360追日團隊邊亮：上可逐日追兇，下可乘風破浪

最新 06-10

接到採訪任務時，按照慣例，我去網上搜了搜邊亮的資料，只看到百度百科中簡短的幾行介紹，更多的搜索結果是關於他所在團隊的報道。加微信的時候，這位安全專家還設置了不允許群聊添加，頭像是很多網站註冊時的默認頭像。這一切，似乎都貼切地詮釋了傳說中安全（hei）研究員（ke）高冷的形象……

但實際接觸之後，才發現這是個熱愛工作熱愛生活，技術和顏值都很能打的安全專家。在溝通時，他總是謙遜地說「不敢當」，總是強調團隊的團結和努力，一如很多從業十幾年的老兵，低調且溫和。

不一樣的「追」「日」

360 旗下有很多安全團隊，比如與 FreeBuf 合作密切的「獨角獸團隊」、天眼實驗室、近期大熱的區塊鏈安全團隊等。2015 年，360 創建了安全創新中心，搭建了涵蓋 Web、系統、移動、網路、硬體、IOT、車聯網、雲計算、APT防禦、區塊鏈等安全攻防體系，針對漏洞研究、手機安全、人工智慧引擎、樣本存儲搜索等多個方向設置了幾十個研究團隊。

相比之下，「追日團隊」這個名字看起來蘊含著「夸父追日」的神話色彩，似乎是藉助這個神話來展示團隊的遠大志向和堅定決心。但事實表明，安全研究員比文字工作者要踏實、直白得多。在剛結束不久的由FreeBuf 主辦的威脅情報&APT攻擊技術與趨勢高峰論壇上，邊亮是這麼解釋團隊名字的：

名字大家集思廣益討論了很久，一直想找個生動形象並且好記的名字，後來才想到這個名字。APT 攻擊者往往很狡猾，打一槍換一個地方，我們一直持續分析跟進相當於：追。追到幕後作者之後就得……後來大家一致覺得這個名字比較形象，就有了這個名字。

看到這個解釋，我不禁會心一笑，相信業內人士一看也能領會其中深意，畢竟很多人以前都「ri過站」。也就是說，這個「追」、「日」並不是那個「追日」，但是這個「追日」和那個追日一樣，道阻且長，但依然有勇往直前的堅持。

作為 360 旗下專註 APT 等高級威脅研究的團隊，追日團隊成員的日常就是從樣本和日誌的茫茫大海中找的新的攻擊線索、分析溯源最終形成報告。迄今為止，團隊已經發現了「蔓靈花」、「摩訶草」、「美人魚」等三十多個 APT 組織，並輸出多份公開或未公開的安全報告。

這個已經有幾十人規模的團隊，成立之初就以 APT 研究為目標。因為傳統的殺軟策略總是抓大放小，而 APT 樣本往往並不流行，容易被忽略。正因為如此，APT 組織的帶來的威脅可能比普通流行的病毒木馬更大，甚至關乎到國家網路安全。因此，團隊成員在成立之初都背負著很大的壓力。回顧團隊一路的發展，邊亮依然記得第一次發現 APT 攻擊組織的情形。當初，大家為了做出成績，都關在小黑屋裡沒日沒夜地分析樣本，最後偶然從一個查殺後仍然反覆出現的木馬中分析出了一個組織。雖然最後涉及敏感內容沒有公開，但所有的「初次相遇」總令人印象深刻。

踩過一些坑、積累了一些經驗之後，團隊慢慢從最初的焦慮發展到了如今的成熟，輸出的報告也更加追求嚴謹和精緻。這離不開每位成員的積累，也離不開整個安全領域的大環境發展。

APT溯源：依託新技術，依賴信仰和創意

在加入 360 之前，邊亮也在其他安全公司工作過一段時間。比較起兩份經歷，他最大的感受是如今有了大數據和 AI，工作起來節省了很多人力和精力，可以投入到更深入的研究中去。

我們每天收到的樣本有幾百萬，想從這麼大的量級中找到APT 攻擊相當於大海撈針，所以我們需要很多系統和流程幫助層層篩選可疑樣本，最後再由有經驗的專家進行人工分析。基於雲端大數據，利用大數據分析挖掘、高級威脅沙箱檢測、機器學習及專家分析構成的威脅情報以及態勢感知，可以有效的協助完成完全事件的定性與溯源。

但是，想做好威脅情報和態勢感知並不容易，關鍵在於「東西多」、「輸出快」和「結果准」。「東西多」是指要有大數據，基於數據說話；「輸出快」是指要在海量數據中以最快的方式找到新的威脅；「結果准」是指要有專業的分析團隊提供技術支持和分析。邊亮覺得，面對海量數據，需要有強大的存儲和搜索技術，才能將數據有效地使用起來。為了解釋數據存儲和搜索的重要性，他舉了一個生動形象的例子：

以家用硬碟作為存儲介質，僅僅樣本存儲量這一項業務，就需要使用幾十萬塊硬碟，平鋪開相當於6個足球場那麼大，如果沒有有效的存儲和搜索技術，想在這麼多數據中找到一條有效的結果，可能需要幾周甚至幾個月。但有了威脅情報和機器學習這些技術，搜索過程能縮短到幾秒，這對於分析和應急響應速度都有很大的提升。而速度快，正是安全的一大要素。

此外，依託於強大的搜索技術，如針對（千萬億級別的）大數據做特殊演算法優化等，也可以為分析人員提供強大的支持。

關於當下前言技術的發展，邊亮也表達了自己的看法：目前這些前沿技術對安全行業的影響大多還是正面的，比起越來越低的誤報率，技術的高效、快速、便捷都為安全防禦和響應提供了助力。

當然，在信息安全領域，人遠遠比技術重要。腳踏實地的實戰和日積月累的經驗是分析和追蹤的關鍵。在事件分析和溯源過程中，有時候也需要些創意和靈感。面對新出現的異常或者看似常見但可能是偽裝的其他異常，需要依靠經驗和腦洞，才能抽絲剝繭，發現隱藏在層層惡意代碼之後的攻擊組織。

由於這種工作特性，追日團隊的工作氛圍很開放，並沒有特別的要求和限制。有時候，某位成員也許靈光一現，就能找到一個新的線索，所以更多時候大家都集思廣益各顯神通。邊亮說，團隊里都是身經百戰的老兵，而且要是沒辦法沉下心來每天認真分析攻擊代碼，也很難進入這個行業。換句話說，從業多年的安全研究人員，大多都有著內心的執念和信仰，有著對這個行業的熱愛。

當前的網路安全環境對於個人而言相對簡單，但是針對企業、軍工、政府等的攻擊越來越高級，這些攻擊難以發現又能潛伏很久，帶來很大的挑戰。未來國與國之間更多的還是網路戰爭，智能家居、物聯網、車聯網也是未來趨勢，這種高級攻擊可能會影響我們基礎設施安全，城市安全，甚至國家安全。希望通過我們的努力能為我們國家的網路安全盡一份力。

不會玩的研究員不是好安全專家

我問邊亮現在做的事情是個人的理想和追求嗎？他回答說：「是的，我的運氣很好，我的職業同時也是我的興趣所在。」字裡行間透露著堅定。不過，除了本職工作，這名安全專家的興趣愛好還非常廣泛。他賽車、帆船、潛水樣樣精通，手握多個執照和證書，下一步計劃是去開飛機。

有些人業餘愛打遊戲，但我很愛出去玩，可能是個「偽黑客」吧，哈哈~安全從業者其實平時壓力比較大，這也是放鬆的方式。

我想，在這些上天下海的過程中，不僅有放鬆，也會觸發更多靈感，讓他在 APT 研究的路上，追蹤更多組織，發現並阻止更多威脅。

快問快答

平時我們接觸最多的主要是調試、逆向、反彙編相關，IDA 和 Ollydbg 工具以及內部大數據平台。想進我們團隊需要在這些方面有一定的經驗。其實安全是一個完整的體系，任何一個環節出問題，就會被攻擊者趁虛而入。所以作為安全從業者，其實方方面面都要有了解，都要考慮到，這樣看到一個文件或代碼的時候，才能準確地反應或聯想到合理的攻擊。此外，也需要大膽地猜想，嚴謹地驗證，這樣才能揭開那些重重偽裝的攻擊組織的真面目。

有些樣本中會有特殊的字元串或者內部編號等，有時候我們會以此命名。有些時候會以攻擊者攻擊方向或背景來命名。

相比之下氛圍會更活躍一點。我們團隊的女同事都很漂亮，出去演講能吸引很多關注（笑）。此外，工作過程中，有時候男性比較天馬行空，可能沉不住氣，但女生會比較細心、穩重。我們團隊的女同事英文都比較好，團隊輸出的英文報告大多都有她們參與。

站在女生的角度也許不會覺得很酷。我很多朋友剛認識我的時候，會覺得我會不會去盜他們的號，還挺尷尬的。其實我們作為白帽子，雖然知道這些原理，但並不會去做這些事情。此外，說到男女朋友，可能做黑客的女朋友會比較難有安全感吧，會擔心查手機之類的（笑）。

編者評：看來不了解這一行的同學對於安全專家還是容易有誤解啊。其實白帽子小哥哥小姐姐都很有愛啊，快來交個朋友吧！

APT 分析和溯源是一項壓力很大同時很有成就感的工作，有時候遇到瓶頸會很燒腦，但是當結果浮出水面的時候卻又讓人無比歡喜。如果你能享受這種痛並快樂的過程的話，那麼恭喜你，這將成為你熱愛的行業。

*本文作者：AngelaY，FreeBuf 官方報道，轉載請註明來自 FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！