企业动态

    “其实做应急响应和散打很像。”聊起自己一直在做的应急响应工作，张永印想起了自己练习散打多年的经验，大部分人认为散打的出招似乎无章法可循，但他说，虽然散打不讲究花式和好看，但其实综合了各个流派的打法，讲求克敌制胜为主，很接地气。”

    其实张永印说得不错，在勒索发生得越来越频繁的今天，作为集团安全服务应急响应负责人，他每天都在解决五花八门的应急响应事件。而奇安信的冬奥网络安全应急响应95015公共服务平台遍布全国30多个省份，7X24小时待命，每年处理事件千余起。若无章法可言，恐怕是一盘散沙，但若团队协作顺畅，合力出拳，则是无往而不胜的。

    开拓建制，克敌制胜，张永印和团队与勒索的“对抗”得心应手。

    兴趣指引，与“勒索”过招

    “我真的是喜欢技术，也喜欢搞事儿。”张永印提起自己最开始接触攻防，是在上高中的时候。两千年初，QQ作为新时代的聊天软件一下子火爆了起来，一直拥有好奇心的张永印也不例外，注册了QQ号，每天出入聊天室，探索互联网这个新世界。

    然而没过多久，QQ号突然登录不上去，一研究才知道，原来号码还会被盗取。天生不服输的他开始自己研究起来，每天泡在论坛看帖子、研究攻防，甚至后来自己录制视频传到网上，收“学生”，认识了一帮圈内的“黑客”朋友，也就此入了门。

    这样一段经历，对张永印有很深的影响。甚至到后来入行，入职奇安信很久，张永印都走在了研究技术、开拓创新的路上。

    2018年，我国H城市的海关和高法行业陆续遭遇了勒索攻击，彼时，张永印刚刚接手应急响应团队。

    说起在奇安信这几年，张永印前后负责过十几个业务，“孵化”了不少事儿——

    2017年和同事玉山一起打造了一款工具，这也成为了后来应急响应工具箱的雏形；2017年中接手大客户的态势感知项目，结束后把态势感知运营方案规划出来；2017年到2018年，他负责安全运营团队，随之搭建起来一个二百多人的团队。

    2018年的这两件勒索事件，H市海关的事件发展很快，而高法行业的事件则是潜伏时间久、影响广。

    安服在8月13日12时13分接到H市海关的应急需求，当时已知有十几台服务器被感染。应急团队在13时30分到达客户现场后，已知被感染服务器就达到29台，翻了一倍。

    “就像散打，应急响应工作争分夺秒，对手出招都是出其不意的，这也是为什么我们95015应急响应热线都是7X24小时服务的原因。”经溯源调查发现，黑客首先攻击并控制了一台与X城保税区有关联的供应商服务器，随之借由此为跳板分别控制了X城保税区和H城海关的两台服务器，紧接着再利用此为跳板暴力破解了H城海关其他的内网服务器，并投放运行勒索病毒GandCrab，对服务器文件进行了加密操作。

    在了解情况后，团队开始进行相应的应急处置，在事件发现后第三天的凌晨3:55分，业务全部恢复上线，并在9:30分客户上班后进行了汇报。两天半时间内，张永印与团队共计7人，解决了H城海关的勒索事件。

    紧接着在9月，高法行业勒索事件爆发，应急响应团队快速出动，共计为20多家客户单位进行取证溯源，最终发现受感染数量几十台。与上次不同的是，这一次最主要的勒索病毒是GlobeImposter，而这两个病毒，正是2018年勒索病毒活跃榜前两名。

    也正是在这一年，勒索病毒在经过爆发式增长，奇安信接收到的大中型政企机构应急响应服务数量从2017年的199件陡增到了2018年的717件，翻了接近3.5倍，而整个勒索也呈现了产业化、链条化的特征。

    虽然两件事情解决得快速且顺利，但观察着越来越多勒索事件密集发生，张永印心里对应急响应的工作，也有了更多的想法和要求。

    一年建体系，快速提升效率

    最有效的防守，就是进攻。在散打中，张永印是一个喜欢进攻的人，而在面对勒索的攻防对抗中，防守是最重要的一环。而这一环如何守住，要靠紧密的团队合作和先进的团队机制。

    在2018年的两次大规模应急事件处理后，张永印和团队进行了一个全面的复盘，“开总结会的时候，吴总给我提了要求——把应急响应系统IT化，拉通各个环节，提高效率，让资源有效地利用起来。”

    说起“搞事情”，张永印来了兴致，撸起袖子，便投入进了对应急响应进行体系化规划与建设的工作中。

    从2018年开始对应急响应体系进行规划，到2019年BCS大会应急响应体系正式上线，张永印和团队用了一年的时间。他们首创的网络安全“120”应急响应全流程服务模式，国内唯一、国外未见。

    应急响应服务模式中包含了机制与平台。应急响应机制，对整个应急响应的处理流程进行了整体的、体系化的规划，而应急响应平台通过“指挥中心-调度平台-应急资源”的三级体系对资源进行整体的规划和调度。

    “之前十几个项目的经验很有用，应急响应工具箱就是安服从之前的一个项目之中孵化出来的。”张永印的团队在集团的指挥调度中心负责调度全国的应急资源，其中就包括了应急响应人员，和这款应急响应工具箱。

    “好马配好鞍，当我们的人冲到前线，这款能够覆盖多场景的应急响应工具箱融合了多场景溯源分析能力等一系列功能，为应急处置的现场解决了不少难题。”

    好的体系搭建起来，效率提升自然就是快速的。

    从2020年1月1日到2021年11月30日，奇安信应急响应平台共处置了全国应急事件1640起，平均每单处置耗时7.19小时，比2019年平均每单减少3小时，平均处置时间减少30%。其中“外卖式”、“可跟踪”、“可评价”的服务体系，让整个工作形成了闭环。

    由于高危漏洞数量的逐年上升，虽然张永印团队在应急响应处置上面的耗时逐渐减少，但待处置的需求却在上升。

    张永印心里知道，是时候再整点“事儿”了。

    两个创新，再上一个台阶

    “勒索只是恶意行为的其中一种呈现形式，而很多有潜在危害的攻击行为也一直存在于发生勒索行为之前。为了更好地防守，往往研究如何有规划的前期准备，也是‘进攻’。储备足够的人才就是一种准备。”张永印不想只是“应急”，更想要有充分准备地“制动”。

    在奇安信集团拿下了北京冬奥的保障工作之后，张永印的应急响应团队也需要打造一套配合冬奥的全新的应急响应体系。同时，随着勒索事件的快速增多，应急响应需求增加，对专业人才的需求也增加了不少——于是，应急响应联盟应运而生。

    “其实联盟在做的事情我们很早就在做了，不过成立了联盟，一是为了更好地将专业人员资源合理调配进行平台化、体系化的建设，二是我们的培训机制可以真正地培养出来更多的人才。对抗勒索，组织、机制很重要，人才也同样重要。尤其是冬奥期间，专业的应急响应人才是稀缺的。”

    是的，冬奥的应急响应95015公共服务平台也是张永印和团队落地执行的。平台在延续了以往的三体系外，95015作为全国第一个网络安全行业服务短号，于2022年1月20日正式开通，成为了北京冬奥会网络安全保障指定号码。

    在冬奥期间，平台为全国政企机构提供7X24小时服务的同时，规模覆盖了全国31个省市、2个特别行政区，有2000多名具备攻防能力的应急响应工程师，和100多名资深安全专家，7X24小时随时待命，2小时内可到达现场处置。而这其中，都少不了足够的专业人员储备。

    “为了应对冬奥，2021年4月，中国电子应急响应中心正式挂牌成立了。而将应急响应联盟真正一次拉入大规模实战的，就是冬奥成立的‘冬奥央企网络安全救援队’。”在冬奥会期间，由国资委指导、中国电子集团牵头，联合中国电信、中国移动、中国联通、国家能源、国家电网等30家中央企业组成的几百人的救援队，为冬奥的应急响应贡献了不少的力量，而这也都得益于联盟成立后的整体机制设立和培训成果。

    2022年1月23日到2月27日冬奥保障期间，救援队共参与和处置了全国范围内70多起网络安全应急响应事件，全国19个省份。其实事后经统计发现，攻击者针对的大中型政企机构的攻击意图排名第一的就是勒索，35.1%遭受到了勒索病毒的攻击。

    经过三年多的发展，目前应急响应联盟已覆盖全国20个省份，联盟成员单位62家，目前拥有100位资深安全专家。

    经过冬奥实战，应急响应95015公共服务平台经过了打磨后更加成熟，应急响应联盟也由此上了一个台阶。

    闲不住，心里有一团搞“事儿”的火

    “我是真的喜欢工作，能在一个靠谱的公司，和靠谱的团队，做一些有意义且正确的事，我很满足。虽然应急响应工作有时是累的，但我也闲不住，成长更让我兴奋。”

    近年来，政企机构面临的网络安全威胁越来越多，高危漏洞的数量也在逐年上升，看来张永印是“闲”不下来的。

    根据CNCERT对CNVD收录的安全漏洞数量分析显示，近几年安全漏洞数量呈逐年上升趋势，自2016年以来，年均增长率达17.6%。通过奇安信应急响应服务次数进行对比也印证了这一点，17年至今应急响应次数，也呈逐年上升趋势。截止到今年8月份，应急响应团队共处置政企机构网络安全应急响应事件四千余起，累计投入工时40000多个小时，为全国超过两千家政企机构解决了网络安全问题。

    “这都过去了，是团队合作的成果，我们要看以后。”说起团队，张永印表示自己很喜欢和大家没事儿“杠一杠”。

    别看张永印在私下是一个随和的东北人，说话风趣幽默，但工作中却是实打实地“较真”：“做应急的都是实在人，处置事件也都是和勒索病毒、黑产‘真刀真枪’地拼，平时多和同事杠一杠，一来一去之间，也许一个新方法就杠出来了。大家也了解我的脾气，都是为了工作。”

    提起未来对于对抗勒索和应急响应的工作，张永印想要做的更多，“其实现在看起来形势严峻，但还是有很多客户没有真正对网络安全上心。勒索团伙的投资回报比很高，他们一刻不停手，我们就要一直跟他们‘打’下去。”要说之前在公司经手的十几个项目，负责应急响应是张永印做得最久的一项，可能也正符合了他的性格，一刻都“闲”不下来，每一刻都在“战斗”，一直都在创新。

    “按照目前的数据来看，今年的应急事件数量一定会超过去年。我们经受过的事件也都越来越复杂、越来越紧急。我们也根据客户特征、客户需求对处理方案做了全面升级。”提起要做的事，张永印已经给自己定好了KPI，“升级应急响应处理方案的这件事儿已经在做了，今年即将到来的重要保障工作我们也在陆续筹备和推进过程中，另外应急响应联盟也要继续发展壮大，未来联盟的人员数量是一定会持续增加的……”

    对于张永印来说，似乎真的很难让他“闲”下来。

    有想法、正能量、接地气，最主要的是有追求，心里有一团求胜的火。

    可能应急响应这种不断追求如何能“打败对手”的工作性质，让他想起了以前在散打比赛中的感觉，又或是让他回忆起当初坐在电脑前录制攻防视频的少年时光。他内心始终存着一股力量，让他乐于了解“对手”，乐于挑战不可能。

    与勒索的对抗可能是不停歇的，应急响应工作可能是夜以继日的，也许让他心里那团求胜的“火”不断燃烧的，是散打擂台上的另一个人、是电脑另一端的黑产，也可能是张永印心里的另一个跟他说“不可能”的声音。

    但张永印不相信“不可能”。