为 QQ 增加了多重防护层。这些措施显著提升了 QQ 的安全性。同时,团队还利用技术手段溯源定位盗号团伙,并配合法务部门进行打击,使得盗取 QQ 的案件量逐年下降。
攻防一体的技术理念
在专注于安全防护的同时,邓欣及其团队也在深入研究新型的网络攻击技术。他们坚持"攻防一体"的理念,认为只有了解攻击者的手段,才能构建更有效的防御体系。团队反其道而行,开发对应的防御产品,整体提升了对网络攻防的理解和认知。
腾讯的工作经历让邓欣在网络安全领域积累了丰富的实践经验,特别是在系统漏洞攻防和业务风险控制等领域构建了完善的知识体系。在此期间,邓欣团队曾参加 Pwn2Own 等国际知名黑客大赛并斩获冠军。Pwn2Own 是由美国五角大楼网络安全服务商 ZDI 主办的世界著名黑客大赛,谷歌、微软、苹果等巨头均提供支持,旨在通过黑客攻击挑战来完善自身产品。
回望在腾讯的 11 年工作历程,邓欣坦言这段经历夯实了他的专业技术基础。作为中国最早面临安全问题的企业之一,腾讯的业务体量巨大且系统复杂度高,这为安全技术人员提供了极佳的锻炼环境。在这样的背景下,像邓欣这样的技术人员有机会不断提升专业能力,应对各种复杂的网络威胁。
安全事业上的新征程:永安在线的挑战
跳出舒适区,探索黑灰产治理
在腾讯期间,邓欣构筑起了完善的网络安全理论体系。无论是在技术团队管理还是公司管理框架上,他的成长都得益于这段经历。随着对网络安全认知的加深,邓欣开始寻求跳出舒适区,寻找更能体现自身价值的机会。他认为,技术人员不能只是埋头做技术,而应聚焦于技术的实用价值,解决实际问题。
在一颗"不安分"的心的驱动下,邓欣选择进入一家创业公司——永安在线(原威胁猎人),继续在网络安全领域发力。
在国内,黑灰色产业链发展非常成熟,无孔不入。例如,在网络营销活动中使用虚假账号薅羊毛、短视频软件上刷点击量和粉丝、电商平台刷单、出行平台刷单、游戏刷道具和金币等。这些问题需要通过构建完善的网络安全体系去限制和解决。
中国的互联网行业发展迅速,移动支付等技术处于领先地位。然而,互联网发展与黑灰产发展往往是伴生的。一方面,互联网基础薄弱会导致黑灰产缺乏土壤;另一方面,传统企业大力发展互联网业务时,往往缺乏全面的安全认知,导致被黑灰产利用。此外,中国网络安全技术发展较快,年轻人接触黑客知识的机会多,在巨大利益诱惑面前,不少人误入歧途从事黑灰产行业。
溯源与布控:抓住核心节点
邓欣希望能解决这些问题。解决这类问题的源点在于知道"根源"在哪里。用他自己的话说,"安全的工作是攻防一体的事,如果你只做防御,而不知道攻击者怎么攻击你,就像当年法国军队构筑的马奇诺防线,虽然做了层层防御,攻击者却可以绕道而行"。这也是邓欣团队热衷于参与 Pwn2Own、GeekPwn 等黑客大赛的重要原因之一。
目前永安在线的技术团队成员有三四十人,一部分负责产品研发,另一部分负责研究黑灰产。通过深入挖掘黑灰产业链,探索满足客户需求的产品。黑灰产是一个完整成熟的产业链,有上游、中游和下游,存在提供关键资源和技术支持的核心节点。永安在线的主要工作就是抓住这些核心节点,进行感知和布控,从而准确发现恶意攻击行为和数据,例如发现恶意注册手机号、恶意攻击使用的 IP 地址等。
无论是人员规模还是业务体量,永安在线都处于上升阶段。在这个过程中,既需要技术管理者抬头看路把控战略方向,也需要适时低头走路了解细节。对此,邓欣的经验和建议是:逐渐把低头做事的比例降低,将具体业务细节交给有能力或有潜力的员工完成,管理层则聚焦于制定公司未来发展方向。安全行业技术迭代快,技术管理者应时刻关注技术动态,结合行业现状和公司实际参与制定发展战略。
当前,永安在线的技术团队管理比较灵活,借鉴了腾讯的成熟管理经验。研发团队分为产品研发人员和安全研究人员。产品研发人员需具备良好的编码能力和工程化能力,打造完备稳定的产品。邓欣将研发团队交给了值得信任的研发主管管理。同时,永安在线设有专门负责安全研究的"鬼谷实验室",由邓欣带领。研究人员负责黑灰产挖掘、威胁情报收集、反欺诈模型建设等工作。邓欣设定目标和执行路径,具体执行交给他们,相信年轻人会快速成长。
