淺友們大家好~我是史中,我的日常生活是開撩五湖四海的科技大牛,我會嘗試各種姿勢,把他們的無邊腦洞和溫情故事講給你聽。如果你特别想聽到誰的故事,不妨加微信(shizhongst)告訴我。
文 | 史中
你中哥,作為一個優秀的網絡安全科普作者,無論是吃飯睡覺打豆豆,腦子裡都會時刻想着讀者期待的小眼神兒~
什麼,你不信?給你舉個栗子。
前兩天被女票逼着又看了一遍《卑鄙的我》(就是小黃人)。本來覺得無聊昏昏欲睡,突然垂死病中驚坐起,想到一個好選題!
小黃人的故事,
不就是在教我們如何防止被黑客入侵嗎?
神馬,你不懂我在說什麼?
這位淺友你先坐下,聽我慢慢給你說。
小黃人有什麼特點?
1、數量衆多;
2、萌且白癡;
3、任勞任怨兢兢業業齊心協力地為主人工作;
4、然而智商捉急,任何一個小黃人腦筋短路,都會神坑一把主人。
這些小黃人像什麼?
像極了網絡裡一台台電腦。
尤其是企業内網裡的電腦,它們和小黃人一樣數量衆多,任勞任怨;但與此同時,每一台電腦都有點“蠢萌”,它們沒辦法獨立抵禦黑客的花式蹂躏;一旦一台電腦淪陷,很可能把其他電腦也拉下水,最後導緻黑客大舉入侵。主人,卒。。。
我的興緻來了。
那麼多數量的小黃人,每個人都有坑的概率,用小學數學掐指一算:一萬個小黃人,坑的概率就上升一萬倍,這可怎麼辦?
同樣道理,企業内網動辄上萬台主機,任何一台電腦被黑客搞定,都有可能全網一起成盒。這又怎麼辦?
我決定去找個大咖聊聊。
終于一位神秘而低調的大佬接受了我的面基,他就是騰訊技術工程事業群企業IT部總監蔡晨,被同事親切地稱為蔡爺。怎麼樣,這個名字社不社會?氣場你感受一下。
蔡晨
蔡晨這個職位乍一聽起來不太性感,實則 Super 厲害。不如我做個粗糙的比喻吧:
如果把騰訊内網比作一個巨大的網吧。那蔡晨就應該是“總網管”。不過,這個網管可不會賣給你泡面。
更準确地說,蔡晨的身份更像是:八十萬禁軍教頭。他麾下掌握着騰訊内網十萬台電腦的生殺榮辱,安危旦夕。
蔡晨是騰訊的 1887 号員工,當年在騰訊隻有三四千人的時候,他就扛起了“内網安全禁軍教頭”的職責。說起來,那都是 2006 年了。
先給各位八卦一段公開的小秘密:
0、朽木事件
上了歲數的人(例如八零後),也許聽說過當年的“朽木事件”。
朽木是一個“傳奇”黑客。他不僅是天涯社區上口無遮攔的大V(在天涯上他的 ID 是:菜霸),還是坊間傳說“盜過馬化騰 QQ 号的人”。
2006年,朽木黑進了騰訊的内網,拿到了騰訊業務的敏感數據。甚至還直接給馬化騰發了信息。雖然事後證明,朽木更多地隻是一種偏激的炫技,并沒有造成損失,但是這件事當年卻沸沸揚揚地見諸于公開報道。史稱“朽木事件”。
這讓正在急速上升的企鵝驚出一身冷汗。原來自己的内網安全竟然是這樣弱雞。
當時的蔡晨加入騰訊剛剛一年,也算是個萌新,負責公司的 IT 網絡建設。就在朽木事件發生後不久,小蔡被領導拉過去,強行安排了一個光榮的使命:建立一個内網安全系統。
于是,當年的小蔡迅速入坑,和同事一起開發。直到今天,這套系統已經成長為一個碩大的安全系統,小蔡也已經老成了今天的老蔡。
我拉着蔡晨讓他講了小黃人,不不,小企鵝内網安全的曆史。
如今已經滄桑曆盡的蔡晨告訴我:内網安全最重要的就是把簡單的事情做到極緻。
十幾年來騰訊主要就做了兩件事情:
1、基線;
2、監控。
1、基線——《小學生行為手冊》
當年騰訊已經有三千多人了,三千多人就對應了至少三千台電腦。
用小黃人打個比方:
在一幢大樓裡,住着三千多個小黃人,他們都很蠢萌(以蠢為主),甚至壞人給一顆糖都能被騙走。這時一旦有壞人在糖裡藏了病毒,那麼就很容易讓一個小黃人生病。
而一個小黃人和另一個小黃人之間是要協作工作的,打個噴嚏就會傳染另一個。這樣病毒就會很快擴散傳染,最後他們都被壞人控制,起義造反,主人涼涼。
當時騰訊面對的情況,就差不多是這樣。
排查了一下,内網幾千台機器,隻有大概60%安裝了殺毒軟件。很多裸奔的筆記本,同事們還會晚上帶回家玩,白天拿回來繼續搞工作!
關鍵在于,這些内網中的機器之間根本沒有安全隔離措施!
蔡晨說。
你體會一下,一個小學生不小心感染了流感,但是家長還是把他送到學校,最後同學們很多都被傳染了。。。
果不其然,當時的騰訊内網就是這樣,如果有一台機器感染蠕蟲,很容易就會擴散到幾百台。
内網安全的同事們都兩眼一抹黑,隻能摸着石頭過河。他們覺得,第一件事就是要給所有終端設定“基線”。
“基線”這個詞聽起來陌生,但其實很好理解。還是用小黃人比喻每台電腦的話,基線其實就是給每個小黃人制定《小學生行為手冊》。
比如:
飯前洗手——強制安裝殺毒軟件;
不和陌生人說話——關閉不必要的端口;
不和高年級學生交往過密——工作區間區域隔離;
進教室要刷門禁卡——員工人手一個雙因子令牌(類似于銀行的U盾)。
當然,基線規則還有許多,例如:系統要及時補丁,安裝反病毒軟件,關閉高危端口,強制系統加固,網絡區域隔離,雙因子令牌,代理訪問,特殊網絡單向通訊,上網出口限制,惡意請求攔截等等等等。
你想想看,隻要每個小黃人(終端電腦)都能夠按照規範去做事,那麼安全性肯定會達到一個相對不錯的标準,這就是“基線”的含義了。
但是你有沒有發現,這裡存在一個問題:
就算你給小黃人制定了《小學生行為手冊》,他們也不一定每個人都執行。。。
同樣,就算你給内網每台電腦制定了“基線策略”,也不一定每個員工都能遵守。。。
所以,為了保證人人都能遵守基線規則,才有了大名鼎鼎的“iOA”。
這是 iOA 的工作界面。
很多互聯網碼農加班狗大概率都聽過騰訊家的 iOA,還沒聽說過的同學可以趁機了解一下。簡單說來, iOA 就是一個助手:
你喜歡電腦裸奔沒問題,但 iOA 如果監控不到殺毒軟件,就不允許你進入工作程序;
你記不住給系統打補丁,iOA 會在補丁出來的第一時間,強制為你的電腦打上;
你忘記關閉電腦的高危端口,iOA 直接幫你關閉;
你想給内網另一台主機直接傳輸文件,iOA 在網絡層就攔截下來。
注意,iOA 是安裝在每台電腦上的:
你有一個每天提醒你穿秋褲的媽媽麼?
iOA 比媽媽更貼心,它直接幫你把秋褲穿上,把保溫杯端好,跟着你上班,遇到上來問路的陌生人直接一拳幹倒,然後站在原地大喊:還有誰?
就是這麼彪。(下次你媽再讓你穿秋褲,你要理解,她是在強制對你進行系統加固。)
說實話,蔡晨也不想做這些基線,他知道同事們肯定不理解,覺得被束縛。但是,也隻有他才能看到,自朽木事件以後,各路大俠對騰訊的攻擊是一波接一波,如果整個騰訊内網再像以前一樣裸奔,那公司早就投胎好幾輪了。。。
而且領導層也已經認定,這件事必須得做,這是沒有商量餘地的。
果然,2007年騰訊以公司名義推行這套基線和 iOA 的時候,内部論壇裡瞬間炸開了鍋。
“老子在家被媳婦管着就已經受夠了,為啥在公司還要受這麼多限制?”
“本來登錄自己的内網賬号一秒鐘就OK,現在非得插一個令牌,真是煩的一比。”
“這麼煩的東西,究竟是誰開發的啊??”
看到内網裡的讨伐,蔡晨一開始慫在一旁潛水,但是後來他覺得這樣下去不行,于是在每個帖子下面回帖,以一個路人的姿勢解釋:“公司這麼做是有道理的,大家不了解,我們面臨的攻擊形勢其實非常嚴峻。。。”
直到同事們發現,每次在類似帖子下面認真回帖的都是蔡晨,才終于找到了那個開發 iOA 的“罪魁禍首”。
功夫不負有心人,經過一年多堅持不懈的回帖,還有公司組織的幾次全員安全意識的培訓,内網安全團隊的苦心終于被小夥伴理解了。
然鵝,很快他們就發現,隻有 iOA 還是不夠的。
2、檢測——監控探頭
顧名思義,基線隻能解決基本的黑客入侵問題。
1)簡單來說,企業内網建立了基線以後,就像在大廈外面築了一層高高的圍牆,60分以下的黑客,就隻能望洋興歎。當然毫不客氣地說,這世界上絕大多數黑客水平都不夠六十分。所以 iOA 可以解決很大一部分的黑客攻擊,讓安全風險能夠“收斂”。(注意,在安全這一行,讓風險“收斂”是一個非常重要的目标)
2)但是高水平的黑客,仍然可以突破 iOA 所守護的基線。這時,除了圍牆以外,就需要在大廈裡裝備一套“監控探頭”。
蔡晨和團隊搞出的這套監控探頭,名字叫做“TSOC”。
簡單來說,TSOC 就是把各個終端上的信息彙總起來,進行綜合分析判斷。
如果還是用小黃人舉例:
TSOC 就是實時觀察每個小黃人的健康狀況,行動軌迹,發現哪個小黃人表現怪異,馬上揪出來。
實際上,TSOC 和 iOA 是遞進關系:
1)iOA 是籬笆——負責防止黑客完成單點入侵;
2)TSOC 是監控系統——一旦 iOA 沒有擋住黑客的單點入侵,那麼 TSOC 可以防止黑客在電腦之間流竄。事态就不會進一步擴大。
說到這,蔡晨總結了他的心得:
做防護和打仗是一樣的。
如果像蘇聯那樣把重兵都放在前線,那麼德軍一旦突破防線,就會長驅直入。所以要在整個防護空間裡布滿小鈴铛。黑客躲過一個,躲過兩個,他不可能都躲過吧。。。
這就是我們做 TSOC 的指導思想。
回到開頭我看《卑鄙的我》時候的那個疑問:如何管理幾萬個小黃人,不讓他們神坑主人?
答案也很簡單:
1、基線:給每個小黃人一個《小學生行為手冊》,然後找一個媽跟着他們監督實施;
2、監控:實時觀察每一個小黃人的狀态,稍有異常就趕緊關到小黑屋,檢查處理,追根溯源。
其實說到這裡,騰訊十幾年的内網安全史就差不多交代清楚了。
但是,有一個特别重要的腦洞,我還一直埋着,沒有亮出來。
3、量級
你可能沒有意識到,我們的一生,都在和量級作鬥争。
你吃一個饅頭容易,吃十個饅頭就很難。
你每月賺到5000很容易,每月賺到50000就很難。
你學會500個英語單詞很容易,你學會5000個英語單詞就很難。
你打遊戲的時候,苟到最後十人挺容易,但是把把吃雞就很難。
體會到了嗎?無論是人生哪個方向,跨越一個量級,難度可不止增加十倍。
同樣,做内網安全最大的困難可不是搞定“基線”、“監控”這些策略,而是面對騰訊内網不斷增長的終端數量。
蔡晨舉了一個特别具體的例子:
每台機器都有自己獨特的系統環境,由于網絡隊列堵塞、客戶端數據堵塞等客觀原因,iOA 并不能百分之百控制每台機器。
在總共有一千台機器的時候,如果 iOA 能自動控制内網機器的90%,就會有一百台和整體脫節,需要手動去配置;
但是加一個數量級,到了一萬台的時候,如果還是這樣的控制率,那就會有一千台機器脫節,這時手動去配置就已經成為不可能了。
如果再加一個數量級,面對十萬台機器,如果 iOA 再不進行技術升級,就已經完全失效了。
這個例子,我可以翻譯一下:
就像一把木質梯子,可以用來爬二樓;
同樣材質的梯子,二十根接起來,能用來爬電視塔嗎?
同樣材質的梯子,十萬根接起來,能爬到月亮上嗎?
所以,每當内網機器暴增的時候,不能直接把 iOA 和 TSOC 的規模做大,而是要研發新的技術框架。
他說,每當使用新的技術架構,iOA 和 TSOC 都會進行大版本升級。這些年, iOA 已經升級到了 5.0,而 TSOC 已經升級到了 4.0。這就意味着他們已經分别作了四次和三次技術框架的重寫。
現在你能理解,蔡晨所謂的“把簡單的事情做到極緻”了嗎?
1)計算力需求越來越大,就靠騰訊自家海量的服務器頂上;
2)原來曆史所有數據都混在一起,後來就拆開成冷數據和熱數據;
3)開源的 hadoop 平台頂不住,就自主改進更适合大規模數據的平台;
4)單純的關鍵詞匹配控制率無法提高,就加入機器學習的算法。
總之,内網安全團隊的标準是:工具可以改進、算法可以改進、平台可以改進、架構可以改進,就是數據一個字節都不能少采集,對十萬台機器的控制率一個百分點都不能降。
這才有了今天的 iOA 和 TSOC。
其實,在地下黑産圈,專門有黑客研究如何攻破 iOA 和 TSOC 的防禦。不過時至今日,騰訊再也沒有出現當年朽木事件那樣的問題。
4、很多内網的現狀,正如當年的騰訊
我其實有一個疑問,騰訊既然這麼有錢,為什麼要吭哧癟肚地重頭研發安全系統,騰訊的專業不是買買買嗎?從市場上第三方安全公司買一個好的解決方案不就完事了?
我問蔡晨這個問題。
他無奈地搖搖頭:不是不想買,而是買不到。
其實,當年在營建内網體系的時候,能買來的組件,幾乎都買了,例如上網套件用的是 Websense,殺毒用的是賽門鐵克。
但是,他們越做越覺得,這些 Gartner 第一象限裡的産品慢慢都不好用了。
問題還是出在“量級”上。
這些國外的成熟套件确實能用在大量級的内網上。但是,騰訊那幾年瘋狂的生長,已經把自己變成了超量級的網絡。很多安全産品一旦面對大一個量級的網絡,性能就會迅速劣化。
舉個例子:
一輛小汽車,車上坐個四五個胖子都沒關系,但是如果讓它拉動一節火車皮的人,那不用想,門都沒有。
所以,最終蔡晨又帶隊重新開發了自己的系統替代掉了買來的産品。現在騰訊内部使用的一整套安全系統,是非常适合中國企業的,在全世界都沒得買。
世界從來不會憐憫誰。
蔡晨提到了一個可怕的趨勢:網絡核武器的平民化。
1)供給企業的木馬,按照專業程度從高到低可以分為:軍工馬、商業馬、普通馬,等等。
軍工馬所需要的技術非常強。要能從各路殺毒軟件眼皮底下溜過去,要跟得上主流的操作系統,要功能夠強大,為了保證攻擊效果,單是連接控制端的方法就恨不得有十幾種。
2)正是因為軍工馬這種武器很昂貴,以前企業遇到的軍工馬的機會比較少,處境沒有那麼危險。
3)但是現在不一樣了,你經常能看到消息,軍工馬的源碼被洩露到互聯網,或者用于“造馬”的高價值漏洞被放在暗網裡面交易。
4)現在的情況基本是:黑客人手一個核武器,各家企業的處境很恐怖。
現在,越來越多的政府機構、大企業會被這些核武器騷擾。2017年5月爆發的 WannaCry 病毒不就是一個例子嗎?
可能有童鞋已經忘了 WannaCry,我幫你複習一下。
2017年,WannaCry 病毒利用美國洩露的軍工級漏洞,席卷了全世界,當然也包括中國。而在中國,受傷害最嚴重的地方,恰恰是很多政企的内網。因為他們的安全措施,還停留在“内網隔離”的階段。而病毒一旦進入内網之中,就一馬平川,導緻那個時候很多派出所、加油站都暫停了業務。
他們的防護等級,像極了2006年的騰訊。
當年一個朽木事件,可以讓騰訊奮起;越來越多的“網絡核武器攻擊”,也正在讓事關國計民生的政企意識到這個問題。
我忽然發現,其實很多大企業所面臨的情況,和當年的騰訊頗有幾分神似。
1)沒有完整的企業内網安全基線,也沒有内網監控系統。
2)很多政企人員衆多,需要能适應大規模網絡的安全産品。
臨近告别,蔡晨告訴我,他們正想把騰訊的内網安全能力做成産品,通過騰訊雲輸出,幫助政府或者企業改進自身安全。
在2018年5月的騰訊雲 峰會上,蔡晨還第一次走出幕後,站在舞台上宣布自己的團隊将會推出内網安全産品的消息。
低調的他還順便向台下的觀衆“坦白了”騰訊内網安全防護的十年“另類曆史”。被同場的騰訊雲副總裁 baal 戲稱為“揭了自家老底”。
如此說來,今天我把騰訊内網安全的往事寫出來,也是在揭騰訊老底。不過,我猜所有騰訊人都明白:老底是不怕揭的。
因為我們哪個人不是從錯誤中走出來的呢?
前兩天,我寫了一篇文章《壯年騰訊》,試圖探究騰訊的夢想。我同樣問蔡晨這個問題。
有句話叫達則兼濟天下。
這就是我現在的夢想,他說。
再自我介紹一下吧。我叫史中,是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友,可以關注微博:@史中方槍槍,或者搜索shizhongst。
不想走丢的話,你也可以關注我的自媒體公衆号“淺黑科技”。
----
----想看更多請點擊下方閱讀原文----
淺黑科技,讓技術被讀懂
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!