“黑客”杭特：为什么老湿父更看重“防”？

一枚导弹飞跃广袤的海洋，蒸腾的沙漠，向我们的核心目标坠落而来。

在距离边境一千公里之外，这枚导弹被雷达系统捕获，在零点一秒之内，反导系统计算了敌方导弹的型号，速度，可能目标，触发了防御机制。

几颗反导导弹从不同的位置发射，以围剿之势在天空中向目标冲去。对方的导弹迅速躲闪，但是由于它的可能路径已被封堵，系统计算无解。刹那间，入侵导弹所需转弯半径大于机械载荷，躲闪不及。

在边境外的天空中，一阵绚烂的烟花。

国境线内，人们往来如常。

这是一次完美的防御，也是一场完美的隐喻。

在杭特眼里，互联网世界的攻防大战，恰恰是以这种方式呈现。画面美丽而朋克。

“黑客”杭特：为什么老湿父更看重“防”？

文 | 史中

杭特是一个黑客。他名字的意思不是“杭州特别屌”，虽然他工作在阿里巴巴。“其实这个名字是“Hunter”的音译”，他一脸骄傲地向我解释。一瞬间我还是被他风骚的走位惊呆了。

杭特是中二男里的老炮儿，从八十年代就浸淫在各种动漫的海洋。自己的花名也是源于最喜欢的动漫《全职猎人》（Hunter x Hunter）。

所谓读书破万卷，动漫他读了万卷不止。

不过，他不齿什么 Cosplay，也不去拆奶罩（ChinaJoy），他只是感受那些热血的世界，然后在内心盛开一片花园。这让我相信，他是那种会享受“精神马杀鸡”（Spirital Massage）的人。

有了这样的认知，眼前这个中年大叔的脸也就不那么违和了。

阿里安全资深专家兼动漫爱好者，杭特

一 会防的是师傅：举个足球比赛的例子

某种程度上说，中二男杭特是一个理想主义者。本来，黑客这个群体的 Slogan 就是批判、反叛，结果杭特比他们还批判，对这些同行的思维模式感到很捉急。一捉急，他就想“开炮”。

中国安全研究根本没有战略可言嘛！天天去挖漏洞打比赛，锻炼出一堆“攻”，对产业有什么帮助？

为什么要研究这个技术，这个技术在整个安全产业里处在什么战略位置，很多人都不会想！

中国黑客只知道攻、攻，其实他们都在自己的“舒适区”，根本没有尝试建立防守的体系化思维嘛！

总之，他言外之意就是中国黑客们大多有点跑偏。

这让我一度怀疑，面前坐了一个牢骚满腹的中年油腻黑客。虽然他说的也是事实。

我觉得要解释他的思路，可以类比足球比赛：

很多球迷觉得足球就是要对攻，如果两边都玩铁筒防守，那还踢个什么劲？不过，真正顶尖的足球队，比如意大利，他们就把防守战术放在了相当重要的位置。

我觉得这倒不是因为意大利人是缩头乌龟（虽然在打仗的时候他们经常这样），而是因为几十年的实践证明，防守体系在对抗的过程中非常重要。注意，我说的是体系

这里要明确一点，球队的目标是获胜，而不是一场精彩的比赛。

再说一遍，球队的目标是获胜，而不是一场精彩的比赛。

如果全力攻击，当然有可能打出更精彩的比赛。但是，输赢从来不是儿戏。特别是在网络攻防的战场上。

两国在网络上角力，暗流涌动，四野并无观众，也没人关心你是不是用漂亮的左勾拳长驱直取对方面门。只有一点最重要，那就是你有没有被对方攻破，你的核心机密有没有被对方窃取。其他都是扯淡。

对于一家公司来说，也是如此。

纵然很多黑客觉得攻击才是世界上最酷的事，但说到底，酷不能当饭吃。还记得太极大师雷雷么。。。花拳绣腿结局往往不美。

我知道，输了是因为地滑。。

没错，说到这，我才理解这位81年出生的老黑客在说什么，他说的不是企业应该怎样建立网络安全防护体系，他在用自己的“血泪史”告诉年轻人怎么才能有饭吃。

二、“防”要有套路：齿轮、机器和战舰 

防守是一门有关体系的哲学，攻击者可能永远都不懂。

对手向你的脸挥拳，用手捂脸肯定不是一个聪明的选择。别人打你的脸，你可能要俯下身来，向他的小腿飞起一脚。这甚至都不需要经过你的大脑，而是属于肌肉的固定记忆。头疼抱头脚疼护脚，肯定是个小徒弟所为。

我想用城池作个比喻。

为了防止敌军来犯，守军如果时间来得及，一定不是原地直接死磕，他们需要筑城。城防需要几大要素：

1、坚固的城墙：城墙的每一块砖都要环环相扣，不能有丝毫的缺口。

2、平稳的接缝：两条墙之间的接缝要平稳顺滑，不能有丝毫裂缝，也不能给敌人留下攀登的抓手。

3、防守的套路：城墙之上的守军，要针对敌人可能采用的各个进攻方式，提前进行演练。例如敌人架起了攻城梯，守军小队要如何掀翻。敌人向上放箭，守军要如何支起盾牌。必要的时候，需要制作专门的反制机器。

专门的反制机器，就像这样。（来自抗饕餮神片《长城》）

你可能明白我在说什么，防御很重要，但我说的不是单点防御，而是体系防御。这也是杭特这么多年用“血泪史”总结出来的经验。

在网络防御中，对方的黑客可能用各种姿势攻进来。防御的方法也应该像刚才说的城池一样成体系。杭特说了三个挺开脑洞的认知，我想分享给各位盆友：

1、风险要“收敛”

企业的系统是一个庞大的体系，如果没有经过安全思维的设计，可能每个环节都会出问题。

黑客是什么人，那是全世界最聪明的一票人。逻辑再缜密的系统都难逃被他们攻破的命运，何况很多时候，程序中还会混入一些小白程序员写的代码。

这样的情况下，企业的安全威胁就“不收敛”。因为他们自己都不知道会在什么地方出问题，更别说防护了。

什么叫“收敛”呢？就是要在大多数逻辑简单的环节，尽量把风险可能控制在零。而把可能出问题的地方，聚拢在有限的几处，然后重点防御。

这就像市政输水系统，管路本身都是厚厚的材料，但凡输水系统出现泄露，一定是管道的接缝处。这样，我们就说：输水系统的风险被收敛在了接缝处。

风险被收敛在接缝处

对应在企业安全防护中，一些数据的流转过程，绝大部分情况可以“全程加密”，这就导致数据在传输的过程中，即使万一泄露，对方也无法解密，从而大大降低了出问题的可能。

这个例子说明，我们是有可能设计出一套大大提高安全性的系统的。而这种设计，比兵来将挡水来土掩的瞎忙活合算的多，因为它的风险是“收敛”的。

2、防护强度要“可度量”

当然，首先风险要“收敛”，然后才能“可度量”。不收敛的风险是无穷大。

我再举一个生活中的例子吧：

现在人们都知道，不能抱着婴儿坐在副驾驶座位，因为如果遇到碰撞，人根本抓不住怀里的婴儿。如果这样做，风险是“不收敛”的。

那怎么解决呢？

1、婴儿坐后排；2、使用儿童汽车座椅。就像这样↓↓↓

每个婴儿座椅都有严格的碰撞测试（如果不是山寨的），它会告诉你，在多高的速度之下，能够保障儿童安全；时速100公里时如果发生碰撞，伤亡的概率又是多少。

这就叫防护强度“可度量”，你可以用加减乘除算出来所面临的风险。

说回企业安全。

毕竟企业最核心的资产一般都是数据，所以杭特还是用“数据加密”举例。

加密的强度是数学化的，而破解加密需要“暴力破解”（简单理解为穷举法）。根据现在芯片的算力，以及技术水平，可以算出破解一个秘钥所需时间的平均值。这个数值，就是可度量的风险。

他说。（对了，忘记说了，杭特是山东大学数学系毕业的，膜拜一下 Orz）

当然，国家规定的“等保合规”，其实就是为了让风险“可度量”。只不过杭特认为除了国家的要求之外，企业还应该有更严苛的自我要求。

只有“可度量”这个前提存在，才可以深入研究进一步的战略。杭特举了几个很科幻的例子。

美国国防部高级研究计划局 DARPA，专门负责顶尖信息技术的应用研究。他们有一些有趣的项目，比如：

电路的设计到流片，要求以月为单位完成（在普通世界基本是以年为单位）；

火箭的发射计划设计，要以天为单位完成；

无线形式的骨干网，要做到 100G 的速度。

扯得有点远，不过你现在应该理解，地球上科技最发达的美国人是如何利用“可度量”来规划战略了吧。用杭特的话说，“中美至少有十年的差距”。

美国火箭之父冯·布劳恩和人类历史上最大的火箭土星五号，这张照片是当年美国科技碾压全球的标志，也是激励每个中国科学家的符号。

3、要把人的经验固化成自动化程序

说到经验固化，你可能有点蒙。但如果我说“套路”，你就理解了。

之前我说的所有例子，其实都可以总结为套路：

足球比赛中的防守战术，是套路；

城墙上的御敌战法，是套路；

企业安全防护的体系，是套路；

你可能会说城市套路深，我想要田园牧歌。我还是那句话，如果你的目的是要赢，那就必须要有套路。看看中国足球，你就知道不懂套路有多可怕了。

现在的问题是，仅仅懂套路都不好使了，你还要比对手更快地使出套路。

比如，我们的先人发明了火药，甚至知道用火药可以制造杀伤性武器。“利用火药和机械原理制造杀伤武器”，这就是套路。但事实证明我们的套路不如英国人深，他们把火枪这种套路固化得更好。

鸦片战争时，我们也是有火器的，只不过从技术固化的角度来讲，有点 low。

结果是，在鸦片战争真刀真枪的对抗中，交战的时间被限定，这种情况下，他们的自动化工具在对抗中更有效率，我们输了。（至少战争本身是如此）

在网络安全攻防中，同样如此。

举一个例子——软件的行为分析。一个程序是好是坏，很多时候要通过行为才能分析出来。而传统的安全研究，需要研究员来手工逆向。不过，杭特带领兄弟们做了一套自动分析系统，每一条指令都可以被自动化分析，这就是专家经验固化的一个例证。

至于顶级黑客大赛 DEFCON 上出现的机器人自动攻防，也正是机器固化人类经验的一次顶级尝试。

在美国顶级黑客大赛 DEFCON 上，DARPA 组织了一次机器人自动攻防。图中五颜六色的货就是参战的机器人。

我仿佛看到了赛博世界中一艘艘金色的战舰，他们可以自动编队，甚至自动变形，用毫无摩擦的运动轨迹，抵挡对手的进攻。他们是我们文明的记录者，他们也成为了新的文明。

我们千万年经历的一切，皆如此。

杭特曾经在黑客的“黄埔军校”绿盟工作8年，是不折不扣的老兵。他目睹过最激烈的对峙，排演过最华丽的进攻。

如今，他坐在我对面，笑容满面。他选择成为一个防守者。

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以加我微信，shizhongst。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。

转载请注明来自网盾网络安全培训，本文标题：《“黑客”杭特：为什么老湿父更看重“防”？》

标签：中国黑客杭特