企业动态

    本文刊登于《网安26号院》第13期【奇安信人】栏目

    候鸟南飞又北归。而徐贵斌自从2017年带领奇安信的一支研发团队驻扎珠海，一去未归，如今已进入第五个年头。君问归期未有期。要知归期，还要先从这次迁徙的起因，从徐贵斌斯人说起。

    徐贵斌，1975年生人，著名反黑工具“狙剑”的作者，资深网络安全从业者，奇安信副总裁、华南基地负责人。

    “喧宾夺主”的副业

    中国网络安全行业的发展历史并不很长，徐贵斌几乎全程参与，但入行纯属偶然。

    “我所处的年代，电脑正从单机时代向互联网时代转换，各种问题特别多。我当时在做校园网络，也销售一些硬件。客户的机器都装过一套甚至是多套杀毒软件，但还是屡屡中招，于是频频找我们。虽然不是我们的问题，但客户有需求我们肯定还是要尽力帮解决。

    做售后的时候，我就发现，面对各种攻击，当时的杀毒软件根本解决不了问题，只能借助各种工具，去帮客户手动处理。那个时代各种工具层出不穷，公司的、个人的。”

    徐贵斌所说的是2000年左右，传统的杀毒软件沿用杀毒引擎+特征码的技术，20年没有创新，已经不能有效解决互联网的安全问题。市场的安全需求和实际安全产品的供应差距很大。

    本来是主业是搭网、卖货，副业是帮修电脑，但后来，找徐贵斌解决网络安全方面问题的客户越来越多。徐贵斌的副业逐渐“喧宾夺主”。再之后，徐贵斌写出了功能强大的安全反黑工具——“狙剑”。它可以提供系统监视、进程管理、磁盘文件管理、注册表检查、内核检查等多个功能，从而方便地手工查杀木马。

    “狙剑”一经推出，很快就在圈内打响了名气。徐贵斌对此却表现得谦逊而坦诚。“狙剑的创造性并不是很强，更多的是对过往大家群体经验的汇总。

    当时民间的技术氛围很浓，很多技术都是大家讨论出来的，也有借鉴国外的，但都是散点。而安全不是解决某个点的问题，我把各个技术点汇总到了一起，就形成了一个综合性的工具。”

    更大更专业的舞台

    通过编写“狙剑”，徐贵斌展现出卓越的技术才能，他就此进入了专业的安全公司，也在那里遇到了自己的伯乐，彻底投身网络安全事业。

    “2008年，我就成为了齐总的部下”。

    以前单打独斗，仅凭个人兴趣和个人能力兼职做网络安全的徐贵斌，拥有了更大更专业的舞台。

    对此，奇安信集团董事长齐向东在自己的专著《漏洞》中有专门的记述。

    “徐贵斌刚加入公司时，被安排在查杀组，他的能力在团队中很快得到了凸显。比如2008年，我们推出的系统急救箱就是徐贵斌带领团队开发出来的。这只是徐贵斌能力的冰山一角。更重要的是，他领导查杀部门，把公司的查杀能力提升了一个大台阶。简单来说，当时业内主要是基于病毒库来扫描查杀木马病毒，也就是俗称的‘黑名单’机制。但我们创新推出了以‘查白’为核心的网络安全技术，应用了搜索引擎、云技术、人工智能等互联网技术，攻克了黑名单瞬息万变不可捕捉的难题，积累了比较全面的白名单样本数据库。”

    《漏洞》

    有了领导的支持和团队的助力，徐贵斌大展拳脚。

    “在2000到2006年期间，电脑带毒运行是常态。而在那之后的两三年时间内，我们就把绝大多数安全问题都解决了，个人电脑中毒成了小概率事件。”

    在之后很长的一段时间，网络安全江湖有些波澜不惊，守方的力量似乎稳稳占据了上风。

    真实的情况是这样吗？

    一计重重的耳光

    2017年5月12日，“WannaCry”勒索病毒在全球爆发，波及150多个国家和地区、10多万个组织和机构以及30多万台电脑，损失总计高达500多亿人民币。众多医院、教育机构以及政府部门遭受攻击。

    这次病毒感染事件突发性强、波及面广，在全球范围内引起巨大恐慌，也给网络信息安全尤其是关键信息基础设施行业的网络信息安全敲响了警钟，把所有人都拉回了现实。

    网络安全江湖外表波澜不惊，实则暗流涌动，因为0day漏洞始终存在。

    此次勒索病毒之所以造成严重损失，一个重要原因是美国国家安全局的“永恒之蓝”网络武器流入民间，被黑客利用，使勒索病毒可以“蠕虫式”传播。

    面对这样的现实，徐贵斌毫不讳言。“这是给整个网络安全行业一计重重的耳光。作为在网络行业从业多年的资深技术人员，我觉得挺丢人的。面对这种级别的网络武器的攻击，网络安全行业没有发挥任何作用，很多只能断网。”

    即便如此，危急时刻，网安人还是竭尽全力。“永恒之蓝”勒索病毒爆发后，我国有关部门迅速组建了应急指挥部，奇安信担任总指挥，利用自己在安全大数据和态势感知领域的优势，很快推出了“永恒之蓝”勒索蠕虫传播专项态势感知，并以此为基础建立了应急响应体系，先后派出超过2000位安全应急响应人员，为超过1700家政企机构提供了现场支持。

    虽然奇安信在“永恒之蓝”一役中表现优异，但董事长齐向东认为，问题并没有真正被彻底解决。“永恒之蓝”只是美国国家安全局众多网络武器之一，面对这种级别的网络武器，传统安全防护技术已经失灵。网络被彻底打开，传统边界属性改变，传统的IT安全架构已经跟不上时代发展，需要探索全新的安全解决方案。

    现实印证了齐向东的观点，在这一年中，继“永恒之蓝”席卷全球之后，NSA/CIA等核武器级网络军火库持续“失火”引起恐慌。从操作系统到应用软件，从Web容器到服务插件，各种0day漏洞应接不暇。总之，2017年的网络安全，用“多灾多难”来形容，绝不为过。

    当然，事物总有双面性。在历史性经历过这些安全大事件之后，上到国家，下至民众，开始对网络安全这个行业投入更多关注。2017年6月，我国的《网络安全法》终于颁发。也是在2017年，奇安信做出了一个重要的战略决定。

    珠穆朗玛峰级的问题

    2017年7月，奇安信在珠海设立华南基地，“天狗漏洞攻击防护系统”正式立项。

    目标：基于内存指令调用序列检测技术解决0Day漏洞攻击问题。

    南下带队开展这项工作的，正是徐贵斌。

    “天狗要解决最新的网络攻击问题，对标的就是‘永恒之蓝’这个级别的0Day。”

    “已知漏洞”的问题容易解决，是因为我们明确的知道漏洞存在于哪一个文件、哪一个函数的哪一条指令中。而“未知的0Day漏洞”难以解决，是因为它有可能存在于任一文件或服务的、任一函数与指令中，已知未知，天差地远。

    很显然，天狗想解决的是网络安全领域珠穆朗玛峰级的问题。

    “我们核心是利用机器学习与智能采集技术，学习并采集系统中所有可能存在被利用风险的程序的指令序列，并构造成“指令序列白名单”，当实际在内存中执行的任意一条指令序列不在白名单中时，即认为是非原生的额外出现的异常攻击指令。0Day漏洞的确是未知的，但系统及程序却是已知的，利用已知发现未知，是可行的”。

    理论上虽然可行，但要实践验证可行，并最终产品化，还有漫长的路。徐贵斌就这样扎在了珠海，越来越多致力于这一研究方向的小伙伴聚到了他周围。

    “我一直觉得我就是搞技术的，我绝大多数精力都放在技术上。‘天狗’是我一手设计的，我也亲自做验证。虽然我也做管理，但更多是聚一帮人，大家一起想解决高精尖的问题”。

    这帮人夜以继日，埋头一干就是两年。2019年，‘天狗’完成了工程化，开始在华为做试点。

    同为技术公司，华为对合作方的选择一向以严苛著称，为什么愿意当‘天狗’的试验田？

    “华为是一家很专业的公司，它对技术的要求很直接，就是要解决来自于国家级的网络攻击。而2017年‘永恒之蓝’把所有安全公司全部打穿，想找一款能应对0Day攻击的产品，除了‘天狗’之外，别无选择。

    所以，即使是我们第一个客户，华为也愿意。华为的安全系统搭建的非常完善。作为一家国际化的公司，华为在全球都有分支机构，‘天狗’也随之部署到了全球。”

    试点结束，徐贵斌团队对试点工作情况进行了总结。依据华为提供的数据，试点期间，其分布在世界各地的办公网络、内部网络、生产系统遭受到来自于全球的攻击，有60%的攻击是“天狗”独立发现的。

    “华为的试点情况非常好，‘天狗’的有效性得到了检验。之后，我们继续扩大试点范围，在多家客户超过50万+的终端和服务器上进行了超过2年的部署。稳定性和兼容性，以及包括对性能的影响问题都已解决。”

    一战成名的“天狗”

    奇安信投入300多人，历经3年自主研发的全新一代安全技术——“天狗漏洞攻击防护系统”，最终取得了200多项技术专利，将安全技术带入内存指令检测的时代。

    “天狗”在面对0Day漏洞、可信程序被恶意利用、以及后门的检测方面，都有显著的防护效果。在2021年底的Log4j漏洞事件中，“天狗”一战成名。

    “我们进行了漏洞影响验证，包括所有客户，发现2021年10月发布的天狗-JAVA，完全不受该漏洞的影响。”

    无需更新就能直接防御Log4j漏洞，要归功于“天狗”引擎的技术特点。

    基于内存指令层的漏洞攻击检测技术，脱离了传统上对具体漏洞特征、文件特征、行为特征的依赖。因不依赖于特征，才不需要更新特征，这是专为应对0Day漏洞攻击而生的技术。

    尽管“天狗”技术上已经在全球处于领先地位，但徐贵斌不敢有任何松懈。

    “此前只是完成了工程化，但还需要继续完成新技术的产品化。面对华为这种对技术很了解的公司，大家就很契合。但是还有很多别的公司，技术和需求无法建立联系，怎么让技术在具体的用户场景下发挥作用，这就需要对技术进行产品化。

    这也是我们2022年的核心工作内容。Log4j漏洞事件后，主动了解‘天狗’的客户突然激增。为此我们将原本计划2022年Q2上线的天狗JAVA漏洞攻击防护系统提前到了Q1发布。”

    理想主义的光芒

    从2017年的毅然南下，到2022年的上市发布，一路走来，徐贵斌感慨良多。

    “搞技术最怕的就是领导的不信任。做创新研究存在成功率的问题，可能投入很多但没有结果。很多人有想法，做不出来，不是他能力问题，是没有人愿意持续给他投入。我们2017年立项，2019年试点，到2022年是第五年，每年都有大量投入。

    齐总给予了我们极大的信任。一方面这是因为我们有十几年合作的基础。更重要的是齐总对集团目标定的足够高。我们没有把自己仅仅定位于和国内厂商竞争，我们是要成为世界上最强最大的网络安全公司。

    所以，我们愿意投入时间精力成本去研究世界前沿的技术，去进行面向未来的研发，这必然会承担更多的风险。”

    齐向东的信任徐贵斌非常珍视，而对自己的这名爱将，齐向东也由衷地肯定：“奇安信新一代网络安全技术体系的突破和实践中，徐贵斌做出了不可磨灭的贡献。”

    从“狙剑”到“天狗”，又是什么推动着徐贵斌始终冲在网络安全技术一线呢？

    “和圈里很多从那个年代过来的人一样，我经历了网络安全从一穷二白到如日中天。我们这个群体，价值观还是很好的。刚开始是想炫技，自己能做很多别人做不到的，但道德观会约束你，也就是看一看逛一逛，慢慢就很无聊，没有办法再去证明自己。

    后来，随着互联网的发展，我们也逐步成长，更加成熟。之前的网络安全主要出于经济利益的考虑，影响到办公、生产，导致经济损失，个人财产被盗。过去很多年都停留在这个层次，但后来慢慢在向国家安全层面靠拢。海湾战争最先打起来就是信息化战争。

    美军发动电子作战，伊拉克的防空雷达基本失效，很快失去了制空权，处于被动挨打的情况。在国际形势日益严竣的今天，我们不免会问，如果有别国家针对我国信息化发起攻击，我们能防住吗？结果显然并不乐观，而覆巢之下安有完卵，历史早已经告诉我们家、国、天下的关系，无人能独善其身。

    当意识到这个问题的严重性的时候，我就会想，自己能用专业能力为国家和民族做些什么。这种价值感，远远比干掉了一个系统的价值感更强。”

    很显然，在网络安全圈早就功成名就的徐贵斌，内心始终闪耀着的理想主义的光芒。

    “奇安信就是一家有理想的公司，从老板到每个人。公司在营收压力很大的情况下，仍然在前沿技术上进行持续投入，哪怕短时间看不到回报。没有理想的公司做不到，只会挣钱。”

    春节临近，当被问到是不是可以好好享受闲暇时间。徐贵斌坦言：“我没有什么闲暇时间，基本上24小时都在考虑网络安全技术问题。哪怕是人在看电视，心里还是想着这个事。因为攻击者随时随地都有可能发起攻击。我觉得一天不退休就很难真正有闲暇时间。”

    Q

    当被问到，如果将来退休了，有闲暇时间了，想干点啥。徐贵斌的回答让人有些忍俊不禁。

    “我以前很爱玩网络游戏，进入网络安全行业后很少碰。没时间，没精力，也怕沉迷。但是我攒了一堆游戏。一出新游戏，我就保存下来一份，就怕以后网上都找不到了，到现在攒了几千个G了。”

    作为一名枕戈以待的网络安全工作者，徐贵斌离痛快玩游戏，离真正有闲暇时间，恐怕还有很久。

    但想必，他仍然是快乐的。

    因为，万物之中，理想至美。

    2021年◕奇安信人

    网安26号院|前方到站，奇安信

    网安26号院|我在奇安信一层一层叠出世界

    网安26号院|从程序媛到事业部领头人常月姐姐的“乘风破浪”之旅

    网安26号院|奇安信交付运营战线的95后“老兵”

    网安26号院|我在奇安信用心给安全产品“看病”

    网安26号院|他不仅是位“读书人”——走近网络空间安全著名学者段海新

    网安26号院|我是程序媛，我想让我的名号被所有人知道

    网安26号院|擅长的就是从无到有奇安信高质量发展的践行者

    网安26号院|笃信而行，行必致远——走近终端安全BG胡伟平

    网安26号院|产品经理李佳美的“打怪升级”记

    ‍‍‍‍‍