​新时代的钓鱼问题，需要新的解决办法｜Maldun魔盾郑奇·大咖访谈

郑奇

上海魔盾创始合伙人兼CTO

拥有十多年网络安全研发经验，全栈工程师，精通产品架构设计。加入魔盾前，在思科负责防病毒，防钓鱼，内容检测，应用识别等方向的Web与邮件安全产品研发。

都说钓鱼攻击是未来10年网络安全界的核心难题，对此您怎么看？

郑奇：

我个人认为这句话说的一点都不为过。

安全领域有一个共识，任何有漏洞的技术都会随时间逐渐趋于完善，“人”才是最大的安全漏洞。任何组织都能升级自己的安全系统，但组织里每个成员的安全意识没有一个简单的“升级”按钮。人是集体动物，沟通是必要需求，而钓鱼攻击恰恰就瞄准了这一点，邮件、短信、微信，这些日常的沟通单元都能作为钓鱼攻击的载体。所以说钓鱼攻击是无孔不入的，有人的地方就有安全的江湖，有人的地方就有钓鱼攻击，牵涉到“人”的问题从来都是难题。

钓鱼攻击给企业造成的损失能有多大，媒体的报道是否会有夸张成分？

郑奇：

可以这么说，钓鱼攻击的危害再怎么夸大都不为过。

钓鱼攻击最常见的攻击目的是关键信息获取。对于企业来说是机密数据，源码泄漏、几亿用户数据公开拍卖，这些都已经是屡见不鲜的老新闻了，企业的损失动则上亿。

然而真正的危险反而是对于个人来说至关重要却又常常被忽视的个人信息。一条不经意的短信，一个平平无奇的链接，攻击者就可能一步步套取到你的身份信息，乃至银行帐号、密码。在把手机作为身体器官的今天，通过钓鱼植入恶意程序，可以完完全全控制一个人，看起来像电影情节的故事其实每天在现实生活中上演。所以说，钓鱼攻击就在每个人的身边，和每个人的财产安全都息息相关。

听说近几年出现了很多新的钓鱼攻击技术，其中有哪些是最难以防御的？

郑奇：

近十年来互联网的高速发展催生出各种领域的新技术，其中很多技术也成了钓鱼攻击者的新武器。

拿URL钓鱼举个例子：十几年前的钓鱼攻击者往往是在一封邮件的正文里赤裸裸地插入一个钓鱼链接，配以一小段文字诱导被攻击者点击，作为防御者可以不费吹灰之力轻松获得作为攻击载体的URL地址。然而，现在与时俱进的攻击者会在正文中插入一张包含二维码的图片，而只有扫描二维码才能获得攻击载体的URL地址，这种手段可以绕过绝大多数的安全系统检测，即使一些老牌安全大厂的产品也无力防御，只能自叹廉颇老矣。

另一个新的趋势就是比特币相关的钓鱼。自从WannaCry事件开始，比特币就成为攻击者的新宠，较之传统的银行帐号，比特币的匿名性能让攻击者更好地隐藏自己，因此越来越多的勒索类攻击都是用比特币地址作为攻击行为闭环的终点，这也让以银行帐号黑名单为基础的传统安全系统失效。

除了上面这两种时髦攻击技术之外，一个大的趋势是钓鱼页面的动态化。若干年前，主流的钓鱼形式通常是将欺骗内容摆在正文内，以一种静态的形式展示给被攻击者，站在安全防御系统的角度只需要定义一些内容匹配规则就能捕获到绝大多数的钓鱼。然而现在的主流钓鱼邮件往往拥有完全正常的正文内容，而将攻击主体摆在URL链接中，这么做对于攻击者有两点优势：其一，可以高频地变换域名来规避大多数基于域名黑名单的检测系统；其二，可利用页面JS以及Ajax等方式将钓鱼内容动态生成，如此一来那些基于HTML源码分析的检测系统等同武功全废。

# 对于这些新的钓鱼攻击技术，有没有有效的防御手段？

郑奇：

还是那句老话，道高一尺魔高一丈，既然有了新的攻击技术，防御手段自然也是不变不行。

这里就拿魔盾ESG的实现方式来说明一下当前最前沿的动态防御机制。首先，魔盾ESG有一套全面的邮件内容分析、安全对象检出机制，譬如刚才提到的二维码、比特币这些关键对象都能毫无遗漏地检查出来；所有检测出的URL地址都会提交给URL动态分析系统LinkSpect进行全面分析，LinkSpect会将每个URL在后台用虚拟的浏览器打开并渲染页面，此时的页面就是终端用户点击链接后最终看到的页面，无论攻击者使用的是什么混淆手段，页面跳转、JS加密、Ajax动态加载......全都无所遁形；在此基础上，LinkSpect会对页面的内容、行为、图片、引用等各个维度的特征进行分析，把攻击者的意图看个通透。

动态分析相较传统防御手段有哪些突出的优势？

郑奇：

最明显的优势就是以不变应万变。

随着Web技术的日新月异，Web前段的各种新技术层出不穷，可能在不久的将来又会出现新的动态渲染技术来供钓鱼攻击者使用。然而LinkSpect这种动态分析引擎是模拟真实浏览器来打开目标URL地址，所以不管攻击者使用的是什么动态渲染技术对LinkSpect来说都是一样。

安全领域没有100%的完美阻挡率，对于那些漏网之鱼有什么补救措施？

郑奇：

的确，没有任何防御手段是100%有效的，只有预先考虑好那万分之一的例外情况才能做到万无一失。

还是拿魔盾ESG的处理方式来说明一下。在魔盾ESG的中，每封邮件中的URL链接在被提交到LinkSpect动态分析引擎的同时也会被系统改写成指向魔盾安全浏览服务器，终端用户收到的邮件中的URL链接已经不是原始邮件中的链接，在打开链接之后除了选择跳转到原始链接之外，用户还能选择使用更为安全的安全浏览功能，用户的所有网页显示操作都被转移到安全浏览服务器中的虚拟机中，如此一来即使该网页包含恶意内容，其所造成的破坏也被限制在一次性的虚拟机之内。这才真正做到了把好安全的最后一道关。

在未来，钓鱼攻击能否被完全消灭？

郑奇：

我认为这种可能性很低。

现在互联网的发展趋势是把越来越多的日常生活组件给互联网化，以后每个人的生活会越来越依赖于互联网，对于钓鱼攻击者来说利益的土壤越来越肥沃，绝不会放过这么大块肥肉。所谓兵无常势水无常形，钓鱼攻击的手段也一直在迭代，新的攻击手段被防住了，马上会有更狡猾的套路出现，这也是对于每个安全从业人士来说任重道远的责任和富有挑战的乐趣所在。

和我们介绍下魔盾这家企业吧？

郑奇：

Maldun魔盾成立于2015年，核心创始团队主要来源于前Cisco员工，有丰富的安全技术、经验和行业全局视野。

公司创立短短4年就自主开发出ESG(邮件安全网关)、ATP(沙箱高级威胁分析)、LinkSpect(URL动态分析)这三个功能独立而又可相互赋能的核心产品，目标是在邮件、高级威胁、网页这三个维度为客户架起一张立体的安全防御网。虽然入局时间尚短，但是凭借其独到的产品定位和布局，已经颇具叫板行业老玩家的实力，目前已经获得国内外政府机关、金融业、制造业等多领域客户的认可，发展势头迅猛。

然后魔盾并不安于此，秉承君子终日乾乾夕惕若厉的企业信仰，随时准备迎接安全行业的一波又一波的大潮和一轮又一轮的洗牌，找准突破口推出新的产品组合抢占先机，这才是在安全界立足的核心竞争力。

养猫吗？

郑奇：

这个弯转得有点猛。

虽然我是个很有爱心的人，但是对于猫这种神秘的碳基生命体还是敬而远之的。尤其作为一个安全行业从业者，猫的潜在破坏性远远胜过任何一种攻击手段，实在是无力应对。

- End -

往期回顾