“黑客情报官”薛锋：真相只有一个，我们必须找到它

我第一次知道薛锋是在 2015 年，当时一个程序员朋友跳槽投奔他，我就问朋友这人是谁？朋友说，一个离职创业的大牛，技术炸裂，我问有多炸裂，结果朋友给我说了一段绕口令：“当年薛锋挖微软漏洞挖得微软直接挖他到微软”。我花了半天才捋明白，伸出大小拇指直呼666。

朋友说，薛锋打算创业做“威胁情报”，我问他威胁情报是啥，他顿了顿神说：咳咳……谍战片看过没？战争情报知道吧，“威胁情报”就是黑客之间干仗用的攻防情报。

我当即脑补出薛锋的“情报大佬”形象：眼神犀利，身穿黑衣，面带刀疤，叼着雪茄，来去神秘，行踪不定……

直到后来认识了薛锋本人，才发现原来网络安全界的“情报大佬”长这样……

上周见到薛锋时，他一如往常穿着商务范 polo 衫和棕黄色长裤，戴着细框眼镜。讲到起劲时，他会立即起身在玻璃墙上写写画画，清瘦不高的他，颇像个青年教师。

            （薛老师正在上课）

事实证明电影里都是假的，现实中厉害的技术大牛都挺低调。

薛锋不仅是技术大咖，还是个出色的创业者。三年里，他的公司“微步在线”一年一融资，去年刚拿了1.2亿元，这在国内安全创业公司里并不多见。

更厉害的是，薛锋是中国最早一批做威胁情报的创业者，他的故事基本映射着国内威胁情报市场的整体发展。

今天浅黑来八一八他的创业故事。

1 

时间回到2015年5月的一个夜里，薛锋激动得彻夜难眠，第二天一早他就约了几个好朋友出来，邀请他们一起辞职创业。

头一天，薛锋和这几个朋友聊起威胁情报，提到一家相关的公司，就建议大家趁着估值不高可以投资一下，大家一番讨论后都觉得方向不错，可谁也没料到薛锋的真实意图居然是想自己干，更没想到这么突然。

虽然薛锋事后说 “ 其实当时并没想太多，与其投资别人，不如自己干”，可那会儿他是亚马逊中国首席安全官，工作稳定待遇优厚，就这么说辞就辞了？

都说创业是九死一生，是什么能让他下这种决心？不做不行，连投资别人做都不行，非得自己做？家里有矿吗？

会议室里，薛锋淡定地推了推眼镜，说：

“那两年我常琢磨一个问题：为什么很多大公司都能被黑客组织扒个底朝天？哪怕他们雇佣了一流的安全技术人员。哪里出了问题？”

 当时他在一份数据泄露报告里看到一个惊人的数字：美国仅在2014年就有8万多家公司被黑客攻破，不少大公司被钉在信息安全的耻辱柱上。

“ 索尼影业，上到高管薪资，下到普通员工的个人信息全都被疑似来自朝鲜的黑客公诸于众。美国最大的金融服务机构之一，摩根大通集团丢失了七千多万的客户信息。”

真相是什么？

薛锋发现，当时的信息安全太过于依赖防御技术，一道防火墙，黑客突破之后便是一马平川，整个网络就像是唱空城计。

在那种格局下，攻防双方存在严重的不对等，攻击的一方占尽了便宜。

时间上，攻击者总是更快，防御者只能被动防护；工具上，攻击者可以随意尝试各种方式，而防御者一成不变；人数上，一家企业可能被几十个甚至上百个攻击团伙轮番上，姿势还各不相同。

更要命的是敌暗我明，防御者完全不知道对方是谁，用了什么工具，甚至不知道来过几波人。

“这就好比你天天听见撬门声，可每次开门都发现没人，又做不了任何事。” 

这恐怕是那时几乎所有安全防守方的焦虑。

2015年，薛锋接触到一家名叫 Crowdstrike 的安全创业公司，得到了灵感。

“他们彻底换了个思路，除了检测可疑样本，还会排查程序和程序之间的关系、电脑与服务器之间的网络关系，利用各种信息的关联分析来判断威胁来源。

“还说撬门的例子，光靠一把锁是不能阻止坏人的，你需要专业的监控设备，比如摄像头来发现闯入的坏人。

如果问题很严重，当警察来了，他们会通过撬锁痕迹辨别对方的工具、专业水准，会询问保安最近有什么可疑人员出入过小区，会调取摄像头监控记录，根据样貌比对是否附近的惯犯……他们会调取一切有用的线索来还原作案过程和嫌疑人画像，最终找到犯罪嫌疑人。

前半段是监控，后半段是溯源。”薛锋说。

显然，如果赛博世界里的防御者也拥有老警察一般的侦查能力，就也能利用各种数据来还原攻击过程，定位到攻击团伙，叫来警察上门查水表。

而这种方法在国外当时已被验证可行，这让薛锋兴奋不已。

“一个团伙黑客团伙的目标行业特点、攻击手法、工具、利用的漏洞、木马样本、服务器域名、IP、数字证书等等，这些都是有用的数据，能用来还原黑客的画像和攻击流程。”

薛锋的描述让我联想到警匪片里的经典场景：刑侦警察们在小黑屋里放着PPT分析罪犯线索，对着墙上的照片梳理出犯罪团伙的关系脉络图，最后把一个飞镖扎在最上方的肖像上。

有趣的是，薛锋最早就是公安出身。

“预测、响应、防御、发现，这四件事都很重要，可过去安全行业把大部分注意力集中在防御上，对安全数据运用的太少了。” 

薛锋找到了真相，像发现新大陆一样兴奋，依照多年的攻防经验，他笃定此路行得通。

一切发展得太快。从有想法到开干，薛锋只用了一个月多时间，他的笃定最终也让他获得资本的青睐。据说，当时薛锋的孩子即将出生，连投资洽谈都只得安排在医院附近。

事实证明薛锋的判断没错，几乎在同一时间，国内一票安全公司也都察觉到威胁情报的意义。

7、8月份，天际友盟和白帽汇进军威胁情报；9月，360 成立威胁情报分析中心，10月，烽火台威胁情报联盟成立……一阵风刮到国内，所到之处遍地开花。

2015年最后一天，12月31日，微步在线官方微步忽然发出一份威胁分析报告，开头附上一段希腊诗人卡瓦菲斯的《伊萨卡岛》，恰似他的心境：

“当你启程前往伊萨卡，但愿你的道路漫长，充满奇迹，充满发现…… ……以此纪念2015，即将逝去的中国威胁情报元年。”

（图片截取自微博@安全威胁情报）

2

“那会儿很多人都不了解威胁情报是什么，能干什么，怎么用，经常要解释半天。”  这是薛锋创业遇到的第一个问题。他想了一个办法 —— 搞事情。

说回上文提到的那份技术报告，当时国内某大厂的安全部给 Adobe 公司提交了一个 Flash 播放器的 0day 漏洞（首次公开发现的漏洞），Adobe 惊奇地发现这个漏洞居然已被黑客组织利用来针对攻击企业高管，于是紧急发布了补丁。

攻击者是谁？想干什么？是针对中国的吗？目的是窃取商业机密吗？这事儿当时就在圈里火了。

正当大家议论纷纷，薛锋赶紧带着手底下的分析师开始关联其中的各项数据，分析出一系列重要威胁情报：

这次的攻击团伙极有可能就是几年前出现过的黑客组织“暗黑客栈”。

不仅攻击手法流程相同，而且目标行业、国家、人群、反杀软技术以及服务器端框架等特征都非常吻合。

根据以往的威胁情报，“暗黑客栈”团伙专门盯着出去开房的企业高管，他们会黑掉受害者所在酒店房间的 wifi 来实施网络钓鱼。

微步在线当即在报告中建议企业CXO 立即升级Flash播放器，谨慎开房连接酒店 WiFi，不要点击陌生链接与邮件附件……

“我就是想让大家知道，安全事件从威胁情报的视角出发，可以做那么多事情。” 薛锋说。

暗黑客栈并不是微步在线第一次“炫技”。早在那之前的几个月，网上爆发了轰动的  XcodeGhost 事件，苹果商店 AppStore 出现大量带病毒的应用 ，其中不乏一些我们每天都在用的大公司的应用，连不少银行的官方应用也中了招。

当时国内整个互联网开始沸腾，中国国家互联网应急中心 CNCERT 发布预警，各大网络安全公司和部门发出各种分析报告。微步在线也赶紧威胁情报的角度对事件进行了分析，通过样本特征 、IP、域名等数据之间的关联，他们直接锁定嫌疑人的身份，并且推测出该事件的始作俑者跟另外两款恶意程序有密切关联。

（这是当时梳理的威胁情报数据线索图）

“那几件事过后，越来越多的业内人士开始关注威胁情报。”

除了发技术报告，薛锋还开启了“刷脸布道模式”。

2016年前后，他频繁以演讲者的身份出现在各大网络安全会议，观众往往先被他个人履历吸引：

“前亚马逊中国首席安全官、微软中国互联网安全战略总监，国际顶级 Blackhat 欧洲安全大会和微软 Bluehat 大会上首位中国演讲者”。

随后，观众才注意到“微步在线”这家公司，最后再被他的演讲内容所打动。

“薛锋的（技术）销售能力特厉害。” 同事海洋评价他。但偏偏我发现，薛锋不是那种巧舌如簧的人，他真正打动我的是他发自内心相信威胁情报，相信自己的事业，这种由内而外散发出的坚定很容易感染别人。

3

会议室里，薛锋试图给我讲明白微步在线的发展轨迹，他拿起笔在玻璃墙上画了一个圈，里头写上两个英文单词 “Threat graph”，威胁数据图，他说：

“这是微步的核心价值，一个庞大的威胁图库，包含从样本特征值到服务器、域名等一系列数据，经过分析师或机器学习模型的梳理，他们会成为一条条有用的威胁情报。”

我：“这些数据都从哪里来的？”

薛锋：“数据获取渠道主要有这么几类，包括公开渠道、商业渠道，微步自己的威胁情报社区，全球各地的安全人员每天都在提交；还有合作伙伴渠道，我们跟30多个AV厂商都有合作。”

我：等等，30多个AV厂商？A……V？

薛锋：Anti Virus，反病毒厂商，卡巴斯基、微软之类的！

我：……

(我在微步的引擎里随手搜了个网站，发现了一些奇奇怪怪的东西）

薛锋说着，又在圈外面零星写了一堆词。

“剩下的全是落地方案，目的是把我们的核心威胁情报输出给客户，满足客户具体的安全需求。”

圈外的几个关键词连成的线，俨然是薛锋这三年来的“行军路线”。

（幺哥试图还原薛锋画在墙上的图）

2017年前后，“威胁情报难落地” 一度是许多人津津乐道的话题，微步在线做过许多尝试。

起初，微步在线做了一套长得类似百度、Google 的威胁情报专用搜索引擎，用户上传可疑样本进行安全检查，企业可以通过 API 接口来实现大批量查询。

然而愿意用的企业并不多，一来 API 接口用起来有些复杂，二来国内的企业宁愿多下载几款杀毒引擎来检查，也不愿意把敏感文件上传到第三方厂商那里，这跟国外很不一样。

“ 三个？四个？ 2016 年前后接 API 的客户就那么多。” 薛锋不避讳当时商业上的惨状，“主要精力还是在威胁情报分析图库的搭建上。” 

后来，薛锋干脆把这个威胁搜索引擎做成了社区，谁要是被搞了，可以把相关信息提交到上面供其他人免费查询，以防止攻击团伙再去搞别人，同时也能让大家一起揪出幕后黑手。

社区没有给微步在线带来金钱上的收入，却为他们赢得了人气，为后来的事打下了基础。薛锋说，目前社区每天能收到30万到50万条威胁信息，社区也成了行业认识微步在线的主要来源之一。

到了2017年中旬，微步在线搞出TDP、TIP 两套系统，一套能对企业内部流量进行分析，并且结合外部威胁情报来综合判断威胁，一套能帮助企业高效地管理威胁情报。至此，他们才拿下了国内几大行业的标杆客户，开始客户暴涨的局面。

薛锋一口气罗列了几十个公司的名字，其中不乏我们熟悉的招商银行、交通银行、腾讯、中石油、国家电网、银河证券、证通、顺丰等等。

由于去年融了1.2亿不差钱，微步在线又收购了知名公共域名解析服务商 OneDNS，想用域名解析的形式来输出自己的威胁情报能力。

“直接把企业或者自己电脑的DNS域名解析服务器地址换成“117.50.11.11”或者“117.50.22.22” 就能获得我们的安全服务，一旦访问到危险的域名就会自动拦截和告警。” 薛锋说，重点是不用额外安装任何软件，不妨推荐给身边的朋友试试。我说好。（这也算兑现承诺了……）

2017年全球权威IT 分析机构 Gartner 发布了《2017全球威胁情报市场指南》，微步在线以唯一一家中国厂商的身份位列其中。从公司成立到入选，微步只花了两年时间，这创造了全球安全公司的一个纪录。薛锋把原因归结为“刀够快，针够尖。” 

4

2018年中旬，人们的注意力又被诸如区块链之类的新技术趋势吸引，关于“威胁情报”的话题没有了上一年的喧嚣。

一次参会间隙，有个朋友拍拍薛锋的肩膀说，“ 现在威胁情报怎么不火啦？” 薛锋当时没在意，可过了一阵，另一个朋友也说起这事儿，“怎么现在没几个在朋友圈里讨论威胁情报的啦？” 

“我当时想了想，觉得这事儿快成了。” 薛锋说，早一年每个创业公司都标榜自家用了深度学习算法、人工智能技术，今年大家的关注重点不再是你用没用 AI，而是你能用它解决什么问题，解决得怎么样。

任何一项新的技术和技术理念其实都这样，当它看似被‘冷落’，可能有两个结果，一是真的玩儿完了，二是它变成了公认的底层设施，就像自来水和电一样的存在。

而这也符合Gartner对于科技发展的普遍模型 – Hype Cycle, 中文通常译作“成熟度曲线” 或者“炒作曲线”。从创新出现，到媒体大量报道和讨论，再到现实落地，最终到大量采用。

“创业毕竟得相信自己的判断，而不是朋友圈的热点。” 薛锋说。

那一刻我透过薛锋的眼睛，仿佛感受到三年前他决定离职创业前一夜，那种“天将降大任”的亢奋，仿佛看到了新年前夕敲下那首希腊诗时的背影。

当你启程前往伊萨卡，

但愿你的道路漫长，

充满奇迹，充满发现。

莱斯特律戈涅斯巨人，独眼巨人，

愤怒的波塞冬海神－－不要怕他们：

你将不会在途中碰到诸如此类的怪物，

只要你高扬你的思想，

只要有一种特殊的感觉，

借出你的精神和肉体。

莱斯特律戈涅斯巨人，独眼巨人，

野蛮的波塞冬海神－－你将不会跟他们遭遇

除非你将他们一直带进你的灵魂，

除非你的灵魂将他们树立在你的面前。

但愿你的道路漫长。

但愿那里有很多夏天的早晨，

当你无比快乐和兴奋地

进入你第一次见到的海港：

但愿你在腓尼基人的贸易市场停步

购买精美的物件，

珍珠母和珊瑚，琥珀和黑檀，

各式各样销魂的香水

－－你要多销魂就有多销魂：

愿你走访众多埃及城市

向那些有识之士讨教并继续讨教。

让伊萨卡常在你心中，

抵达那里是你此行的目的。

但路上不要过于匆促，

最好多延长几年，

那时当你上得了岛你也就老了，

一路所得已经叫你富甲四方，

用不着伊萨卡来让你财源滚滚。

是伊萨卡赐予你如此神奇的旅行，

没有它你可不会启程前来。

现在她再也没有什么可以给你的了。

而如果你发现它原来是这么穷，那可不是

伊萨卡想愚弄你。

既然那时你已经变得很聪慧，并且见多识广，

你也就不会不明白，

这些伊萨卡意味着什么。

                               —— 卡瓦菲斯

最后再介绍一下我自己吧，我是谢幺，科技科普作者一枚，日常是把各种高大上的技术知识、黑科技讲得通俗有趣。如果有什么有意思的科技类问题，可以加我的个人微信：dexter0。

不想走丢的话，请关注【浅黑科技】！

转载请注明来自网盾网络安全培训，本文标题：《“黑客情报官”薛锋：真相只有一个，我们必须找到它》

标签：黑客工具