追梦从不惧艰险｜《漏洞》第6讲：如何在与漏洞的博弈中发展？

《漏洞》作者：360公司创始人、360企业安全集团董事长齐向东

编者按
我们为您重磅推出的连载内容取自2018年下半年新出版的《漏洞》，这本七大院士联袂推荐的著作是齐向东根据他过去十几年的从业经历，对网络安全产业的总结和思考。他用通俗的语言和大家熟知的案例，把网络安全的基本构成、关键要素和未来趋势进行了梳理，并提出了应对当前网络安全威胁的新对策。上期用诸多案例解读了来自内部威胁所产生的巨大危害，本期将分析在与漏洞的博弈中如何发展。


第一章
善与恶：漏洞是造成危害，还是推动进步

第三节 左右互搏的自我革新
在前文中我已说到，漏洞并非是计算机的产物，是自古以来皆有的，人类利用漏洞的案例比比皆是。

在信息化浪潮席卷全球的时代，人类在漏洞的利用和反制中不断博弈，除陈推新，在挫折中创新，在迭代中前行，不断推动互联网在矛盾运动中发展和完善。

（一）利用与反制，永无止境

从莎草纸到互联网，从第一台计算机的庞然大物状，到如今的各种便携、超薄、超轻计算机和手机等移动终端，人类的技术在不断发展和进步，但这并非意味着漏洞会由此减少。相反，网络世界的漏洞会越来越多、越来越复杂、越来越隐蔽、越来越严重。

现在，计算机再也不可能飞进飞蛾，但 IT系统的设计、实现与配置运行都是由人来完成的，是人就有可能犯错误，操作系统或应用软件程序编写中的逻辑错误一定会导致安全缺陷，系统的错误安全配置也会引入安全缺陷。

可以说，漏洞的利用与反制永无止境。这是一场针尖对麦芒的对抗，这种对抗，不是现在才有，也不是未来才有，而是将一直存在。

更具体一些，未来的漏洞将会有哪些趋势？我们应该如何以一种未来和发展的眼光看待它？

趋势一：数量越来越多

随着工业互联网、云计算、“互联网+”等技术的发展，数据交换越来越频繁，这就导致网络的边界越来越模糊。而这也意味着，漏洞的数量越来越多。

360网络安全响应中心发布的《2017年度安全报告——漏洞势态》显示，从2013年至2017年，这五年间发现的漏洞数量呈缓慢上升的趋势。其中，2017年披露的漏洞数量较往年有明显上升的趋势，漏洞披露数量环比上升120%。

报告数据显示，2017年一共披露了15120个漏洞，其中高危漏洞4406个。这些漏洞覆盖 1444家厂商或组织的近4千种产品，累计影响的版本超过13万个。这说明网络安全形势非常严峻。

国外安全公司的数据同样验证了这一结果。 2018年2月，美国安全公司 Risk Based Security 发布的报告显示，2017年安全漏洞披露数量达创纪录的20832个。该公司的《漏洞数据库速查》（VulnDB QuickView）报告称，2016年披露的漏洞数量环比上升 31.0%而美国国家漏洞数据库（NVD）收录的漏洞数量也同样增加了。

在2017年 美 国 安 全 公 司 披 露 的 漏 洞 中，有7 900个 并 未 收 录进MITRE的通用漏洞列表（CVE）和美国国家漏洞数据库（NVD），其中44.5%的漏洞在新版通用漏洞评分系统（CVSSv2）中得分处于7.0 ～ 10.0之间，这一分值表示，它们都属于高危漏洞。

从勒索病毒新增变种数来看，也反映了漏洞越来越多这一趋势。360企业安全研究院的数据显示， 2017年 1—11月，共截获电脑端新勒索病毒变种 183种，新增控制域名 238个。全国至少有 472.5多万台户电脑遭到了勒索病毒的攻击，平均每天约有 1.4万台国内电脑遭到勒索病毒攻击。

从整体态势来看，未来勒索软件的攻击质量和数量将不断攀升，勒索软件的自我传播能力将越来越强，定向攻击能力将更加突出，受害者支付赎金的数量也会越来越多。

趋势二：危害越来越大

当前，新一轮科技革命和产业变革正蓄势待发。随着物联网、工业互联网的发展，越来越多的物体被互联网联系在一起，这在给世界带来方便、进步的同时也意味着，未来一旦因漏洞导致网络安全事件，那么它的危害值也将翻倍。

物联网的诞生，极大颠覆了人们的生活。如果物联网产品存在安全问题，将会带来不可估量的危害。电影《窃听风云》中，男主角为了进入警察局的档案室偷取资料，利用漏洞黑入警察局的监控系统，将监控视频替换为无人状态，以隐藏潜入者的行踪，防止被警察发现。这样的场景在现实生活会越来越多地发生。

早在2011年，InGuardians的高级安全分析师杰尔姆·拉德克利夫（Jerome Radcliffe）就成功对自己的胰岛素注射器实施了黑客攻击。他说，黑客能以使设备失灵的方式，给糖尿病患者造成重大伤害，或在最远达150英尺（45.72米）的地方将胰岛素注射量推高至危险的水平。

2013年，美国著名黑客巴纳比·杰克（Barnaby Jack）本打算在“黑帽大会”上展示一项惊人的“黑客绝技”——在9米之外入侵植入式心脏起
搏器等无线医疗装置，然后向其发出一系列830 V高压电击，从而令“遥控杀人”成为现实。杰克指出，心脏起搏器等设备都是有无线接收装置的，可以调节它们的工作模式。然而，就在他打算曝光这个漏洞时，却突然神秘死亡。

这两个例子充分表明，如果物联网的漏洞被利用，将会直接威胁到人们的生命安全。而工业互联网一旦被黑客攻击，可能会导致产业、地区甚至国家的瘫痪。比如电厂、水利工程、核电站，都是工业互联网的一部分，如果一个水电大坝的闸门控制系统遭到了黑客攻击，或者核电站的“核按钮”被控制，这就会给整个社会带来巨大灾难。

事实上，360的安全专家确实在某大型水电站的控制系统里发现了入侵的痕迹。更严重的是，核电站正成为网络攻击的新目标。据外媒报道，国际原子能机构表示，从 2013年开始，黑客就开始了对核电站进行网络攻击，此类设施的安全威胁正在逐渐增强。

2017年，黑客对核电站进行网络攻击已经广为人知。 6月份，乌克兰切尔诺贝利核电站的防控系统遭到 NotPetya勒索病毒攻击。攻击导致基于 Windows系统的传感器失灵，切尔诺贝利核电站不得不通过手动方式来监控核辐射水平。在核电站工作人员的极力控制下，暂时没有核辐射泄露，但工业区内的监测系统改由人工操作，核电站的网站也被暂时关闭。

英国最大保险组织劳合社（Lloyd’s）的一份报告显示，网络攻击对全球经济的危害远超人们想象，损失程度超过飓风。在“永恒之蓝”和NotPetya勒索病毒肆虐全球的过程中，公共机构、企业和个人损失严重，仅欧洲和亚洲的公司因网络攻击造成的损失累计就可能高达数十亿美元。

趋势三：价格越来越高

漏洞如何定价呢？漏洞的价格取决于利用难易程度和能影响到的人群规模。利用方式越简单，使用的人群规模越大，漏洞的攻击范围就越大，价格也越高。

随着移动互联网的发展，手机应用程序覆盖到的人群越来越庞大，比如 Signal、Telegram、WhatsApp以及微信等通信应用程序已被世界各地的数十亿人使用。在这样的趋势下，漏洞的收购价格不断上升。

2015年11月，法国漏洞收购平台Zerodium宣布，它同意为苹果iOS某漏洞利用代码支付100万美金，该漏洞可以完全入侵该移动操作系统。过去，这样的漏洞的平均价格在数千至数万美元水平，并且只有极少数交易的价格超过10万美金。

与此同时，寻找和发现漏洞的难度逐渐加大，也导致了漏洞价格的攀升。比如，在2012年，谷歌提升了对Chrome浏览器漏洞的赏金额度，表明发现新安全漏洞的难度正在加大。收购了原惠普公司漏洞研究团队的趋势科技公司（Trend Micro）全球威胁公关经理克里斯托弗·巴德（Christopher Budd）称：“由于安全性的提升，我们在过去几年中看到的产品已经很难找到漏洞。这影响了供求关系，也提升了研究人员的需求。”

最终，随着软件变得更加强大，开发者对安全的了解进一步深入，黑客如果想要得到稳定的控制权限，必须同时使用多个漏洞和多项技术。这将需要更高的技能和时间成本，也将提升寻找漏洞能力的价值。

从漏洞的上述三个发展趋势中我们能看到，互联网领域的漏洞严重程度正在不断加深，这值得每一位网络安全工作者警醒，也需要每一位互联网用户提高警惕。

（二）博弈催生创新，矛盾推动进步

股神巴菲特曾自述自己之所以成功，是因为克服了内心的贪婪和恐惧；索罗斯称自己的投资能常胜不败，只是在寻找各个经济体的漏洞，是寻找漏洞并利用漏洞的过程，他还认为，正是由于他提前刺破这些漏洞，让经济体能更快完善、进步……

互联网领域也是一样，人们正是在利用漏洞与如何堵住漏洞的博弈中不断创新，矛盾推动着互联网不断进步。

大数据与区块链的对垒

区块链技术的诞生可以说是一个典型例证。数据对企业来说至关重要，随着互联网巨头产品线汇集，这些公司聚集了大量数据。

数据集中导致数据泄露的风险更大。前文我提到的脸书8700万用户数据遭泄露就是一个例证。2018年 5月25日，欧盟发布的 GDPR（《通
用数据保护条例》）正式实施，其目的就是规范并约束企业对用户个人数据的收集和使用，加强对欧盟境内居民的个人数据和隐私保护。

数据集中还从客观上产生了数据寡头的现象，带来数据垄断。数据垄断比技术垄断更难突破，容易产生数字鸿沟问题，形成“信息孤岛”，不
利于行业良好发展。

在这样的矛盾和博弈中，具备“去中心化、信任强化、分布式共识、不可篡改”的区块链技术应运而生。数据从采集、交易、流通，到计算分析的全过程可以完整存储在区块链上，不但能够规范数据使用、提高数据质量、获得强信任背书，还保证了数据挖掘效果及分析结果的正确性。

所以区块链技术的出现，使得企业不再需要把用户信息存储在易被定位的“孤岛”中，这样能防止企业违规使用用户数据，给用户信息安全提
供了技术上的保护。同时，也有利于突破“信息孤岛”，建立数据横向流通机制，逐步推动形成基于全球化的数据交易场景。

逼上“梁山”的流氓软件

360的创新过程也是与技术漏洞、市场机制漏洞等漏洞不断博弈的过程。

互联网刚出现时，为了抢占互联网入口，很多互联网公司发布了浏览器战略。只要在浏览器导航条里输入中文，就能直接到达相关网站。由于地址栏只有一个，各家公司为争夺用户电脑，先是互相卸载对方，然后为了不被对方卸载而不断开发出更强的捆绑插件，逐渐发展到连用户都难以卸载。

最后争夺的结果就是流氓软件泛滥成灾。流氓软件有几大主要特征：不请自来（强制安装）、赖着不走（难以卸载）、卸了复活（卸载不完全，用残渣复活）。当时，我看到最严重的情况是，有的电脑中了十几款流氓软件，每个都要开机启动。有位记者给我看他的电脑，开机要半个小时，开机后鼠标还不能正常工作。

由于流氓软件不算病毒木马，属于民事行为，并不犯法，当时所有的安全软件都不管。但我们认为，解决用户的痛点、为用户创造价值是大事，产品也才有前途。由此，360安全卫士在和流氓软件的博弈中正式诞生了。

2008年我们进军杀毒领域，当时的杀毒技术主要是人工分析病毒的特征码，通过扫描文件进行匹配、查杀。但这种“非黑即白”的杀毒方法只
能管已知的病毒，并且查杀是滞后的。当病毒增长速度暴增以后，这种依靠已知“黑名单”的方法宣告失效，我们开始寻找新一代网络安全技术的突破口，首创了“查白”的网络安全技术，推动了网络安全产业的技术变革。关于这一博弈，我将在后面的章节中详细展开。

现在，互联网逐渐深入人们生活，网络安全领域的博弈更加错综复杂。利用漏洞发起的网络攻击已经产业化，形成了庞大的“网络黑色产业”，给人们的日常生活和社会的正常运行带来了巨大的威胁。

互联网技术不再是一个单纯的技术问题，在裹挟了政治利益、经济目标和人性满足等因素后，网络的漏洞会被放大，甚至无限放大，其危害无法估量。这是我们必须时时刻刻警惕，甚至是比以往任何一个时刻都需要警惕漏洞的现实原因。

人有弱点并不可怕，真正可怕的是明知自己有很多弱点，却不去认识和积极改正。如果不深刻地认识到自身的弱点，学会自我控制，提高自我纠错的能力，人是无法走向成功的。

同样，面对网络漏洞，我们也需要以同样的逻辑来面对它。既然我们已经发现了漏洞的规律，总结和梳理出了漏洞的趋势。下一步，就需要更加深入地挖掘当前网络领域是如何利用漏洞的，各个环节和要素如何在其中发挥作用，以及在这场左右互搏的对抗中，我们如何战胜庞大的“网络黑产”，推动互联网的健康、快速发展。


来源  360企业安全