你还记得吗,对于黑客熟悉怎样的锁,我最有发言权。这扇门背后,恰恰是我们布置的迷宫——真实的虚拟系统。


我会根据用户原有的业务模式创造出这个“虚拟系统”。不过,这个场景和用户真实生产环境的相似度有多少,并没有你想象中那么重要。因为对于攻击者来说,在打开其他门之前,他并不知道什么是“真实”的。反而,这个虚拟场系统越符合他的想象,就越能让黑客自信爆棚。


有一个很简单的判断方式:为了探明环境,黑客会在虚拟系统中做一系列输入。而虚拟系统反馈的输出数据,如果符合他的预期,那么黑客就会深信不疑。


而我们要做的,只是在这个虚拟的系统里隐藏各种探测脚本——还记得当年让我马失前蹄的脚本吗?这比我当年遇到的脚本更加隐蔽,更加灵活。就像在一间屋子的地板下面,布满感应装置。(如果在明显的位置布上几只摄像头,黑客只需要一伸手就可以关闭它。)只要有人踏足这个房间,他的详细动作都会被记录并且传出。据此,一个黑客的所有企图都会暴露在我们眼前,就算是我们本身陷入进去也不例外。


在我看来,这件事情的关键,倒不是如何搭建一个虚拟的环境捕捉到黑客的动作,而是如何分析他的每一个行为。


他为什么使用这个指令组合?

他为什么希望查询这些信息?


他的每一个动作在我们“同行”眼中,都指向一个明确地意图。他究竟是竞争对手?还是敌对势力?或者只是一个迷路的脚本小子?都可以通过行为暴露出来。


更进一步,他打指令的方式、下载文件的位置、搜索数据的习惯,都把他明确地定义为一个确切的人。拥有了这些指纹,在下一次他攻击锦行“治下”的任何虚拟系统,系统都能够第一时间把他识别出来。这样,就可以把他所有的“前科”联系起来。这对于精准预判他的下一步动作,有着非常重要的作用。


这个“真实的虚拟迷宫”,我给它起名叫幻云。


让我骄傲的是,所有的这些判定,幻云都可以自动完成。24小时在线的黑客追款团队而只有当用户需要分析不同情报之间关联的时候,才需要专家介入。


我对“锦行”非常期待,因为我近二十年的黑客生涯,都倾注在其中。


创业让我变得无比忙碌,我被迫从“自由黑客"改变为一个事必躬亲的初创公司 CSO。不过这种转变并没有让我不适应,我是那种“每天不敲两个小时代码就浑身难受”的人。这让我有足够的激情对初期的产品进行打磨。


尾声


当年的我,迫于生计辗转中国;而现在,我因为“锦行”而选择定居南国。我用了二十年的时间,辗转从国土的最北端走到最南端,却从没远离这片“赛博战场"。


这些年,我见证了所有城市的高楼拔地而起,不过我并没有幸运地成为腰缠万贯炒房客;


我见证了黑客从我们几个人的隐秘圈子扩展到了千军万马,不过我也没有成为用数据换跑车的黑产从业者。


我见证了网络安全从无人问津变成了巨大的产业。创业维艰,身不由己。但在内心里24小时在线的黑客追款团队,我一直是个黑客。


这让我感到骄傲。