周鸿祎造网战“预警机”

　　二战早期，英国人首先发明了雷达。这直接帮助英国在不列颠空战中打退了德国。雷达的功能是“看见”，防止敌机偷袭。如果没有雷达，就要派出战斗机前进到至少二百公里以外的地方巡逻。
　　
　　雷达的缺点在于难以辐射地面。敌方战斗机可以贴地飞行而不被发现。二战后期美国人造出了预警机，弥补了雷达这个缺点。预警机升空，可以无死角把几百公里内的空域监视住。一旦敌机来袭，可以为后方提供反应时间。
　　
　　90年代海湾战争，中国开始意识到预警机的关键作用。把预警机的研发提到登月和核武同等重要的位置。现在，全球最先进的预警机技术掌握在美、俄、中手里。
　　
　　近一年的周鸿祎，孜孜不倦的推广一个理念，“网络战争已经悄无声息发生在我们身边”。前天在乌镇推介了“全视之眼”。这就是网战中的“预警机”，可以“看见”网络攻击，并启动应对。
　　
　　周鸿祎一直说。网战中，看见是1，其他都是0。看不见，堆再多武器都是白瞎。
　　
　　09年，伊朗纳坦兹核燃料浓缩工厂的科学家们苦思冥想几个月，仍然束手无措。他们用试验排除了由机电故障引发的可能性，还将工厂的离心机数量翻倍。但浓缩铀的产量仍然停滞不前，甚至每况愈下。
　　
　　最后，他们在一台装有控制软件的电脑上发现了带有恶意软件的U盘。这包括了两个事实。一是有内部人被买通，插上了这个U盘。一是外来的攻击瘫痪了系统。病毒最终导致1000台铀浓缩离心机废弃，直接摧毁了伊朗“核计划”。
　　
　　一国的兴衰强弱，竟然就系在这一个U盘上了。
　　
　　后来伊朗人知道了，一个名为震网的秘密软件一直在暗中干扰。震网的出现，标志着具有“超级破坏性”的网络武器登上人类的历史舞台。人们惊惶地发现，虚拟世界的网络攻击可以摧毁现实中的钢铁机器。
　　
　　攻击之所以能得逞，与“0day漏洞”息息相关。0day漏洞，就是还没有发现的漏洞，还没有补丁可以升级以封杀的漏洞。相当于你的盔甲上有一块破洞，你自己不知道，但对手知道。
　　
　　震网设计者精心构置了微软操作系统中4个在野0day漏洞，并和工控系统的在野0day漏洞进行组合，实现了精准打击、定向破坏。
　　
　　震网之后，APT（高级持续性攻击）组织开始浮出水面。他们利用最先进的攻击手段对特定目标进行长期持续性网络攻击，其背后往往是国家级的“网军”。这几年360累计发现40个APT组织，其攻击涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施行业。
　　
　　0day漏洞颇受APT组织青睐。因为它不可预知，所以极难防御。2018年11月25日，乌俄两国突发“刻赤海峡”事件。4天后，360安全大脑第一时间发现了一起针对俄罗斯的APT攻击。其相关样本来源于乌克兰，攻击目标指向俄罗斯联邦总统事务管理局所属的医疗机构。攻击者利用了常用软件Flash的 0day漏洞。
　　
　　可怕在于，0day漏洞“无处不在”。它可能隐藏在任何一个稍有规模的软件系统中。一般平均每一千行代码中就存在着4-6个漏洞。当下万物互联时代，各类基础设施联网后，漏洞的危害也随之闯入“物理世界”。
　　
　　2015年圣诞节期间，乌克兰国家电力部门受到APT组织的猛烈攻击。乌克兰西部140万居民在严寒中遭遇了大停电，城市陷入恐慌，损失惨重。2019年委内瑞拉遭遇全球最大规模的“断电袭击”，停水停电、地铁停摆、电信服务、网络接入服务中断。
　　
　　“看不见的才是最可怕的”。这就是0day的真正威胁。
　　
　　铺垫完了。现在来介绍360的预警机，“全视之眼”。就是它来负责“看见”。
　　
　　思路一。0day漏洞无处不在，那要“看见”所有0day漏洞几乎不可能，也无必要。既然如此，那要看见什么呢。是的，看见攻击。“凡走过，必留下痕迹。”任何攻击都会留下痕迹。
　　
　　思路二。攻击分为三个阶段。漏洞的触发、利用、扫尾。比如，因为某种原因而发生越界访问的这一刻，或者释放内存后再次去使用这个已释放内存的时刻，就是触发时刻。接下来，通过精心设计的数据，比如利用漏洞改变了控制流程，或者修改了系统关键数据，这就是利用阶段。最后，植入并持久化的工作。在这三个阶段都难免伴随着一系列的异常行为。要看见的就是这些异常行为。
　　
　　思路三。要看见所有的异常行为，必须有最底层的权力。要一望无遗。360的解决方案是造全网安装的虚拟机系统。可以理解为，虚拟机是更高层特权的管理软件，比操作系统更高，所以才能监控操作系统内的一举一动。360的虚拟机监视器运行后，原本的windows操作系统就变成了一个guest系统，受到控制。
　　
　　思路四。虚拟机有了，它是被装在PC和服务器上。具体的渠道，比如安全卫士里的核晶引擎就是其组成部分。目前还不支持手机，需要与手机厂商合作才行。
　　
　　思路五。既然虚拟机有最高的权力，那么有监督才能被信任。政府和行业都可以监管，有兴趣的技术人员都可以分析研究。周鸿祎最近布道，要行业协同，而不是相互竞争。有意思的是，今年乌镇周鸿祎跟360分拆出去的奇安信老大齐向东合了个影，发到了朋友圈。
　　
　　思路六。在国家安全层面，本质上虚拟机打破了苹果、微软、谷歌等美国公司对操作系统的垄断控制。
　　
　　这一套东西，说起来轻松，具体做出来却是难。比如具有最高权限的虚拟机，诸多企业都想做但还没做出来。这需要长期的专注和投入。
　　
　　周鸿祎五六年前在江湖里就很得意，说中国顶级的黑客至少一半在360。现在看来确实。前一段微软发布最具价值黑客排行榜，360占前两位，前50里有7个，世界第一。
　　
　　现在“全视之眼”已经应用于数亿个人用户和大量政企单位，每天感知异常行为超过5亿次，阻止了几十起APT。