原標題：全球網絡安全“隱形殺手” 環伺，360周鴻禕烏鎮放飛“預警機”

網絡安全正面臨越來越多的“隱形殺手”。

“如果漏洞是網絡攻擊的重要資源，那麼0day漏洞就是威脅最大的資源，捕獲0day漏洞攻擊的能力是今天網絡防護的關鍵點。”10月20日，360高級副總裁李建華在世界互聯網領先科技成果發佈會上表示。

在這次會上，由360研發的“全視之眼-0day漏洞雷達系統”獲評世界互聯網大會領先科技成果。

這是360繼安全大腦後第二次獲此殊榮，全視之眼可以“看見”0day漏洞攻擊，並有效應對。

看不見的攻擊纔是最可怕的。

0day漏洞，一種沒有補丁、應對措施，只有少數攻擊者知曉的漏洞。藉由0day漏洞發動的攻擊不可預知、極難防禦。2017年，美國國家安全局泄露的0day漏洞被一羣“小毛賊”利用，由此引發了WannaCry勒索病毒事件。

據不完全統計，全球有超150個國家的20多萬家機構的電腦中毒。該病毒還造成出入境及車管業務中斷、加油站及醫院“罷工”等“現實危機”。

而當“小毛賊”換成“APT組織”這樣的國家級網絡攻擊隊伍，0day漏洞的危害將難以想象。

但現實已經逼近，今年來，蹊蹺的大規模停電事件在南美多國頻頻上演；伊朗則號稱攻擊了美國紐約電網，造成大停電；俄羅斯電網也被曝遭遇入侵……

“當下貌似和平很久，但戰爭從未遠離，只是形式不同”，360創始人周鴻禕表示，當攻擊者不用出動轟炸機、導彈就能導致大規模停電、停產時，這類來自網絡的威脅已不亞於真槍實彈的戰爭。

值得慶幸的是，現身烏鎮的周鴻禕已有了對策。

1

威脅網絡安全的“隱形殺手”

2009年，伊朗納坦茲核燃料濃縮工廠的科學家們苦思冥想了幾個月卻束手無措。他們用試驗排除了由機電故障引發的可能性，還將工廠的離心機數量翻倍，但濃縮鈾的產量仍然停滯不前，甚至每況愈下。

終於，他們在一臺裝有控制軟件的電腦上發現了帶有惡意軟件的U盤。事實證明，長期以來，一個名爲震網的祕密軟件一直在暗中干擾。病毒最終導致1000臺鈾濃縮離心機廢棄，直接摧毀了伊朗“核計劃”。

震網的出現，標誌着首個“超級破壞性”網絡武器登上歷史舞臺。人們驚惶地發現，虛擬世界的網絡攻擊可以摧毀現實中的鋼鐵機器。

而這次攻擊之所以能得逞，都與0day漏洞息息相關。據分析，震網設計者精心構置了微軟操作系統中4個在野0day漏洞，並和工控系統的在野0day漏洞進行組合，以實現精準打擊、定向破壞。

實際上，震網之後，APT組織也開始浮出水面。這類組織會利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊，其背後往往是國家級的網絡攻擊隊伍。

近年來，360已累計發現40個APT組織，其攻擊涉及能源、通信、金融、交通、製造、教育、醫療等關鍵基礎設施行業。

0day漏洞頗受APT組織青睞。

360發佈的《全球高級可持續性威脅2018年總結報告》顯示，2018年，比較知名的APT活動0day漏洞在野利用事件就有14個之多。報告總結說，APT組織是最有能力挖掘和利用0day漏洞的組織。

比如，2018年11月25日，烏俄兩國突發“刻赤海峽”事件。四天後，360安全大腦在全球範圍內第一時間發現了一起針對俄羅斯的APT攻擊行動。

其攻擊相關樣本來源於烏克蘭，攻擊目標則指向俄羅斯聯邦總統事務管理局所屬的醫療機構，攻擊者利用了Flash的 0day漏洞（cve-2018-15982）。

更怕的是，0day漏洞可能隱藏在任何一個稍有規模的軟件系統中。

據統計，平均每一千行代碼中就存在着4-6個漏洞。尤其是隨着“自動化”程度的加劇，系統越複雜，漏洞就會越多。而在當下的萬物互聯時代，各類關鍵基礎設施聯網後，漏洞的危害也隨之闖入“物理世界”。

2015年聖誕節期間，烏克蘭國家電力部門受到了APT組織的猛烈攻擊，使烏克蘭西部的 140 萬名居民在嚴寒中遭遇了大停電的煎熬，城市陷入恐慌，損失慘重。2019年委內瑞拉遭遇全球最大規模的“斷電襲擊”，繼而停水停電，地鐵停擺、電信服務、網絡接入服務中斷。

看不見的纔是最可怕的，這就是0day的真正威脅。

從理論上講，0day漏洞攻擊不可預知、極難防禦。這也是APT組織會喜歡使用0day漏洞的原因”，360首席安全架構師、360冰刃實驗室負責人潘劍鋒告訴記者。他的實驗室負責了360全視之眼的研發。

2

造“預警機”的網絡安全公司

上世紀90年代初，海灣戰爭爆發，中國從中看到了研製預警機的緊迫性，並歷經數十年研製出全球領先的預警機。

國產預警機被譽爲與“兩彈一星”、載人航天和探月工程並列的國家重大工程。在現代戰爭中，預警機堪稱“天空之眼”，可以大大減少雷達盲區，提供精準的遠程預警和空中指揮引導。

在網絡安全中，面對“隱形飛機”一樣的國家級網絡攻擊，同樣需要“預警機”。

周鴻禕曾多次強調：應對網絡攻擊，‘看見’是1，其它是0。如果不能看見攻擊，堆砌再多的網絡安全產品也是徒勞。

實際上，在網絡安全領域，360是最有實力實現“看見”的公司。

今年8月，在全球頂級網絡安全大會“Black Hat”上，360取得兩項歷史性突破：一是在“2019 MSRC全球最具價值安全精英榜”中，360 包攬前兩名，實現亞洲人首次登頂，入選人數和綜合排名蟬聯世界第一；二是360榮獲“最佳提權漏洞獎”（The Pwnie Awards），打破了連續12年無中國人獲獎的記錄，向世界展現了中國的網絡安全實力。

過去的五年時間裏，360率先獨立發現主流廠商漏洞超過2000個，獨立捕獲0Day漏洞7次，涉及上千個重要部門，成爲全球獲得致謝次數最多的網絡安全公司。

即便如此，研製能看見高級別攻擊的“預警機”也並不容易。

“發掘0day漏洞很難，也有很強的偶然性，我們轉而把目標放在追蹤利用0day漏洞的攻擊上，任何攻擊都會留下蛛絲馬跡”，潘劍鋒表示。

順着這一思路，360冰刃實驗室找到了方法。

“0day漏洞攻擊分爲觸發、利用、運行三個階段，只要在三個階段佈置探測器就能發現攻擊”，潘劍鋒透露，爲了實現這一目標，360冰刃實驗室將多項創新技術應用到360全視之眼中，一些技術甚至從無到有，彌補了行業空白。

比如，其冰刃安全虛擬機技術（ILSVM）是從零設計開發的以實現安全檢測爲主的全新輕量級虛擬機系統，彌補了國內此類基礎軟件的空白。

在ILSVM 的基礎上，360全視之眼獨創了0day攻擊捕獲技術，即借用強大的ILSVM，在攻擊的三個階段均佈置了多種全球獨創的新型探測器，能把第一、二階段捕獲能力直接全天時應用到數億用戶終端的系統，使發現0day漏洞攻擊的能力提升到一個新的高度。

針對傳統沙箱的不足，360冰刃實驗室還將ILSVM的核心安全能力複製到了KVM虛擬機之上建立多維沙箱，將大量虛擬化新型探測器（如影子頁表探測器、執行路徑ROP探測器等）部署於hypervisor層、Guest內核層、Guest應用層多個維度上，捕獲更多類型的漏洞利用攻擊，與終端子系統形成了優勢互補。

整體來看，360全視之眼更像網絡世界裏的“預警機”，能洞察極其隱蔽的異常行爲，並通過360安全大腦分析研判，精準捕捉0day漏洞攻擊。

“我們的產品已廣泛應用於數億個人用戶和大量政企單位，每天感知異常行爲超過5億次，成功發現和阻止了幾十起高級安全威脅（APT）。相信這將是爲大安全時代保駕護航的利器。”周鴻禕表示。

編輯：小野

製圖：小野 丸子 甸甸