ISC威胁情报论坛黑客：网络世界也有“暗物质”

9月30日，2015中国互联网安全大会(ISC)各个分论坛在如火如荼地进行中。继前一天周鸿祎提出“看见安全”这个观点后，各分论坛也将“看见”这一话题延续。在数据驱动安全之威胁情报论坛上，著名80后白帽子黑客、知道创宇副总裁余弦，现场展示了探索网络“暗物质”的全过程。

图：2015ISC数据驱动安全之威胁情报分论坛

在现场，许多人表示不知道网络中的“暗物质”是什么。余弦表示，目前的物联网圈也被称为“屠宰场”，许多设备都已被控制。比如摄像头中，用户上传的照片都是私人的，实际上并不安全。黑客会通过很多相关的漏洞轻易进到里面去，并且可以做到一个摄像头给进孔的视频和画面劫持住，暗物质则就是暗藏在网络内部，可被黑客利用的漏洞。而探索暗物质的过程称为“寻找威胁情报”。

余弦介绍，探索网络“暗物质”，是通过透视网络空间实现的。他认为，网络空间好比一个古时候的大海洋，如果要发现一些东西的话，需要通过一些方式绘制出一张“航海图”出来。比如，采用希尔伯特曲线绘制出Intrnetcensus图，可以准确地看到网络空间里有什么。

除此之外，关于“心脏出血”漏洞应急响应的时候，有人说应该全球实时刷数据然后分析并构建等各种“高大上”的方案，然后通过抓数据做分析数据出来。“等你把这个事情都做完了以后，黄瓜菜都已经凉了。”余弦表示不认同。他认为，这是极其复杂的战场，时间皆是一切，遇事需要马上解决，但如果之前我们没有相关的人员和架构的储备的话，还需要盟军协助。

最后，余弦浅谈了一下他是如何探索网络空间“暗物质”——威胁情报：“很关键的一步是先识别主线，一个IP很多的端口，每一个端口背后可能是对应的一个服务，这个服务是由某个组件来提供的，我们第一步需要把组件识别出来。其次，统一高一维度的信息比如说网络空间有一个阿帕奇服务，有可能只是一个打印机也可能是邮箱服务。最后是理清设备之间的网络层级的管理，以及社交信息。”

余弦认为，网络空间是一个“超级大宝藏”，有太多的“暗物质”等着去消除。而且每份每秒都有很多地下黑客的动静。而对于用户来说，与黑客战斗的“战场”不应该只是服务器的集群里面，应该在整个网络空间里。

“为什么?对手就在那里，跟你玩儿他才不会跟你正面去搞呢，他在哪里玩儿，你就去哪里陪他玩儿。”余弦如是说。