金帽子提名 | 如果用一個詞來形容404安全實驗室,那就是務實
在安全圈,404安全實驗室是個非常火的團隊。它活躍在安全圈,也活躍在社交媒體上。
它為什麼這麼火,有人總結道,這是因為知道創宇內部的成員自發的進行分享,成為了一種文化。
它就是是個怎樣的團隊?知道創宇404安全實驗室的副總監隋剛為我們展現了團隊真實的一面:如果用一個詞來形容404安全實驗室,那就是務實。
事實上,知道創宇404安全實驗室是一個技術非常強的團隊。它曾多次獲Adobe、Oracle、Evernote等多個致謝;從2014年的“心臟出血”漏洞,到永恆之藍,背後都有404安全實驗室為整個行業作出了自己的一份貢獻。
這一次,嘶吼小編和知道創宇404安全實驗室的副總監隋剛展開了對話,帶我們領略知道創宇實驗室的分享精神。
一旦加入,就會感覺到激情澎湃
小編 : 我看到“404”這個字,第一反應是HTTP 404,知道創宇404的名字由來是什麼?
隋剛 : 很多人都問過我這個問題,404的來源其實就是來源於門牌號。當時我們是在金威大廈的404室,之前叫研究部,現在就叫404安全研究實驗室了。
小編 : 您是什麼時候加入知道創宇404安全實驗室的的?為什麼選擇加入?加入後的第一印象是什麼?
隋剛 : 我是15年下半年的時候加入的。我有個很不錯的哥們,他原本就已經來到知道創宇了,和我分享到,當時整個404團隊都在打CTF。這種比賽現在很流行,但早在三四年前它還不是特別火,比賽是對漏洞的理解和漏洞利技能的考量。我原來所在的在傳統網路安全公司裡面是看不到的, 一旦有了這種氛圍之後,你就會有那種激情澎湃的狀態。
小編 : 傳統安全企業當時是什麼樣的?
隋剛:傳統的這種網路安全公司更多的針對於裝置上的安全、企業內網的安全。
小編:以防護為主嗎?比如防毒軟體、防火牆、堡壘機?
隋剛:對。
小編:知道創宇和傳統安全企業有什麼區別?
隋剛:網際網路安全它的性質和傳統安全不同,這個範圍變大了很多。比如2014年“心臟出血”的那個漏洞,如果把它放在企業內網的話可能這只是發了一條公告:有個“心臟出血”漏洞出現了。而這個漏洞的影響面或影響範圍以及它能造成什麼影響這些都是沒有的。 但如果你站在知道創宇404安全實驗室角度去看,因為有ZoomEye網路空間安全搜尋引擎,那麼整個放眼過去看的是整個網際網路空間,我們看到更多的是漏洞在全球層面的影響,它能夠間接的看到不同國家區域的處理情況和應急效率。這其實是一個量變到質變的過程。
小編:我近期看了404安全實驗室的專欄,發現從15年到現在我們的研究方向有著很大的變化。團隊最早期發表關於挖洞的文章比較多,而近期則是區塊鏈安全等方向。我們的研究方向是如何進化的?
隋剛:最早的時候創宇404安全實驗室所關注的是“猥瑣流派”:WSL(web方向)+CSL(二進位制研究方向)。但是隨著這個整個業務發展和網際網路安全的變化,我們404安全實驗室也在積極應對變化,404安全實驗室就會針對不同的業務會產生了新的團隊,到目前知道創宇404安全實驗室已發展為包括404安全漏洞研究團隊、404網路空間研究團隊、404積極防禦團隊、404先進技術研究團隊、404未來安全研究團隊、404區塊鏈安全研究團隊、404安全保障支撐團隊、404 ScanV安全服務研究團在內的綜合安全研究團隊,安全能力覆蓋各細分領域和行業未來發展方向。
小編:知道創宇的業務發展路線是什麼,實驗室在發展的過程中秉承著什麼樣的理念?每個研究團隊在內部產品生態中的分工和背後的邏輯是什麼?
隋剛:在上一個問題裡其實已經提到了404安全實驗室工作都是圍繞“打造公司的安全核心能力及品牌建設”的職能展開的,那麼404的理念就是服務支援好公司業務的發展,打造成為世界一流安全實驗室。團隊的分工和背後的邏輯就是源於此。
如何不Out:越往前走,對個人的素質的要求越高
小編:我們在採訪時還聽到隔壁有團隊成員在進行分享,404安全實驗室是不是一個特別熱衷於分享的團隊。
隋剛:是的,我跟黑哥(知道創宇首席安全官周景平)一直以來都非常認同堅持與分享。團隊內部比如有一些不錯的一些技巧,不管是漏洞方面還是極客方面的,我們都會去推進。這樣就會帶來一種資訊的互通,包括技術上的一些溝通交流,由此可能會碰撞出一些不錯的一些點子或者火花。
舉一個例子,我們404武漢團隊有一個成員,他發現了一個XSS漏洞,他把這個漏洞的具體細節跟我們小夥伴分享了出來,我們的小夥伴又繼續去復現這個漏洞,然後進一步的去跟蹤,最後發現可以這漏洞進行RCE(遠端命令執行),等於把這個漏洞又提升了一次,找到一個更牛逼一些的漏洞,最終獲得了致謝。
小編:您作為404安全實驗室的“禁軍教頭”之一,在日常工作中有沒有什麼感觸?
隋剛:我覺得是要 幫小夥伴們充分發揮自己的特長 ,就是更聚焦吧。 因為這些小夥伴如果看不到自己明確的方向,他們會茫然。如果你只是只是告訴他該去做什麼事兒,而不告訴他做這個有什麼意義,或者有什麼目的的話,時間長了他會很茫然,就找不到方向感,他不清楚真正的目標在哪兒。他可能只是針對一個事兒完成的很好,但是他不知道一個長遠的規劃或者說一個目標。
小編:有沒有特別感謝你的小夥伴?
隋剛:有好幾個,不是一個。比如說我們有一個小夥,他最初進入404安全實驗室的時候什麼都搞,也什麼都想搞,而且他很羨慕我們團隊其他小夥伴的環境。為什麼羨慕呢?因為他原來在學校的時候沒有這種安全研究社團組織,就是隻是說自己覺得這個東西挺有趣的,去琢磨一下;但是他相對於其他有社團這種氛圍來說小夥伴來說,其實沒有一個比較好的根基。我後來就慢慢把他帶到IOT方面,現在他在這個方面也算小有成績了,他已經做出了一些漏洞分析和挖掘的工作。
小編:知道創宇的部落格上有一個研發技能表,(http://blog.knownsec.com/Knownsec_RD_Checklist/index.html)可否詳細介紹知道創宇的小夥伴有什麼樣的技能,加入知道創宇需要有哪些技能?
隋剛: 這個技能的話是死的,其實更多看的還是個人的一種態度。 我們提供的技能表只能能夠提供給你一個大致的方向感, 主要還是個人去努力、去堅持、去做。 我認為技能學習是無止境的,技多不壓身嘛。但是需要注意的是崗位基本技能匹配,根據不同崗位可能需要的技能側重點不一樣,至於加入我們相比技術技能之外我們更看重人的道德人品及學習能力。 一些被忽視的軟能力也非常重要,比如文件、溝通等能力。
小編:努力和堅持只是一方面,其實方法也很重要,您和404的團隊成員是如何保持自己的學習能力,讓自己不Out的?
隋剛:我們會有一個大致的能力模型。在我們內部,比如說實習生會先做漏洞應急,去熟練整個的這種漏洞的這種復現;那麼再往上一層就是要把漏洞具體細節整理成Paper。再往上就是我們會嘗試著把這些東西通過寫成POC等方式給它展現出來。
小編:作為一個404安全實驗室的安全研究成員,如何走在技術的最前列?
隋剛:堅持,還是堅持。因為其實你越往前走,對你個人的素質的要求是越高的。
我們剛才聊到是為什麼我們從Web一直走,走到現在區塊鏈呢。安全也是在發展的,到了現在,我們很難發現一個非常嚴重的漏洞,攻擊方法也發生了變化,以往的攻擊可能一個洞打遍天下,現在很難。現在的攻擊方式更側重於針對供應鏈的攻擊、漏洞的組合利用等。 如果你要想挖更好的洞,那麼你要對底層的技術要更清楚,對你來說也是一種更高的一種要求。
除了技能之外,的我們更看重的是人的態度和一個學習能力,和道德人品。為什麼這樣說?因為大家都知道就是我們是一個白帽公司,那麼在網際網路上這種黑產其實是非常猖狂的,因為你如果道德人品不過關的話,很容易就去做黑產,反而就不太好了。
小編:安全技術從病毒特徵碼時代到了人工智慧時代,整個技術日新月異。未知的領域它的技術,機會和挑戰在哪裡?我們是如何做的?
隋剛: 更多的是學習,多去學習。 整個知道創宇公司也是一個學習成長性的一個公司,404安全實驗室也是一個不斷成長的團隊,你肯定要面臨不同的環境,這種變化而作出挑戰。比如說我們404安全實驗室,就有可能會像黑產“學習”,這個“學習”不是說去做壞事,而是我們會去部署一些蜜罐,會發現黑產的套路其實是在變化的。我們去年永恆之藍爆發出來之後,就發現黑產會利用永恆之藍的漏洞在攻擊全球的伺服器,搞定伺服器後去下載挖礦程式碼,最初我們覺得也沒怎麼樣,但是後面我們發現挖礦程式碼是呈直線往上升,我們覺得這個可能有點問題了,因為黑產對經濟的追求是非常敏感的,他們一旦發現有巨大的經濟利益價值存在的時候就立馬就撲上去了。知道創宇一直以來都在對抗黑產,我們就趕緊掉頭去學習了區塊鏈相關技術。
但是等到下半年的時候我們會發現整個區塊鏈的世界在走下坡路。從我們觀測到的資料發現黑產也在轉向,又轉回了以前流量攻擊的老路線,他們也在變,所以 我們要根據黑產的變化去調整,這是一個對抗的過程。
小編:知道創宇404安全實驗室為行業做出哪些貢獻?
隋剛:不敢說我們404實驗室引領安全行業潮流,但是在我們擅長的領域確實做過不少行業創新的事情,比如說我們在2013年釋出了網路空間搜尋引擎ZoomEye、基於Seebug漏洞平臺漏洞應急體系包括“照妖鏡”線上漏洞掃描模式,到我們今年推出的基於暗網空間測繪及情報系統及區塊鏈方向上的系列研究等等,都可以說在國內甚至可能是國際上都是走在行業前列的輸出,當然還包括了一些具體的安全研究上的成果, 我這裡談一個點,暫不談虛的只談實的。
比如說2014年的那個心臟滴血,15年的Java 反序列化化,16年到17年的永恆之藍,這些時間點上你要注意看,知道創宇404安全實驗室文章也好或者說報告也好,其實跟的是非常緊的。早在14年的時候,整個國內可能還沒有漏洞應急響應的這個概念,或者是比較弱化的;但是你現在再看一看,其實是已經推動了整個國家層面的這個變化了。不能說知道創宇404安全實驗室是最主要的,但它在這一方面是做出不少的貢獻的,比如說對永恆之藍病毒的研究,其實我們都會有資料支撐的, 就早在永恆之藍沒有爆發之前,方程式組織洩露工具的時候,我們已經對全球各方面進行了排查、應急。
如果用一個詞形容404,那就是務實
小編:如果用一個詞來形容404安全實驗室,您認為哪個詞比較合適?
隋剛: 我認為是務實,因為整個公司的業務,404團隊的成長其實是隨著公司的那個發展而變化的,整個過程是一個循序漸進的過程。為什麼說務實呢?就是我們比如說還拿漏洞應急來說,我們都會實際的去復現或者驗證,我們現在每年做應急就已經做了一百多份。此外,我們的研究,我們的Paper,都是我們實際親自去動手做過的,就是我們對技術其實是有這種追求的,就是堅持不懈的追求。所以我認為務實這個詞比較合適。
小編:在404安全實驗室的眼中,極客精神是什麼?
隋剛: 在維基百科上的共同點是:對技術的崇拜與對創新的不斷追求。 這個定義我其實挺贊同的,引用黑哥經常給我們提的一句:堅持與分享。我認為這個就是我們的極客精神,有興趣的可以關注我們的paper.seebug.org這個平臺,我們很多最新的研究成果paper都會在這裡共享釋出。
小編:您有沒有什麼想要對大家說的話?
隋剛:其實拋開技術和金錢而言,情懷其實也挺重要的,我經常會跟黑哥一起談這個情懷這個問題,就是雖說現在這個物質很重要,但是在這個網際網路安全的這個空間裡面如果沒有了情懷,這個你作為安全研究其實就會變味,就是不管是,因為你稍有差池就有可能會出一些問題,比如永恆之藍已經被武器化了,變成了一個大殺器,如果沒有情懷會很很危險。 我不提國外怎麼樣,中國人心裡面始終有一種家國情懷,這個前幾天跟同事一起喝酒我也提過,家國情懷其實還是挺重要的。
小編:在404安全實驗室前行的過程中,我們會灌輸這種精神嗎?
隋剛:會,肯定會的。不過這個東西真不好說,它不是具體的技術,好與壞,時間能證明一切,就跟剛才那個問題一樣,時間能證明一切,我們會努力。雖然可能不一定達不到很高的巔峰,但是我們會一直朝著這個目標去往前走。
我不知道你們有沒有看我們辦公室走廊上面,就是有一幅照片:創始人IC和老楊扮成大俠,在這裡我想提八個字,也是金庸先生筆下的話:俠之大者,為國為民,這就對我們的精神有了很好的詮釋。
小編:被金帽子獎提名有什麼樣的感受?
隋 剛: 非常榮幸,也非常的高興,這是對我們工作的一種認可,我們也希望能跟更多的人分享我們的研究成果,感謝主辦方,也感謝一直支援我們的404安全實驗室的朋友們。