03

安天 穿行网络世界的“007” 2022年09月30日

殷切嘱托:

2016年5月25日上午,习近平总书记在哈尔滨市考察高新技术企业和科研单位。在哈尔滨安天科技股份有限公司,习近平总书记现场了解反病毒引擎技术研发、开展网络安全威胁实时监控等情况,同现场科技人员亲切交流。习近平总书记指出,网络安全是国家安全的重要组成部分。维护国家网络安全需要整体设计、加强合作,在相互学习、相互切磋、联合攻关、互利共赢中走出一条好的路子来。

本报记者 薛婧 李爱民

“喂,您好!”

“你们有多少台机器呀?”

“好,你把地址告诉我……”

9月8日9时30分许,安天CERT副总监高喜宝手握电话,与求援客户简短交流后,撕下刚刚记录地址的纸张,起身快步走向应急响应团队新队员昌德身边。

“昌德,跟我去现场!”高喜宝话音刚落,昌德便疾步走向设备室,抄起一个印有“安天拓痕应急处置系统”字样的手提箱,与高喜宝一起赶往求援电话指定地点。

原来,安天一个客户被相关部门检索到存在访问挖矿域名,潜在威胁时刻逼近,但苦于不知是哪台计算机访问了挖矿域名,需要定位和处置,便向安天求援。

高喜宝离开30分钟后,安天CERT综合分析部经理张云的电话响起。“好,我们马上进行分析。”张云带着两名应急响应“新兵”与高喜宝他们启动隔空联合“办案”。

“病毒样本分析,要争分夺秒,将潜在威胁最小化。”张云边向记者介绍,边按照传播、横向扩散、挖矿等各个功能模块分析,将任务进行分解。随即,三人一头扎进浩瀚的反汇编代码之中,每个人的分析结果均以一个个任务列表形式实时呈现在协同共享平台上。

时间又过了50分钟。“OK了,大家辛苦了!”张云道出的一句“辛苦”,意味着这次病毒已分析完毕。

从接到求援电话,到最终处置,前后一个多小时时间,安天应急响应团队“新兵”在“老兵”的带领下顺利通过实战考验。

这是一次实战演练。为提升应急响应团队队员们的战斗力,安天每个月都会进行一两次这样的实战演练,模拟最新威胁、复盘经典事件,工程师们在黑盒之下进行实景处置。在一次次的应急响应和演练中,安天CERT逐渐形成了“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的应急响应机制。

宝剑锋从磨砺出。随着网络用户数量的急剧增加,网络病毒传播速度也如同潮水般汹涌,如不能第一时间捕获到病毒样本,就不能快速遏制。为此在安天,应急响应团队有了两个代号“1024”和“007”。这两个代号的正确“解码”是:1年365天无休息,每天工作24小时,无条件响应,每周工作7天。作为应急响应团队的“主帅”,安天技术委员会常务副主任、安天研究院副院长李柏松手下的“特种兵”不断扩充,人数较6年前翻了一番,每日处理安全数据样本量也提高六七倍;智能终端覆盖当年过亿部,现在已达30亿部……

在安天二楼安全研究与应急处理中心平台,一块标着“赛博超脑”的超大液晶显示屏上,赛博超脑分析系统数据及各种威胁攻击情况实时呈现。平台超安静,只能听到键盘的敲击声,大液晶显示屏上跳动的点,就是“007”们为之战斗的对象。与各种未知及已知威胁进行对抗,从取证到猎杀,再到提供分析报告为工具开发部门提供数据支撑,“007”们恰似神探。

习近平总书记强调,构建“关口前移,防患于未然”的网络安全管理体系。扛起维护网络安全的担当之责,李柏松带领团队开始了“威胁猎杀”工作方法及流程的研究。2021年,“威胁猎杀”陆续在一些单位投入使用。通过实践,“威胁猎杀”方法堪称狙击长期潜伏高级威胁的操作“指南”,为此李柏松及团队正忙着将“威胁猎杀”的工作方法及流程编撰成书,希望能帮助到更多网络安全从业者、IT运维人员。

“习近平总书记考察安天,既是对我们的肯定也是激励。为此,我们从思想和行动上都发生了很多改变。作为工程师,以前从技术维度和对客户的满意度维度去工作,现在更多从国家维度去思考网络安全事件。”高喜宝解释道,从工程师视角看安全事件,只考虑把事件拆解成信标样本、入库、产品能检测威胁即可。而现在大家更多从国家视角看安全事件,当威胁发生时,会考虑国家的基础设施是否能防住,对行业有哪些影响。

“没有我们拦不住的勒索软件!”李柏松的一句话道出安天的实力所在。李柏松坦言,应急响应团队就像“特种兵”,面对各种威胁要顶得住,还要具备敏锐的“嗅觉”,将潜在威胁找出来,将之消灭。近年来,李柏松率领的应急响应团队围绕勒索软件,不断加固安天智甲的防御能力。时至今日,安天已从过去与恶意代码对抗的小闭环,走向全面赋能客户和助力客户建设防御体系、有效对抗威胁的大闭环,不断用“硬核”技术及产品实现着一次次自我突破。

追求自主创新、能力先进,从创业伊始就写入安天人的基因中,这也将是安天一直的初心和使命。如果说,前10年的核心工作是依托网络部署,感知捕获病毒样本,构建样本分析平台,面对系统和流量场景研发反病毒引擎;那么10年后,安天一直跟进威胁的发展演进,特别是高级持续性威胁的挑战,将安天反病毒引擎等核心能力推动到更广阔的场景中,努力寻找网络安全与信息化的最佳融合方式,完成了一个从窄带恶意代码检测能力上游供应商向与广谱安全威胁进行对抗的能力型厂商。截至目前,已经累计为30亿部手机和智能终端提供了出厂内置的安全防护,2018年以后的每一部主流品牌国产手机和2019年之后的每一部国产智能POS机里面都有安天的安全引擎。