编程语言SaaSAI算法
网络安全专家邓欣:十五载攻防实战与团队管理心得
本文讲述了网络安全专家邓欣从业 15 年的经历,从早期冲击波病毒事件结缘安全,到腾讯时期对抗 QQ 盗号木马及参与国际黑客大赛,再到创立永安在线治理黑灰产。文章探讨了攻防一体的安全理念、黑灰产产业链的运作模式、技术团队的管理策略以及企业在不同发展阶段的安全投入建议。内容涵盖技术实践、团队建设与行业洞察,强调了人才重要性及安全建设的滞后性与必要性。
本文讲述了网络安全专家邓欣从业 15 年的经历,从早期冲击波病毒事件结缘安全,到腾讯时期对抗 QQ 盗号木马及参与国际黑客大赛,再到创立永安在线治理黑灰产。文章探讨了攻防一体的安全理念、黑灰产产业链的运作模式、技术团队的管理策略以及企业在不同发展阶段的安全投入建议。内容涵盖技术实践、团队建设与行业洞察,强调了人才重要性及安全建设的滞后性与必要性。
2003 年 7 月至 8 月,著名的冲击波(Blaster)病毒在全球范围内爆发,对中国尤其是校园网造成了严重影响。该病毒利用 Windows RPC 服务的缓冲区溢出漏洞进行传播,不仅导致网络拥堵、系统运行卡顿,还会在受感染用户的桌面上强制弹出一个倒计时窗口,提示 60 秒后自动关机。这一行为严重干扰了学生的正常使用。
当时正值学生时代的邓欣,通过第三方工具帮助周围同学查杀病毒,成功清除了他们电脑上的威胁。这次经历让年轻的邓欣第一次深刻体会到网络安全的重要性,也让他与网络安全领域结下了不解之缘。大学毕业后,他正式加入腾讯,开启了职业生涯中的网络安全之路。
在邓欣加入腾讯的初期,QQ 账号被盗的情况频发。这背后隐藏着一个庞大的黑色产业链。不法分子通过编写和传播特制的木马病毒,窃取大量用户 QQ 账号,随后在黑市上进行转卖变现。据估算,整个非法链条每年可获得上千万的利益。
由于利益驱动,黑客团体开始有组织地开发木马、自动化传播木马,专门针对 QQ 协议进行攻击。面对这一严峻形势,腾讯成立了专项安全组进行反击。邓欣所在的团队主要负责对病毒进行精准识别和有效查杀。他们通过分析恶意代码的行为特征,建立了高效的病毒库更新机制。
此外,团队还通过腾讯电脑管家和 QQ 客户端的深度联动,为 QQ 增加了多重防护层。这些措施显著提升了 QQ 的安全性。同时,团队还利用技术手段溯源定位盗号团伙,并配合法务部门进行打击,使得盗取 QQ 的案件量逐年下降。
在专注于安全防护的同时,邓欣及其团队也在深入研究新型的网络攻击技术。他们坚持"攻防一体"的理念,认为只有了解攻击者的手段,才能构建更有效的防御体系。团队反其道而行,开发对应的防御产品,整体提升了对网络攻防的理解和认知。
腾讯的工作经历让邓欣在网络安全领域积累了丰富的实践经验,特别是在系统漏洞攻防和业务风险控制等领域构建了完善的知识体系。在此期间,邓欣团队曾参加 Pwn2Own 等国际知名黑客大赛并斩获冠军。Pwn2Own 是由美国五角大楼网络安全服务商 ZDI 主办的世界著名黑客大赛,谷歌、微软、苹果等巨头均提供支持,旨在通过黑客攻击挑战来完善自身产品。
回望在腾讯的 11 年工作历程,邓欣坦言这段经历夯实了他的专业技术基础。作为中国最早面临安全问题的企业之一,腾讯的业务体量巨大且系统复杂度高,这为安全技术人员提供了极佳的锻炼环境。在这样的背景下,像邓欣这样的技术人员有机会不断提升专业能力,应对各种复杂的网络威胁。
在腾讯期间,邓欣构筑起了完善的网络安全理论体系。无论是在技术团队管理还是公司管理框架上,他的成长都得益于这段经历。随着对网络安全认知的加深,邓欣开始寻求跳出舒适区,寻找更能体现自身价值的机会。他认为,技术人员不能只是埋头做技术,而应聚焦于技术的实用价值,解决实际问题。
在一颗"不安分"的心的驱动下,邓欣选择进入一家创业公司——永安在线(原威胁猎人),继续在网络安全领域发力。
在国内,黑灰色产业链发展非常成熟,无孔不入。例如,在网络营销活动中使用虚假账号薅羊毛、短视频软件上刷点击量和粉丝、电商平台刷单、出行平台刷单、游戏刷道具和金币等。这些问题需要通过构建完善的网络安全体系去限制和解决。
中国的互联网行业发展迅速,移动支付等技术处于领先地位。然而,互联网发展与黑灰产发展往往是伴生的。一方面,互联网基础薄弱会导致黑灰产缺乏土壤;另一方面,传统企业大力发展互联网业务时,往往缺乏全面的安全认知,导致被黑灰产利用。此外,中国网络安全技术发展较快,年轻人接触黑客知识的机会多,在巨大利益诱惑面前,不少人误入歧途从事黑灰产行业。
邓欣希望能解决这些问题。解决这类问题的源点在于知道"根源"在哪里。用他自己的话说,"安全的工作是攻防一体的事,如果你只做防御,而不知道攻击者怎么攻击你,就像当年法国军队构筑的马奇诺防线,虽然做了层层防御,攻击者却可以绕道而行"。这也是邓欣团队热衷于参与 Pwn2Own、GeekPwn 等黑客大赛的重要原因之一。
目前永安在线的技术团队成员有三四十人,一部分负责产品研发,另一部分负责研究黑灰产。通过深入挖掘黑灰产业链,探索满足客户需求的产品。黑灰产是一个完整成熟的产业链,有上游、中游和下游,存在提供关键资源和技术支持的核心节点。永安在线的主要工作就是抓住这些核心节点,进行感知和布控,从而准确发现恶意攻击行为和数据,例如发现恶意注册手机号、恶意攻击使用的 IP 地址等。
无论是人员规模还是业务体量,永安在线都处于上升阶段。在这个过程中,既需要技术管理者抬头看路把控战略方向,也需要适时低头走路了解细节。对此,邓欣的经验和建议是:逐渐把低头做事的比例降低,将具体业务细节交给有能力或有潜力的员工完成,管理层则聚焦于制定公司未来发展方向。安全行业技术迭代快,技术管理者应时刻关注技术动态,结合行业现状和公司实际参与制定发展战略。
当前,永安在线的技术团队管理比较灵活,借鉴了腾讯的成熟管理经验。研发团队分为产品研发人员和安全研究人员。产品研发人员需具备良好的编码能力和工程化能力,打造完备稳定的产品。邓欣将研发团队交给了值得信任的研发主管管理。同时,永安在线设有专门负责安全研究的"鬼谷实验室",由邓欣带领。研究人员负责黑灰产挖掘、威胁情报收集、反欺诈模型建设等工作。邓欣设定目标和执行路径,具体执行交给他们,相信年轻人会快速成长。
邓欣认为,带领技术团队打胜仗的过程中,有三点非常重要。
第一,创业公司的技术团队要有创业精神。与大公司按部就班不同,很多事需要不断尝试向前冲,冲过去才有回报,管理者还要冲在最前面。
第二,保持空杯心态。互联网发展迅速,黑灰产也在不断迭代,技术团队需要不断学习新的知识和技术,避免固步自封。
第三,人才是公司的核心。团队应不断吸纳优秀人才。对于人才,一方面悉心教导培养有潜力的年轻人,让他们承担重任;另一方面给予足够的成长和施展空间,必要时放权。总之,要不断提升团队的战斗力。
邓欣坦言,人才对于创业公司而言是最核心的。相对于整个行业,网络安全人才依然匮乏。永安在线非常重视网络安全人才。在腾讯的经历使邓欣对网络安全人才有了自己的衡量标准,出来后也依照这个标准招聘员工或开展工作。
选人的标准首先需要对网络安全抱有极大热情,其次需要有良好的学习能力。学习能力体现在员工在完成工作后主动了解和学习其他东西并尝试实践。另外,邓欣非常看重执行力,即能够将计划任务快速高效落实并及时汇报进度,不需要别人推动。
TGO 鲲鹏会:在企业互联网转型或上云过程中,网络安全往往不在优先级那么高的事项当中。那其中很重要的原因是什么?因为安全成本吗?
邓欣:主要是因为安全自身无法直接带来收益。在企业发展初期,往往更注重业务规模的增长,这是合情合理的。当安全成为限制企业发展的瓶颈时,才会引起重视。以社交软件为例,业务快速发展时,一般会容忍黑灰产注册的小号或机器人账号。但是当这些账号发布太多垃圾和不良信息充斥平台,严重影响平台合规性和用户体验时,就会引起重视,采取措施进行治理。因此网络安全的建设存在一定的滞后性。
TGO 鲲鹏会:网络安全该投入多少您有什么建议吗?
邓欣:投入多少还是要取决于业务发展的情况。但是业务发展早期管理者应该有基本的网络安全意识,并且知道什么时候该投入。网络安全的最理想状况是甲方乙方的联防联控,共同推进网络安全体系的构建,但这在实际推进过程中会有较大难度。另外,在系统框架搭建的早期,技术人员就应该考虑到安全因素,同时在设计业务逻辑的时候设置一道底线,避免系统发生失控的状态。
TGO 鲲鹏会:网络安全领域是攻与防的博弈,同时也是投入与产出的博弈。在两种博弈中,您认为最重要的是做到什么?技术管理人员有网络安全领域的认知吗?
邓欣:从攻防的角度来看,尽量做到"知己知彼"。从投入的角度来看,在企业发展早期,业务规模并不大,安全上的投入自然也要谨慎;当业务规模起来以后,安全问题就显得日渐重要起来,这时候技术管理人员应该对网络安全问题引起足够的重视,才能保证业务的健康有序发展。
TGO 鲲鹏会:网络安全市场的人才缺口比较大,腾讯和 360 这样的大厂往往更受人才的青睐,您怎么看待这种现象?
邓欣:对于一些优秀人才而言,他们会优先选择大厂,因为在大厂里工作更有保障,而且腾讯这样的大公司业务结构复杂,新人能够接触到小厂接触不到的东西。不过,大公司发展成熟分工明确,每个人基本只会负责一小块业务。长期来看也许会接触到其他业务,但短期内一般都会将新人固定在一个岗位上,得到的锻炼机会并不多。另外大公司的网络安全体系建设已经比较成熟和完备了,很多东西前人都已经打造好了,新人很难有机会经历一个东西从 0 到 1 的建设历程。
网络安全是一场没有终点的马拉松。随着云计算、大数据、人工智能等新技术的广泛应用,网络攻击的手段也在不断进化。从传统的病毒木马到现在的 APT 攻击、勒索软件,攻击面日益扩大。对于企业而言,建立主动防御体系至关重要。
未来的网络安全建设将更加注重智能化和自动化。利用 AI 技术进行威胁检测和分析,将成为主流趋势。同时,DevSecOps 模式的推广也将使安全左移,在开发阶段就融入安全考量,降低修复成本。对于个人开发者和管理者来说,保持持续学习的态度,紧跟技术潮流,是应对未来挑战的关键。
邓欣的经历表明,无论是大厂还是创业公司,只要拥有正确的安全理念和扎实的技术积累,都能在网络安全领域找到属于自己的位置。希望更多从业者能投身于此,共同守护网络空间的安全与稳定。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
生成新的随机RSA私钥和公钥pem证书。 在线工具,RSA密钥对生成器在线工具,online
基于 Mermaid.js 实时预览流程图、时序图等图表,支持源码编辑与即时渲染。 在线工具,Mermaid 预览与可视化编辑在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online