查看原文
其他

英雄的白骨前,站着守望数据的少年

史中 浅黑科技 浅黑科技 2023-01-19

浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。如果你想和我做朋友,不妨加微信(shizhongmax)。



英雄的白骨前
站着守望数据的少年

文 | 史中



(零)谁是陈宇森 


陈宇森也许还记得,2014年,22岁的他和其他三位小伙伴在邮件里七嘴八舌,为即将出生的网络安全公司投票选一个“命硬”的名字。

“长亭科技”最终胜出,带着弘一法师式的欢腾与泠然。

陈宇森也许还记得,2016年,一群刚毕业的学霸手握闭关淬炼的“WAF神器”,把市场上已经存在十几年的老牌公司轰得灰头土脸。

尘烟飞扬,裹挟少年锋芒。

陈宇森也许还记得,2018年,自己站在舞台上蛋定地宣布拿下新一轮融资。可就在彼时,商业之河的下游已有不少公司感受到海水倒灌的冰冷。

而后被命运拖入鏖战,时间显得漫长。

陈宇森也许还记得,2019年,几人围炉长谈。为了给一起战斗的小伙伴们一个不算太坏的交代,他们最终接受了阿里巴巴抛来的橄榄枝,被全资收购。

摘掉屠龙少年的纹章,换上一袭“职业经理人”的西装。

然而,“记得”不是“沉溺”,收购并非收买。凡人心满意足的 Happy Ending,总是阴差阳错成为英雄的序章。

2021年的一个午后,陈宇森向阿里巴巴提交辞呈,放弃尚未兑现的一切权益,在长亭外和长亭道珍重,夕阳下和老友看山外山。他写了一封长长的告别信,在发出前一刻又删得一字不剩。

脱掉“职业经理人”的西装,重新戴好屠龙少年的纹章。顺便留了一头长发。

陈宇森


这一年,疫情仍然肆虐,乌云密布,难见暖阳。

这一年,巨头仍在用钞票和大棒封堵目之所及的创业公司。陈宇森仍旧不知道世界是否会留给年轻人一条逆袭的路,但他比以往更确信,认输不在选项之中。

摸摸剑柄,依旧温热。




(一)谁是王宇 


如果没有川普和疫情,就不会有 2020 年美国签证暂停和旅行限制。

如果没有签证暂停,王宇就不会在回国续签工作签证的时候被卡住。

如果没有被卡住,他就不会留在中国一年多。

如果没有留在中国,陈宇森就没办法揪着他“日夜厮磨”。

如果不是两个男人天天撕膜,就不会决定合伙“二刷”创业。

说到大黑客王宇,那我可就不困了——我决定让陈宇森同学先一旁候场,擦擦键盘上的灰,恭恭敬敬地给你讲几句王宇的艺术人生。

王宇


这么说吧,在360如日中天的那几年,王宇就负责日天。

具体动作是酱的:

“360安全卫士”保卫你的电脑,需要做出很多“钩子”,强势插入 Windows 系统内核诸多“敏感点位”,每当系统要启动一个进程,或者“创建”、“修改”、“删除”一个文件时,都会触发钩子。
一刹那,赛博世界里的时间被按下 Pause 键。
钩子的另一端连接着 360 的拦截引擎和查杀引擎,就在时间凝固的当口,马上要执行的代码会从引擎火速通过,确定没有危害,才会按下 PLAY 键,把舞台交还给 Windows,接着奏乐接着舞。

给你看下慢动作:


这些钩子有多忙呢?算算看,单单在一台电脑上,每天就会被调用成千上万次,何况安装360的电脑还有几亿台。

不夸张地说,这里的代码但凡哆嗦一下,轻松就把无数计算机同时拖慢几十倍,再稍微努努力直接把半个中国的 Windows 搞蓝屏也不难。。。

当时在360负责这个核心模块的只有五六个人,叫做“核心安全团队”,王宇正是其中之一——上亿台电脑的生死都捏在他们手中,你说日不日天。

他还记得,那时周鸿祎非常诚恳地鼓励大伙儿:“你们几位可千万别出错啊。。。用户一蓝屏,360就没了;360一没,你们也没了。。。”

如今,360还在。

那几年在360闭关,王宇相当于在古墓里练了个《九阴真经》,对操作系统底层运转已经熟悉到了庖丁解鱼的程度,连每一个“接口调用”上捯八辈儿的演化历史都能说清楚。

“鱼钩”和“鱼嘴”衔接的位置,就是“接口”,每个接口的特性和历史沿革都不同,能够完美勾连,才是关键。


有了这样的底子,王宇的眼睛就不是人眼,而是孙悟空的火眼金睛。

那几年,他披坚执锐参加黑客战队,认识了同样凶猛的陈宇森。他还独坐高楼,挖出好多 Windows 的隐秘漏洞,全世界各种黑客大会犹如后宫嫔妃,任他翻牌子,想上哪个上哪个。

顺着这个姿势,王宇开启了他的国际生涯,加入当时炙手可热的安全公司 FireEye,用火眼金睛揪出好几个后台硬到我都没办法在这里说的黑客团伙之后,2016年他跟随硅谷大牛弓峰敏创建数据安全公司 AssureSec,成立一个月就被滴滴收购。

而后,他在滴滴美国研究院潜心钻研数据保护技术,直到2020,签证无法续签。。。

其实不必挑明,签证官不给续签只是表象,真正盖下“拒签”印章的,恐怕是他自己的灵魂吧。

你看,陈王两位,一个创业五年,一个创业一个月,不管时间长短,都因为种种原因没有陪自己的公司走到最后,妥妥算是“二手男人”。



二手男人是个宝,恰恰因为他们心中有遗憾,也最知青春宝贵,要把时间浪费在值得的事情上。

什么是值得的事情呢?

当然是再创立一家属于自己的网络安全公司,不买挂,不氪金,不轻信,不摇摆,不偷懒,不冒进,不后退,不妥协,用屠龙少年的姿势再刷长征路,像年少时街机前几十个鼻涕孩儿围观的拳皇高手那样,一币通关,在夕阳中离去,留下身后此起彼伏的卧槽!卧槽!!卧槽!!!

谢幕的炫酷姿势都排练了几遍之后,两个人回过头来看对方:咱们该做个啥产品?




(二)保卫数据的“二手男团” 


这场讨论并不容易,前后绵延大半年。

我们不妨穿过任意门,坐在两人身边,来回放一下这个智慧的火星子四溅的论证过程。

1、网络安全要保护啥?当然要保护“重要的东西”。

2、重要的东西很多。作为新成立的网络安全公司,要想效果炸裂,最好当“风口上的猪”——去保护过去没那么重要,现在正在变得非常重要的东西。

3、那么,接下来的问题就是:中国正在吹什么风呢?有一股风比较确定:经济的转型升级。

就拿工业来说,如今无数工厂都在给自己加“智能制造”的 Buff,可想而知,这片土地上的 IoT 设备和工业互联网设备会在未来爆炸式增长。那。。。保护物联网设备行不行呢?



4、王宇走访了很多技术大牛和投资人,得出的结论是:行,但暂时不行。

纵然现在众多创业公司和投资人都在向这个领域蜂拥,但传统产业智能化本身就是个很长的过程,配套的网络安全公司估计得先烧个几年钱,最后大家卷不动了毒圈里剩下的一两个幸运儿还得白刃一番才可能吃鸡。

太残酷,太费钱,要不起,还是先猥琐发育吧。。。

5、不过,顺着“新经济”这个方向摸索,却能打开一番新天地。比如,产业升级还会带来一个隐蔽的趋势,那就是——数据价值的暴增。

啥是数据价值?

打个比方,20年前的玩具厂,生产图纸被盗走了,他们会很担心吗?

大概不会那么担心,因为方圆100公里的厂恨不得生产的都是一毛一样的玩具,你偷我图纸有啥用?咱们比的是同样的东西,你成本一块,我成本九毛。

现在的玩具厂,图纸被盗会担心吗?担心死了!

因为图纸上的产品很可能是顶尖设计师搞出的独家创作,没准还是潮牌联名款,恨不得全村人的年终奖都押在这张图纸上了。。。

再打个比方,20年前的车企,如果它的用户数据泄露了,它会担心吗?

大概它。。。就没有用户数据。因为车企会把车卖给经销商,它并不关心哪个个人买了自己的车,也就不会花时间来记录整理这些信息。

现在的车企,用户数据泄漏了,甭说别的,《中华人民共和国个人信息保护法》就足够它喝一大壶的了,何况他们还要靠这些数据和用户建立联系,不断增加用户粘性和价值。

既然数据越来越有价值,那么保护数据安全,这事儿能干么?

能!

为啥呢?不仅因为王宇在滴滴的时候就深入研究了这个领域,还因为数据保护产品比较轻量级,哪怕是创业公司,只要效果够炸,很快就能杀出重围。

数据就像鱼塘里的鱼


保护数据的神器应该长啥样呢?

咱们先来看看数据是如何泄漏的。一般来说,数据泄露有两种姿势:

第一种,外敌:黑客利用系统漏洞攻击进来,然后把数据传输出去。



第二种,内鬼:有人和公司员工暗地里PY交易,员工主动把数据传给他。



第一种,理论上可以探测到网络攻击的蛛丝马迹,我们后面再解释;至于第二种,可就隐蔽多了。

绝望的是,事实上所有数据泄露的故事里,九成以上都是内鬼作祟的剧本。。。这也侧面印证了人类的道德水准——就是没什么水准。

可是,无论哪种方法泄漏数据,总有一个动作是必不可少的,那就是——把数据传出去。

所以,任尔几路来,我只一路去,搞一个能自动发现并且阻断数据泄漏的系统,不就是顶好的创业切入点么?!



两个男人想到这里,一种橘子洲头指点江山的感觉来了。

以至于,他们做了一个胆大包天的决定,给自己的新公司起名叫做——薮猫科技。

现在,不许查字典,你来告诉我,他们公司名字怎么读。。。

正确答案是:Sou(三声)猫科技。

如果一家公司的名字99%的人都不会念,那么只有两种可能:第一,它会变成一个人们根本没兴趣了解爱叫啥叫啥的破公司;第二,它会变成一个客户们为了买他们东西必须花两分钟查字典而且余生难忘的好公司。

显然,陈王二位英雄准备不成功就成仁。

事情是酱的:他俩都喜欢养猫,于是合计着找一种猫当公司的名字。找来找去,发现了薮猫。

这种产自非洲的猫虽然面相可爱,但战斗意志极强,逢人便问“你瞅啥”,堪称猫界平头哥,又名喵星小猎豹。

薮猫


与其说这是名字,不如说这是战书。

王宇担任薮猫科技 CEO,一头扎进产品研发。陈宇森呢?担任 CSYO——首席怂恿官。

啥是怂恿官?举大计,光靠这两个二手男人赤身裸体肯定还不够嘛,他们不仅需要SY(怂恿)更多人加入,还需要SY投资人的钱加入,谁让陈宇森江湖名号最响亮呢?举大旗的事儿非他莫属。

段定龙是睡在陈宇森上铺的兄弟,物理意义上的,大学室友。

前几年也是在陈宇森的怂恿下,他和几个好友创建了潜水App Dive+,脚下一滑就做成了注册量超百万的世界最大的潜水App。

我登录 Dive+,看到了潜水教练们


Dive+运营稳定,稳定到他像一个拥有40套拆迁房的大叔,唯一的工作就是按月收钱。。。

想来想去,他决定去学校深造,充实自己。

2021年春节前,一个阳光明媚的下午,他正在床上发着呆,沉浸在中欧校园生活的微醺中。

“明年你的实习工作就来帮我搞搞公司吧!”陈宇森发来了一条微信。

段定龙就这样出任薮猫 COO,首席运营官。

段定龙


此刻,陈宇森的SY还不准备停下来。他的经验是,一个牛X的安全公司不能只卖几样产品,还必须有很强的安全服务能力。所谓安全服务,就是有一群很厉害的网络安全工程师,客户遇到啥事儿他们都能给平。

想象一个场景:假如你是公司老板,几次遇到燃眉之急,都是这个X猫给帮忙解决的,你能不认真查查字典看看这个字到底念“数”还是念“叟”么?你能不认真考虑一下买薮猫的产品么?

陈宇森找到 Darker 时,他刚好跟几个兄弟参加完一个国家级网络攻防演练——三五个人,七八条枪,直接把某国家级数据中心打穿(当然是有授权的情况下)——正站在领奖台上,示意大家都坐下,基操,基操。

陈宇森这种眼神毒辣的老炮儿怎么能错过如此优秀的男人,这次不只SY,还SG(收购)了 Darker 的矩安科技。就这样,Daker 变身成为薮猫科技的安全服务负责人。

Darker 李福


至此,薮猫男团组队成功!撒花~~

为了庆祝组队,四个男人一起去。。。捏了个脚。。。正规的那种。。。(一旁的陈宇森:喂,好像捏脚也没啥不正规的吧。。。)

你有没有发现,这四个人全部都有过创业经历,可谓全员经验丰富的“二手Boy”。而且以防你没有注意到,我提醒你一个扎心的细节:这四个人里,除了王宇是个80后“老男孩”以外,剩下全是90后。

估计很多浅友看到他们,会油然升起一种“我他喵的还是母胎单身,凭什么比我小N岁的人已经生了二胎”的幻灭感。。。

彪悍的人生,中哥也解释不清楚。





(三)从渔网到保镖 


2021年秋天,金风飒爽,是个写代码的好天气。

牛也吹了,X也装了,脚也捏了,那三位看着王宇:来吧,开始吧,整吧!

王宇撸撸袖子,过去十年的积累效果如何,就看洒家这一波输出了。

为了让你充分感受到智识上的愉悦,这里我们不妨先简单科普下“数据安全”的完整图景:

1、注意,数据不是生来敏感,有些数据比其他的更敏感——普通数据爱丢不丢,敏感数据绝不能丢。

然鹅,敏感数据和一般数据总是混在一起的,就像“鱼儿”离不开“水”。



2、对于一个企业来说,鱼(敏感数据)粗略分为两种:一种是用户资料,比如用户的电话、注册信息之类,一般存在云上的数据库里;另一种是经营数据,比如“工资表”、“设计图”之类,一般就直接存在员工电脑组成的内网里。

我们不妨把云上数据库看作一个“鱼塘”,把员工电脑组成的内网看做一条“河流”。

两个地方都有“鱼”。



3、鱼塘就是专门养鱼的,周围自然有高墙电网,一般不太好接近,丢的可能性有,但没那么大;可员工电脑这条河流,一端连着鱼塘(数据库),一端连着汹涌的大海(公网),反而比较危险。



鱼一旦游进大海,马上就消失得无影无踪。。。



根据这张图,我们不妨一起思考下,要想防止敏感数据泄露,应该肿么办?

没错,应该在河流的入海口加一道渔网嘛。

就像下面这样:



不瞒你说,市面上已有的数据防泄漏产品,他们的做法就是在这里加一道渔网。

但是,薮猫男团要做的“数据防泄漏产品”也是这样的吗?

非也非也!

在王宇看来,这层渔网在多数时候不过是自欺欺人的“摆设”。

这么伤人的结论是怎么得出的呢?

因为,这层渔网不是大坝,它必须在拦截住鱼(敏感数据)的同时允许其他一切(普通数据)往外流。

泄密者明明知道鱼会被渔网拦截,他肯定会想办法给鱼做伪装的嘛。

比如,敏感数据可以被压缩,这就像在外面糊上一层泥,鱼就不再像鱼了,渔网也就没有理由拦截;比如,敏感数据还可以被加密,就像把鱼做成鱼蛋鱼饼甚至捣成酱,通过渔网之后再还原回来。。。

就像下面这样:



归根到底,传输出去那一刻只是数据流上的一个静态切面,如果防泄漏系统只在静态切面上进行分析,那我们肯定有成千上万种方法欺骗它。

王宇解释。

顺着王宇的思路想,只在一个切面上做判断,确实是很滑稽的。

就像明明有一个坏人在旁边把鱼装进箱子,防护系统却视而不见,只在数据通过渔网的时候才突然拿起放大镜左看右看,然后斩钉截铁地告诉你说:这是箱子,不是鱼,请通行。。。

这不是扯么?

所以,新一代数据防护技术应该是这样的:

1、从这条鱼(敏感数据)创生的时候,系统就得掏出个小本本,写上:今天诞生数据宝宝一枚。
2、在接下来的时光里,这个数据被复制,被移动,被删除,被做任何操作,防护系统都在旁边做记录。这样,有人把鱼“装箱”时,系统就能马上在小本本上标注——这箱子他喵的就是鱼变的。
3、有了这个小本本上的完整记录,在箱子试图通过渔网的一瞬间,防护系统马上把它拦下来:开玩笑呢?你小子穿上马甲我也认识!‍



看到这,你可能会说,这思路很顺理成章啊,其他人为啥想不到?

答案是,想到了,主要是做不到。

难在哪呢?

跟踪每台电脑上的敏感数据变化,需要做出很多“钩子”,强势插入系统内核诸多“敏感点位”,每当系统要“创建”、“复制”、“修改”、“删除”一个文件时,都要触发钩子。
在这一刹那,赛博世界里的时间就被凝固了,钩子另一端连着数据安全引擎,会对这个改动做好记录、风险预警,甚至直接拦截。



怎么样?有没有觉得眼熟?

没错,“数据安全”和“系统安全”的底层内核技术是相通的——这么多“钩子”密密麻麻插进系统里,质量但凡差一点,分分钟就会把电脑拖慢、搞蓝屏,真不是一般人想做就能做的。

但这,不正是王宇的“日天老本行”么?

这么看来,把数据保护系统从“守在出口截面的门卫”变成“陪伴敏感文件生命全程的保镖”,四舍五入就是他的历史使命啊。。。



硬核科普告一段落,咱们先喘口气,继续讲故事。

薮猫男团没有被技术困难挡住,却在一个奇怪的问题上犯了愁:这类系统在市面上还没有,那该叫啥名呢?总不能就叫“陪伴敏感文件生命全程的保镖”吧,这也太长了呀!!

段定龙举手:

昨夜我夜观天象,突然想起在“系统安全”的发展历史上,也经历了两代技术:
第一代技术叫做“AV”(不是你想的那个,是反病毒软件 Anti Virus),只会在执行扫描的一瞬间,也就是在一个时间切面上静态判断磁盘上有没有病毒;
而第二代技术就像个贴身保镖,可以动态跟踪一个进程从生到死,但凡看出它要整出幺蛾子,就立刻叫停,这货就叫“EDR”(终端安全检测与响应系统)。
这样对应起来,咱们的第二代数据安全系统也和 EDR 类似,不妨叫“DDR”——数据泄漏检测与响应系统。

大家纷纷点赞。

不过事儿还没完,DDR 只是这类产品的统称,那具体到薮猫的这个 DDR,叫啥呢?

作为语文最好的网络安全公司,起名这一块儿绝不能输啊!王宇突然想起了早年在博物馆里看到的“昭陵六骏”,就是李世民辅佐老爹建立唐朝时骑过的六匹战马,于是建议就用这些马的名字给产品命名。

薮猫科技的 DDR 产品,就叫“青骓”。



不会念的也别查了,第二个字念zhui,一声。(简直,没点文化都不好意思跟薮猫男团做生意呀。。。)

既然已经学到这儿了,不妨多学一些吧——青骓是李世民和窦建德打仗时候骑的一匹白马,李世民曾经称赞它:足轻电影,神发天机,策兹飞练,定我戎衣。

昭陵六骏后来被做成了画像砖,放在李世民的墓中。民国初年画像砖被文物贩子企图偷运海外,为了隐蔽不惜敲碎,不过其中包括青骓在内的“四骏”被拦截下来,现藏于西安碑林博物馆。



好了,言归正传。

注意,刚才说的 DDR 只是“理论上”可行。真要做出一个能在所有终端上自由奔跑的青骓,那每一根毫毛都要认真雕刻,需要无数能工巧匠。王宇看看自己,只有两只手,就算浑身是铁又能打几根钉子?

于是王宇沐浴更衣,把通讯录翻了个底朝天,挨个骚扰过去十几年的老伙计,连哄带骗连拉带拽把他们一个个拉进薮猫。

枪在手,跟我走,老师傅从四面八方集结,各个眼里冒火脚下生风,巍巍碉楼,就在前方。




(四)老师傅怒闯碉楼 


要放出青骓,起码要攻下四座碉楼。



这第一座碉楼,叫做——“系统适配”。

我们想象一个场景,薮猫拿着青骓准备卖给一家企业。

企业问:我们的办公电脑一半是 Windows 系统,一半是苹果 Mac 系统,还有一些其他系统,你们都能保护吗?

显然,青骓跟青楼是一样的——你不能挑客人——来的是 Windows 你要陪好,来的是 Mac 你也得陪好,还有 Linux,甚至是国产的龙芯、RISC-V 上跑的系统,你也得轻拢慢捻抹复挑,绛唇珠袖舞天香啊!



说到 Windows,那是王宇十多年的老相识,自不用多说。

说到 Mac,原本王宇是不熟悉的,但是2016年之后,很多研究要是不熟练掌握 Mac 内核就没办法推进了。

当时王宇来了一招“是男人就对自己狠一点”——对着镜子扪心自问:老子这辈子就学不会这个东西了吗?此生不会 Mac,死不瞑目!

就这样对自己以死相逼,用了一年时间终于把 Mac 内核啃下来了。啃到什么程度了呢?在 2020 年苹果公司发布的 CVE 漏洞公告里,王宇位列排行榜第二,对应研究成果也发表在很多重磅会议中,从工业界的 Black Hat USA 2020/2022、Black Hat Europe 2020、Black Hat Asia 2021 干到学术界的 ACM CCS 2021。。。

换句话说,这世界上比王宇更熟悉 Mac 系统的人,恐怕都凑不够一桌麻将。

有了这些成功经验,王宇的字典里就没有“困难”二字。他就不需要字典。

王宇回忆当时的壮观场景:

Windows、Mac、Linux 三大系统适配齐头并进。别看战线拉得宽,但大家在开始的时候就做好顶层设计,把所有能跨平台复用的代码放在一起写,再针对每个系统独立写出个性化的部分,反而大大减少了重复开发的工作量。



突破了第一个碉楼,接下来到了第二个——“资产定义”。

我们还是想象一个场景:

比如,员工张三在自己的电脑上建了一个 Word 文档。那么,这个文件是不是敏感数据呢?

是不是敏感数据,是张三说了算,还是公司老板说了算,还是负责守卫的青骓说了算呢?

首先张三说的肯定不算,因为他有可能已经被策反,是无间道。老板说了算,这个可以,但是假如公司有10000台电脑,每时每刻都有文件产生,难道老板要天天盯着,实时标注每一个文件敏不敏感吗?

这显然做不到。

所以,对于敏感数据的判断只能有一个办法:把“行业的通用标准”和“本公司的个性标准”加在一起,交给青骓,让青骓来自动标注。

看到这你就明白了,青骓很忙,不仅负责保护敏感数据,还得负责识别敏感数据。



啥是行业的通用标准呢?

就是不用讨论,正常人一看就觉得敏感的数据,比如:用户的电话地址、身份证号、员工工资表、设计图纸、开发代码之类。

啥是本公司的个性标准呢?

比如对于国企来说,红头文件就是不能泄漏的,可能文件内容看上去不敏感,但是只要有那个“红头”就不行;

再比如,芯片研发企业的“芯片引脚编号”,看上去就是一些数字,其实这也是机密信息,绝对不能外传;

再比如,电商“双11”的促销海报,上面有折扣方案,也不能提前泄密。

所以,王宇他们要做的就是一件事儿:把这些个性化的判断标准,尽可能准确地从“人话”翻译成“机话”——机器能够理解的语言。

你懂的,有时候让人听懂人话都很费劲,让机器听懂人话的难度可想而知。。。

让机器理解标准的方法有两个:一种是“规则”,一种是“AI”。



所谓规则,就是能白纸黑字写出来的条款。

你看,我随便写一个规则:“当一个文档里同时存在“身份证”这几个汉字和至少一个“18位的数字”(身份证号是18位),那这个文档就是敏感的。”

估计你也感受出来了,规则倒是很明确,但有点死板,容易误判,于是就需要“AI”来弥补。

所谓 AI,就是:把一堆人类标记好的敏感文件丢给机器,它自己研究,得出一套只有AI才理解的判断准则。

再新来一个文件,他就会自动告诉你这个是不是敏感的。你问AI为啥,AI说给你解释不明白,信我就行。



把资产定义的系统搭建好之后,接下来要面对第三个碉楼——“编码格式”。

说了这么多,其实判断文件里有没有敏感词还有个前提,你得能看到文件内容。

看到文件内容有啥难?人看简单,但机器看难。

举个简单例子,你创建 Word 的时候,可以选旧的 doc 格式还是新的 docx 格式。对于我们来说,两种好像差不多;但对于青骓来说,就要有两套完全不同的解码体系才能看懂这两种格式。




doc和docx的区别,还只是九牛一毛。Windows 下常用的文字格式就有不下十几种,必须解码才能看到原文。

所以王宇他们还得花很多时间来研究编码格式,把一个个解码引擎加进青骓。



闯过前三关,才能来到第四个碉楼——“泄露渠道”。

茴香豆有四种写法,可数据泄露恨不得有一百种渠道。王宇告诉我,单单拿百度网盘泄露这一个渠道来说,就有五种方法:

网盘内通过文件浏览器选择上传、拖拽上传、CrtlC+CtrlV 上传、原文件右键菜单点击同步上传,还有在微软 Office 中通过百度网盘注入的快捷按钮一键同步至网盘。

你可能会纳闷:最后不都是上传么,分这么细干啥?

客官有所不知,不同的上传行为,在系统内触发的接口是不同的,如果某个接口处你没有提前“埋伏”,那就相当于肖申克监狱的下水道没有人把守——安迪一旦跑出去,典狱长就直接败了呀。



所以在薮猫专门有一个小分队,每天就研究“越狱方法”——人们都能从什么地方把数据传出去。什么叫百度网盘,什么叫阿里云盘,什么叫微信、QQ、钉钉、飞书、光盘、移动存储设备,还有各种浏览器应用、网络通信协议,想到一种方法就堵住一种方法。

老师傅们就这样神挡杀神佛挡杀佛,干翻这四座碉楼,已到了2022年夏天。

此时众将再看青骓,不再是画中图景,而是沉甸甸地出现在面前,四蹄翻动,长啸嘶风,准备冲进战场,杀他个天昏地暗。




(五)少年的朋友是少年 


故事讲到这儿,左边少年天团,右边翩翩白驹,如果你是一家大企业的老板,会不会热泪盈眶地去买一匹青骓?

反正我不会。

为啥嘞?

因为我不觉得我的数据不安全啊!你看看我家的员工,一个个眼神清澈,彬彬有礼,你说啷个是无间道?你说哪个会把数据给泄漏出去?哎,说话要讲证据,不好胡说的!

老板想要泄漏证据,呵呵,其实还有比他们更想要证据的,那就是:



为了搞清各大企业的网络安全到底怎么样,祖国会定期举办一些不能说名字的网络攻防比赛。绝大多数你熟悉的、关系国计民生的大企业都会被邀请去——当靶子。

在另一边,全国厉害的网络安全团队也会被邀请,用尽全力去寻找这些公司的网络薄弱环节——不管是无间道还是硬偷明抢,不管是白猫黑猫薮猫,只要能拿到“靶标数据”,就是好猫。

你可能会问,用全中国最牛的安全团队去爆锤,是不是太欺负人了?

非也。能被中国团队锤,你就偷着乐吧,因为锤完了还会一五一十地给你展示证据,告诉你是怎么被攻破的,下次应该注意什么,要是被其他国家。。。你懂的。前两天我们的一所大学不就被某国黑客给攻击了吗?要不是我们有能力发现蛛丝马迹,那帮人会主动承认吗?

所以结论很简单——能被善意的黑客在演习中搞定,就必须视同被恶意黑客在真实世界里搞定。

说到这,Darker 老师傅可就不困了,别忘了他出场的第一幕可是站在领奖台上的呀——证明各种防护系统存在疏漏是他基操勿6的传统艺能。

于是,漫漫征途来了:Darker 在各种攻防演练中用实际行动让大家看到自己的“破腚”所在,然后帮他们一起想办法,做升级,如果升级方案中需要 DDR 产品,那没问题,薮猫有啊!

正确的事情重复一万次,就能召唤奇迹。

局面一点点被撬开。

2022,上网查“薮”字念法的人越来越多。再回头看薮猫的官网,已经有了一墙的客户伙伴。毋庸置疑,这些公司都是认真思索“数据安全”的改革先驱。



诶别急着往下翻,我们再多放些注意力在这些先驱上。

你有没有发现一些有趣的事实?

这里面既有华润、中石油这样积极拥抱新技术的国之重器,也有三一集团、树根互联这样想要挑起工业互联网科技重担的民企,还有地平线和理想这样的硬科技企业。

此情此景,正中了陈宇森和王宇在创业之初的推演——这些企业都在为“中国新经济”带盐。

某种意义上,这些企业就像一群“少年”,站在时代的路口,肩负着“摸着石头过河”为中国经济找到发展新方向的使命。

既然是“新经济”,自然不能走寻常路,产生的数据类型也千奇百怪。

青骓在这些企业里“打工”,也跟着忙坏了——神马?要识别“红头文件”?好好好我们搞一下!啊?识别“芯片引脚编号”?行,我们研究研究!保护“矿车设计图纸”?哦哦知道了尽快搞定!

就像这些


虽然大多数问题可以用“增加规则”或“增加AI训练”来搞定,蛋是,有些剑走偏锋的问题却把他们直接逼上未曾设想的道路。。。

比如有一种情况是酱:一个文件夹里,单独泄露其中哪一个文件都不构成泄密;但是把这一整个文件夹全部泄露出去,就算是泄露。

这种情况下,泄密者的小伎俩自然就是“蚂蚁搬家”——今天传一个,明天传一个,用时间换空间,最后组合起来。

针对这种泄漏,青骓显然就不能以“文件”为单位做防控,而是要以“文件夹”为单位。

于是薮猫研究了一种更复杂的方案:对一个主体做长期追踪,再把一段时间内所有行为串连起来——如果泄露的文件正好凑齐“龙珠”,那么就判定泄露成立,紧急拦截,追究泄露者责任。



再比如有一种情况是酱:张三铁了心想泄露代码,想到了究极方案,那就是拍屏。

一般敏感文件拍屏如果泄露给公众,可以用屏幕水印的方法追溯;但假设张三拍的是程序代码,定向输送给李四,自然不会泄露到“公海”,就很难被追溯。

虽说用拍照的方式把几万行代码泄露出去也是个体力活,但要知道,整套代码如果价值很高,例如之前传奇游戏的代码那样,一旦泄露就可以开“私服”,那即便一张张拍出去也是“值得”的。

“拍屏”的动作相当于“降维打击”。

因为此时计算机系统不可能感受到任何“数据传输”,要想识别这种泄露行为非常难。即便这样,薮猫众将也不是毫无办法,他们把判断标准放在了“查看行为”上。

如果一个员工突然每天半夜两点都会访问代码库,连着看了一个月,虽然不知道他有没有拍屏,但这种行为本身就很异常,必须进行风险处理。



虽然艰难,但有些事情注定要有人去做。

薮猫保护的,看似只是一个个“少年公司”的名字,其实它们背后是中国的芯片设计,是中国的能源自主,是中国的金融安全,是每个人神圣不可侵犯的个人信息,是我们内心的公平正义和国际竞争的钢铁权力。

据此,薮猫每填掉一个小坑,就意味着每个普通人身边多了一层金钟罩,也意味着中国经济转型的路平坦一丢丢。

纵然星辰大海之外还有星辰大海,但幸运的是,少年的朋友是少年。

在“少年”的联手呵护下,薮猫站稳脚跟,二刷创业的男团们终于找到节奏,摩擦摩擦,走出魔鬼的步伐。

直到这一刻,他们终于有机会向世界揭开自己隐藏已久的野心一角。




(六)正面战场 


薮猫男团的野心是什么?

在之前的故事里,我假装不经意地略过了两个小问题。其实这两个小问题恰是“野心密码”。


问题一:鱼塘要不要管?

还记得前面我说过吧,目前数据泄露主要发生在员工电脑上,在云上的数据库就像“鱼塘”,周围有高墙电网,这里面的“鱼”(数据)丢的可能性没那么大。



但是,随着时间的推移,“鱼塘”的安全系数在不断滑坡,愈演愈烈。。。

原因是这样的:数据库虽然保卫森严,但终究是要和外界进行数据交换。这种交换,一般是通过“接口”(API)来实现的。

啥是接口呢?你有没有在自动售货机买过饮料?你不能从售货机里直接拿饮料,而是要按一个按钮,相应的饮料才会掉下来,你可以把这个按钮理解为接口(API)。

接口的好处是,它规定了别人只能以*特定*的姿势和自己交互,不能“自由搏击”——交互可能性少了,攻击面自然就小了。



我们回到数据库这个“鱼塘”,API就像是鱼塘和外界之间沟通的小水渠。其他系统或者用户想要读写数据库,都要通过这个小水渠。

早先的时候,只有通过特定系统才能访问数据库(比如你去银行转账,必须让柜员姐姐帮你修改余额)。

这相当于鱼塘只需要开几条很窄的小水渠。



但是,随着各行各业越来越互联网化,普通用户也可以时常访问数据库(你通过手机转账,数据库里的余额也会变化)。

这相当于在鱼塘周围开了无数水渠。



这种情况下,一旦 API 设计不合理,别有用心的坏人就能通过这些水渠把鱼一点点都偷走。



这事儿,薮猫要不要管?

王宇的回答是:管,管到底。

所以,薮猫他们仔细研究了各种 API 交互机制,搞出了一个“防止 API 攻击和滥用的系统”,叫做 ADR。这个 ADR 也根据昭陵六骏排辈,起名叫做“飒露紫”。

飒露紫


问题二:外敌要不要怼?

还记得我之前说的么?数据泄露的主要原因是“内鬼”,“外敌入侵”导致的数据泄露不足10%。



虽说比率低,但外敌可就不是“人民内部矛盾”了。他们下手狠,而且偷的一定是“可以置你于死地”的绝密数据。

黑客攻击的一般流程是这样的:进入一台电脑,发现这台电脑里面没啥关键信息,再平移到另一台电脑,翻找一顿;就这样不断平移,直到发现了重要的数据,才会传出来。



所以,如果靠 DDR 系统,只有黑客对数据下手的时候,它才有机会发现;但如果有一个系统可以在黑客“入侵”和“平移”时就感觉出来,那不就可以更早发现黑客行踪,相当于有了“双保险”吗?

没错,这个用于检测终端计算机被入侵的系统,正是早先我们提到的 EDR。

从开发复杂度上来说,EDR 比 DDR 要更难;从市场上来看,很多老牌网络安全公司也都主打 EDR,这个领域是兵家必争之地。

那问题来了,薮猫要不要干?

王宇的回答是,干,干到底!

就在我写这篇文章的时候,薮猫男团正在紧锣密鼓地开发自己的 EDR 系统,这就是六骏之三——白蹄乌。

白蹄乌


看到这,你也许已经明白,昭陵六骏早晚有凑齐的一天,这件事儿早就在薮猫男团的计划中。

我们要在数据流动的每一个环节都添加保护,最终让这些系统相互联动,形成完整的“数据安全态势感知平台”

王宇说。

从数据防泄漏,到云上数据保护,到终端防护——仿佛赛博空间里的“钢铁侠”,身上不断增添一块块铠甲。

直到最终拉下面罩,这位超级英雄挡在世界上一切数据前面,微笑着说:为了爱与自由,我守望在这里!



但世界从来不是中二少年手中的漫画,生活的路途满是森森白骨。

薮猫一步步拼凑出数据保护的完整图景,必然意味着会进入诸多老牌网络安全公司的腹地,进入竞争的正面战场。

没有巨龙会把手中的权柄让给毛头小伙,哪怕对面是闪着光的骑士。

“既然料定强大的对手会阻击,为什么一定要进入正面战场?”我问陈宇森。

“因为历史上真正伟大的胜利,都发生在正面战场。”

陈宇森的语气一如既往,平和中混着彪悍。

我好像看到他胸前的纹章反射着太阳的光芒。

2022年,陈宇森带来好消息,薮猫拿到了A轮融资。至此,成立一年多的薮猫融资额已经超过1亿,速度超过了他的上一家创业公司长亭科技。

至此,一群热血少年,带着屠龙宝剑,带着新经济的簇拥,又回到了昔日战场。

他们想要的东西再简单不过:胜利,胜利,还是胜利。

有人把过往酿成泥潭,有人把过往铸成利刃。

正如电影《本杰明·巴顿奇事》里的那句台词所说:“如果事与愿违,希望你有勇气重头再来。”

越是操蛋的世界,越要有人奋战。

英雄的白骨旁,永远有少年向前。



延伸阅读:

《陈宇森:世界终会给我留下一条逆袭的路》
《CTF:一部黑客心灵史》





薮猫屠龙


再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以搜索微信:shizhongmax

哦对了,如果喜欢文章,请别吝惜你的“在看”“分享”。让有趣的灵魂有机会相遇,会是一件很美好的事情。


Thx with  in  Beijing

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存