访谈｜在网络世界捕获威胁的猎人

孙子云：“知己知彼，百战不殆。”在安全领域，尤其是业务安全领域，如果能知道攻击者是谁、在什么时候、以何种方式、攻击自己的哪项业务，对企业而言，防御能力将事半功倍。因此，获取威胁情报的能力在企业的攻防对抗中尤为重要。在深圳的威胁猎人，正是一家捕获业务安全中威胁情报的公司。安全牛有机会采访了威胁猎人的创始人毕裕，深入了解猎人是如何捕猎的。

毕裕

 

安全牛评

毕裕，前猎豹移动高级安全技术经理，腾讯高级安全技术工程师，曾因为腾讯账号安全的贡献获得腾讯年度奖，负责或主推过金山毒霸网购保镖、腾讯QQ木马抢杀、猎豹移动下一代反钓鱼系统，海外移动安全产品CM Security，长期关注黑灰产发展及相关研究。2015年推出物联网行业信息防泄露解决方案，2016年创立“威胁猎人”，聚焦互联网黑灰产研究。

一、猎人的诞生——业务安全的威胁情报

安全牛

业务安全已经有不少的公司在做，为什么还要涉入这领域？

毕裕：做这家企业最早的契机是在2016年，当时有些刚刚起步的互联网公司找到我做安全咨询。由于他们的业务发展飞快，云端服务器成百上千的增长，在线业务的安全成为一个非常大的问题。因为黑产对这些公司而言是陌生的，他们从未经历过和黑产对抗的阶段。而且，在线业务安全与用户的业务场景相关性较高，很难有一个标准化的产品。

安全牛

那怎么会想找到你做咨询呢？

毕裕：那段时间我在猎豹，这几家公司和猎豹都有业务关系。再以前我在腾讯负责的就是账号安全，而在业务安全里，我又特别侧重情报这一块。当时和他们聊完以后，我发现国内现在对业务安全的需求非常大，而且增长的也非常快。很多公司两三年就能成长为一个小“独角兽”，面临着严峻的黑产威胁。不像BATJ等巨头，没有这方面的对抗经验，因此很多黑产也特别愿意咬这样的“软柿子”，投入产出比高嘛。这已经不是几家公司从自己研发调转几个人，针对性的去处理一个问题，而是已经形成一个行业性的需求。

另一方面，随着在线业务的放量，黑灰产的威胁形势远比几年前严峻，攻防对抗也来到了一个新的阶段。以前大家主要关心防护量，比如拦截了多少爬虫、多少次撞库、多少次攻击等等。但慢慢地大家发现，仅关注这个防护量意义不大，业务安全的本质是攻防效率。所以，对于业务安全的深度要求，进入到了一个全新的阶段。这就是我们做威胁猎人的一个大背景。

再具体一些，虽然国内做业务安全的公司已经有一些，而且每年还会有新的公司进入这个领域。但是这个市场当下的状态还是场景化、碎片化的，每家公司都有自己的打法，可产品上的差异化却并不明显。我认为在业务安全这个领域可分为两大块：一个是做系统的或者叫解决方案；另外一个是做数据的，就是情报能力。后者是业务安全市场的一个长期需求点。

国内早期有些公司在做业务风控系统，然后卖给一些互联网公司。但是客户买了以后发现，把系统买回来不能解决问题。如何把系统用好，才是解决问题的根本。业务安全的核心是攻防效率，而攻防背后的核心则是威胁情报能力。这是我们目前的认知以及公司的定位。

安全牛

威胁情报只是攻防中的一个点，整个体系还有很多环节要处理的。

毕裕：对。威胁情报只是在攻防中最早需要做的一件事，并不是说做完了威胁情报就能解决所有的问题。但是对于创业公司来说，做事情还是需要有一个路径的，所以威胁情报平台是我们进入业务安全领域的一个切入点。而且我们平台的客户全是国内超一线的互联网公司，虽然他们都有自己的安全团队和一流的技术能力，但在感知上没有太多的精力和经验。我们的情报平台对于他们来说是非常好的补充。

二、猎人武器之——情报平台Karma

安全牛

能否介绍一下这个情报平台？

毕裕：这个情报平台叫Karma，它的价值在于可主动的告知客户“是谁、在什么时间、用什么方法攻击客户的哪种业务，并会带来什么样的危害？”，平台的核心目标客户就是国内超一线的互联网公司，比如BAT、滴滴、今日头条、58同城、京东等都是我们的客户。

安全牛

这些公司本身已经在业务安全上很有实力，甚至是最强的团队，为什么还要用你们的服务？

毕裕：是这样，以前我还在腾讯的时候，一般是基于业务数据做分析，找到风险的模型，分析后做成决策模型，然后再放到风控系统里。但是这个过程有一个难点：就是如何驱动这个决策引擎不断迭代？腾讯每天都有几百TB的数据，但安全人员每天却只能花一两个小时，在海量数据里区分黑白数据，找到新的攻击方法，再去建立模型，非常困难，效率差。

为了解决这个问题，我就做了套蜜罐网络，每天能收到几十亿次的攻击流量，通过监控这些流量，我们可以知道是哪一台黑产服务器，在什么时间发起的攻击行为。然后把这些黑流量做场景分类，判断是否为已知场景，再补充到客户那里。

安全牛

那客户为什么不自己做蜜罐呢？

毕裕：牵扯到精力和成本的问题。这个事情本身非常耗精力，要投入大量的人力运营，成本也比较大，业务安全也可以说是成本的对抗。拿盗号这件事来举例，客户追求的并不是没有任何账号被盗，而是在某个可接受的范围内稳定可控。

另外，我们的投资方是猎豹移动，拥有金山毒霸的资源，以补充攻击样本和攻击工具。我们会监控这些黑产的攻击工具，每次发现新工具的时候就会给客户做预警。如果客户有进一步的需求，我会再给他们做分析。比如工具的新版本，使用何种攻击手法，利用了什么样的攻击资源，来攻击哪项业务等等。

其实从某种层面上讲，业务安全与黑产的对抗，也是工具的对抗。之前这一块对客户来说是个黑盒子，我们的Karma平台可以从各种维度帮助客户去打开这个黑盒子，看清黑产到底怎么运作，业务又有哪些风险。

三、猎人武器之——多种数据标签构建风险画像

安全牛

具体能做哪些事情？

毕裕：通过一些外围的数据标签，结合我们的蜜罐做分析。比如我们在蜜罐里抓到了一个场景：一个黑灰产有了5万个手机号，然后在某电商平台做了一个批量的小号注册，那么基于这些数据，我就能知道这些号码其实是这些黑产团伙的。再往后，他们在哪个时间点，针对哪个业务，做了怎么样的坏事，我们都可以把这些情报做共享，同步到其他的客户。下次如果黑产用这些号去其他客户那里做坏事的时候，客户就能提前知道这些数据以前在其他地方干过坏事。因此，这些共享数据对于客户的价值，就是从外部风险的角度做数据标签的补充。

实际上，对于客户来说，风控业务主要还是在为风险画像，而风险画像的底层能力其实上主要是数据标签能力。只要有足够多的标签，风控一定可以做好。否则，就是把斯坦福、伯克利的高级研究人员请过来也发挥不了多大的价值，巧妇难为无米之炊。

安全牛

数据标签听上去还是类似黑名单性质的东西？

毕裕：基本上可以这么理解。但是据我了解，整个行业只有我们在用这个方式做。其实大部分公司并没有这样做。所以我们在产品的价值和能力上，跟竞争对手还是存在差异化的，有着自己的优势和特点。拿IP举例，其实国内很多公司，不管门槛高低都在做IP，但我们的侧重点与他们不太一样。首先我们所有的IP来源是自由渠道，再者每一个IP我们给客户提供的不是一个简单的标签，而是一整套IP的画像，即这个IP在什么时间点干了什么，访问了什么接口。

安全牛

也就是说你们侧重于业务？

毕裕：对。我们给客户提供的IP是基于业务的，这是最大的价值。传统的IP服务提供的信息，很难在业务场景下使用。比如一下发过来2000千万的 IP，你如果只提供一个IP的恶意标签，在业务场景下匹配后，30%的误报，40%的准确率，风控系统该何去何从呢？不要说30%的误判，在大量访问的情况下，哪怕只有1%的误判，对很多大公司来说都是无法接受的 。因为一旦发生误报之后，不管是客户还是IP的提供方，双方都会不知所措。因为提供方的数据来源也是扒的，自己都不知道这个IP怎么来的。但我们威胁猎人给客户提供的IP是一个完整的风险画像。

四、猎人武器之——黑产思维的业务安全测试

安全牛

所以你这才叫情报。

毕裕：是的，我们侧重的是在业务场景。同样是处理IP，我们做得更深入，和别人是完全不一样的 。不过，坦率地说，我们自己现在还是会有问题。就是在准确度上，有些客户觉得可以，有些客户还是觉得不够。对于我们来说，还是在改进，但是我们还是能看到一个明确，可行的路径的 。

安全牛

我听说你们还在做一些测试，能具体说说是怎么样的吗？

毕裕：因为我们发现，业务安全有一件事情是需要改变的，业务测试。之前业务测试是业务安全并不被重视，许多人觉得安全测试就等同于业务测试。甚至有些公司，会把业务测试变成渗透测试中的一个点，然后标记成“低危”。这些公司认为，这是一个流程问题，而不是一个技术问题或说漏洞。但是服务上线了以后才发现，流程问题会导致非常大的损失。到现在，大家才明白以前大家都在犯的一个错：用应用安全的思维看待业务安全。

另外，用户在做业务安全的时候，很多工作或效果难以量化。比如别人又在用什么样的方法？不同的方法优缺点在哪里？如果只从用户的业务来做分析，意义不大，因为各自的业务差异很大，哪怕都是电商，业务差异也很大。但由于我们一直在研究黑灰产，所以发现这里面其实有个可收敛的点——就是黑产的攻击手法。

黑产选择不同的攻击手法，其实本质上也成本的选择。比如他们发现陌陌这块获利大，他们就可以上云控；如果他们发现快手这方面获利小，他们就能上改机工具。对于黑产而言，他们有着明确的分层。那为什么我们不能从黑产攻击的视角来给用户做测试 ，得出一个成本的ROI投入产出比。

安全牛

那你们是如何做到这个评测的？

毕裕：其实还是得去深入了解黑产到底是怎么攻击的。以前我们研究黑产的时候，是靠看文章、弄QQ群、看论坛，然后自己再去分析，但是这些东西，其实都是在表面分析，没有扎入内部，扎入深处。我们现在会深入黑产，去研究他们到底用的是什么工具：他们如果用的是群控，我们就真的会去弄一套群控；我们会去把这些群控运行一遍，当然这个过程中我们肯定也是会去取得甲方的授权。在我们完全运行了一遍黑产的流程后，我们自身对黑产的理解也会完完全全进入了一个新的阶段。仅从文字上，怎么可能真正的了解黑产，最多就是写个报告，做个PR而已。

安全牛

感觉这样做要和黑产打交道，会很危险。

毕裕：我们做这些事情也不是第一次了，还是能找到一些比较清晰的运营路径，危险也比较小。而且做安全这个行业，面临黑产的打击报复也算是一个常态，关键在于你能不能找到边界，就是我这个情报是怎么来的？假设我有一个朋友，他在黑产搞一个什么东西，所以我知道这个东西，再把这个情报卖给客户，这是我们所排斥的。我们还是希望能够通过平台能力，通过系统建设，去达到一个效果。

五、目标明确的威胁猎人

安全牛

你们的天使投资人是猎豹，而你本身之前就在猎豹工作，你从猎豹离职创业，猎豹还给你投资？

毕裕：其实我之前就和傅盛聊过，讲过我们做这个事情的意义和逻辑。傅盛也是比较理解的。我觉得做到他这种级别的人心胸都很宽，格局也非常高。他也觉得我们做这个事还是有价值的，是面向未来的。总共聊了连十分钟都没到，他就很爽快地答应了。 

安全牛

是不是类似于一些科技巨头的那种培养模式？鼓励有想法的内部小团队脱离组织在外部突破创新，之后再花钱买回来？

毕裕：这个是有可能的，从早期来看，猎豹是有非常明确的想法的。因为早期聊的时候，包括股份占比，企业运营，是带着一个非常明确的意识形态去做的。但是现在从客观实际情况来看，猎豹自己变化还是很快。我希望除了资源协作以外，还是会尽量独立发展。

安全牛

现在大概有多少人，是从哪些公司来的？

毕裕：我们暂时不到十个人是腾讯出来的，有三四个人是从猎豹出来的，然后其他大部分都是一些安全公司的老朋友找过来的，总共大概五十多个人。

安全牛

Pre-A大概是什么时候融的？

毕裕：Pre-A大概是半个月前协议签完的，2500万。但坦率来说，这轮融资也反映了我们缺乏经验，属于别人找上门来被动融资。以现在这个行业情况，确实应该加速，整个行业的发展还是超出了我们自己的判断。

安全牛

对，如果在这个行业快速发展的时候，你原地不动或者踏踏实实往前迈，你就会落后。

毕裕：是的。那个时候我们还是天天在算成本，算利润。后来发现大家跑得都很快，发现这个行业的天花板早期会觉得很小，但是现在发现也没想的那么小。另外，增量市场的变动还是挺快的，而且每两个月都会出现一些新的场景。所以如果整个团队的执行力、产品包装能力、落地能力很快的话，还是会在商业方面有一些比较快的增长的。按现在的情况来看，我们对团队的快速成长还是比较有信心的。

安全牛

是否考虑开始下一轮融资？

毕裕：谈是可以谈，但目前很多精力还是在业务上。先是把现在的位置站稳，通过业务安全的差异化，拿到一批大客户，并且满意度非常高，只有超出客户的预期，才能收到超出预期的订单。现阶段的目标是让公司在整个盈收和技术研发上处于非常健康的状况，即平均每月的盈收要达到成本的1.5倍以上。等到这个时候再去融下一轮，我觉得对公司来说会更有主动性。然后公司发展会进入下一个阶段，那时我们可能会去进一步扩展产品线以及服务能力。

安全牛

提升客户满意度就需要非常了解客户。

毕裕：是的。所以我们现在对产品团队有一个硬性要求：产品一定要和客户聊！我们现在每周开产品会，先要汇报的东西就是和客户聊了些什么，客户对我们的产品变动有什么意见。所以现在我们在这一块非常注重。

安全牛

那就带来一个问题：如果这样做的话，成本会不会很高？

毕裕：是这样，和客户的深度沟通了解到真正需求，会找到整个行业的需求。所以我们现在产品的打法是这样的一个路径：一个功能点，两个天使客户，快速迭代。所以我们现在客户聚焦的是在安全方面和互联网思维方面是差不多的大型互联网公司，根据这些核心客户的需求快速迭代。不夸张地说，如果这个功能让核心客户满意，那有90%的可能给到下一个客户满意。

安全牛

未来有什么更大的想法呢？

毕裕：首先，我们有一点是很确定的：业务安全市场一定是一个未来市场，而且未来会是一个巨大的市场；因为业务安全市场是个主动安全市场——这就会导致体量上的迅速膨胀，而且不会有一个非常明确的天花板。当然现在来看，还远不到这个地步。

从公司本身来说，分为两个阶段：第一个阶段就是刚才说的站稳脚跟，跑通商业模式，盈收进入非常健康的状态；第二个阶段就是我们要尝试在业务安全市场找到一个平台化的产品。定位是“基于一个稳定攻防平面构建的攻防平台产品”。

举一个例子：比如杀毒软件这个东西那么多年，产品形态没变过。杀毒软件有两个非常稳定的攻防平面：第一个是在驱动层——不能让病毒文件进驱动层，所以在驱动层上有很多主防的逻辑；第二个攻防平面是特征，无论是云特征还是本地特征，现在杀毒软件基本都能做到秒级响应了——这就能完全适应黑灰产的攻防逻辑——你秒级，我也秒级，这就是这个产品稳定的核心原因。

但是现在，在业务安全这块，大家没有找到这个稳定的平台。我们在这一块是希望能成为国内最了解黑产的攻防团队，然后再去找出可以定义下一代的业务风控产品。坦率地说，这个未必可行，但是这个确实是我们的下一步考虑的方向。