先黑客一步保护网络安全是一种什么样的体验?

  最近一个周三的早上,100 名情报分析师挤进了一个没有特征的会议室,并通过拨号接通了群组电话,和来自阿根廷、巴西、塞浦路斯、印度、荷兰、罗马尼亚、西班牙、台湾和乌克兰的 100 位对手碰了个头。

  待在会议室里的时候,这些分析师彼此之间通报着“暗网”的最新进展。

  先黑客一步保护网络安全是一种什么样的体验?在位于美国弗吉尼亚州尚蒂利的安全公司 iSight 的总部,情报分析师正在电脑前工作。图片来源:Gabriella Demczuk for The New York Times

  巴基斯坦的一家安全公司正在赚着一笔小外快,以最少 500 美元一套的价格出售着它的谍报工具。已经有数家美国公共事业公司遭受了攻击,一个犯罪组织又重施故伎,用一种新型“勒索软件”感染并锁定受害者的电脑,直到收到赎金之后才会解锁。

  和军事上的侦察员提供敌军情报很像, iSight Partners 是一家提供计算机安全威胁情报的公司,它的雇员,也就是那些分析师,都很小心地不说出人名或者客户的名字,以防公开线路上的某处有人监听。

  半小时后,他们就都回到了键盘旁边,监控暗中进行的聊天和隐秘的市场、分析可以造成伤害的计算机代码、监视潜在攻击者所在的网络,并仔细查看社交媒体上有关即将发生的攻击的迹象。

  先黑客一步保护网络安全是一种什么样的体验?对于公司所关注的事情,iSight 的首席执行官约翰・特斯用军事术语来形容。

  在过去 8 年里,iSight 一直在默默组建着可能是这个新兴行业里最大的私人专家团队――这个行业叫作威胁情报业(threat intelligence)。在公司的 311 位员工中,243 位是所谓的网络情报专家,公司高管说,如果 iSight 是一家由政府经营的网络情报机构的话,这样的统计数据能让它排进世界前 10――不过由于公司行为天然的隐秘属性,这个统计数据是无法查证的。

  iSight 的分析师每天都在地下网络中挖掘信息,然后拼凑出黑客的意图、目标和技术,从而为他们的客户提供一些信息,比如警告他们即将迫近的攻击,以及被用来侵入计算机网络的最新工具和技术。

  按照 iSight 的首席执行官约翰・沃特斯(John P. Watters)的说法,公司的关注点在于“防止爆炸的发生”(left of boom),这是一个军事术语,指的是爆炸装置爆炸之前的时刻。沃特斯今年 51 岁,是一个高个子的德州人,他的标准制服就是夏威夷短裤和定制的牛仔靴。在谈到网络威胁时,他常常拿战争中的情况来做类比。

  “当我们进入伊拉克时,导致人员伤亡最多的并非狙击手,”他说。而是因为隐蔽的爆炸装置。“我们一直没能走在威胁的前面,直到我们开始自问:‘谁在制造这些炸弹?他们是如何得到原材料的?他们是如何引爆它们的?我们如何能在炸弹被放置到那些地方之前就进入这个循环里?’”

  他继续说:“我们的业务就是追踪那些武器商人和炸弹制造者,所以我们能防止爆炸的发生,并避免它造成影响。”

  到目前为止,iSight 的投资人已经为公司投入了 6000 万美元,他们相信公司的服务会在防止威胁发生的战争中填补一大关键空白。大多数安全公司,比如 FireEye 、赛门铁克 Palo Alto Networks 和 英特尔的安全部门 ,它们关注的都是拦截或者检测正在发生的侵入行为,或者在攻击发生之后处理它们。

  iSight 则直接瞄准了敌人。它的分析师中的很多人都能说流利的俄语、汉语普通话、葡萄牙语和其他 21 种语言,他们会潜入地下网络,看着罪犯一步步形成他们的阴谋、出售他们的工具。

  公司的客户包括 280 家政府机构,以及银行和信用卡、医疗、零售和石油天然气公司。分析师的报告会帮助客户确定最迫近的威胁和可能造成毁灭性后果的威胁的先后顺序。

  安全专家说,现在对此类情报的需求是有史以来最大的。在过去 3 年间,各类公司都一直在“大数据”分析工具上投资,这些工具可以在有人做出非常行为时发出警报――这些非常行为包括获得进入中国一台服务器的权限、建立私人连接,或者从公司网络中抽取数量非同一般的数据。

  这些工具带来的是持续不断、令人困惑的噪音。“除了一些最成熟的组织以外,其他大部分公司都被淹没在了警报里,”安全公司 Optiv 的首席安全官杰森・克拉克(Jason Clark)说。

  根据一月份由追踪数据泄漏的 Ponemon Institute 发布的研究结果 ,平均算下来,每个组织每周要收到 16937 次警报,其中只有 19% 被认为是“可靠的警报”,只有 4% 的警报能得到调查。当罪犯制造了足够的噪音、以致终于引发全面调查时,金融服务公司要想发现它们,平均要花 3 个多月,而零售商则要花半年多时间。

  “制造更多的警报不过是在浪费数十亿的风投资本罢了,”iSight 的一位投资人、Bessemer Venture Partners 的合伙人大卫・科文( David Cowan )说。他说,负责网络安全的高管最不需要的就是更多的警报,“他们没有时间,他们需要人手,需要可以让人采取应对措施的威胁情报”。

  科文和其他人都提到了 2013 年 Target 连锁超市发生的事故 ,当时这家零售商忽略了一个警报,从而让罪犯从它的网络上窃取了 4000 万名顾客的详细支付信息。

  此前一年,iSight 曾警告它的客户说,罪犯们正在编写和出售专门用来从现金收银机里抓取支付数据的恶意软件。如果 Target 听取了那次警告,那它网络中存在的暂时性问题也不会没人重视。

  “Target 面对的是所有零售商每天都会面对的问题,”沃特斯说,“它们每天都会被淹没在潮水般的严重警报里。如果没有威胁情报,它们从中发现正确警报的概率大概和玩轮盘赌差不多。”

  研究机构 Gartner 预计,在两年的时间里,iSight 所处的威胁情报市场的规模将会从 2013 年的 2.55 亿美元增长到 10 亿美元。Gartner 预计,到 2018 年,60% 的公司会在安全防御策略中包括威胁情报这一项。

  iSight 正在计划明年上市,它希望自己实现资本化运营――这个市场中充斥着数十家各自业务略有不同的网络威胁情报公司,上市也是它们的目标。

  初创公司的激增,已经让主管计算机安全的高管们有了新的怨言:他们收到的报告中,有时候能有 40% 的内容是重合的,而且每份报告都不便宜。iSight 会依据规模向客户收费,虽然它并没有透露定价信息,但一些客户说,它们每年要为 iSight 的服务支付 50 万美元或者更多,大概是低端服务收费的 5 倍。

  iSight 90% 的收入都来自于对其六大情报流的订阅费用,这六大情报流中的每一个都专注于某一特定的威胁,包括网络间谍活动和网络犯罪。

  公司最近遇到的竞争来自于它最老的客户们,特别是银行――它们也一直在招聘曾经的情报分析师来开展内部情报分析。公司曾经的一个客户就说,它取消了对 iSight 服务的订阅,因为由公司自己开展的情报项目所需的成本只有订阅费用的一半。由于担心违反保密协议,该客户不愿透露自己公司的名字。

  但大多数公司并不具备像美国银行(Bank of America)那样的资源――美国银行的首席执行官最近说,它们家的网络安全预算是不封顶的。

  许多此类公司的网络上还在使用着昂贵的安全技术,而这些技术不断响起的警报声则让这些公司变得麻痹了。

  在 iSight 的威胁中心,这家公司一位顶级分析师穿的 T 恤上有一个 logo,上面的一句话也许最能总结公司对待自己业务的态度:“Someone should do something”(该有人管管了)。

发表评论