騰訊雲鼎實驗室掌門人killer專訪：安全路上，殺手沒有假期 | FreeBuf人物誌

近期，感染了數百萬台計算機的複雜木馬暗雲出現以後，騰訊安全團隊在FreeBuf發布了一系列分析文章，其中名為《「暗黑流量」超大規模DDoS溯源分析》的文章署名為雲鼎實驗室。

事實上，雲鼎實驗室常在FreeBuf發表各種技術文章，雲鼎實驗室的工作不僅限於安全研究，在各類安全事件爆發之時，雲鼎實驗室也第一時間進行應急響應。不久前，席捲全球的WannaCry爆發前後，他們做了大量應對工作：

NSA的攻擊工具包泄漏後，雲鼎團隊第一時間做了相關分析，發布了《NSA秘密黑客組織方程式攻擊工具包解析》，並緊急向用戶發送預警通知，督促和指導用戶進行補丁修復。同時，他們對騰訊雲官網的Windows鏡像進行了全網更新，默認集成最新補丁，也督促第三方服務提供商進行本次補丁更新，將補丁更新作為生態准入條件。

WannaCry蠕蟲爆發前一個月內，通過雲鏡多次普查雲主機的補丁修復情況，針對有些安全意識薄弱的用戶，甚至多次人工電話通知。

蠕蟲爆發後，雲鼎更多是以應急姿態預防突發事件，同時關注病毒疫情在全國的感染情況，也採取了一系列措施幫助用戶對抗勒索病毒，聯合其他實驗室一起出具多種解決方案。

雲鼎實驗室，屬於騰訊安全聯合實驗室之一，掌門人就是本文的主人公killer。

6月初的深圳，火紅的鳳凰花開得正盛，預示著新的畢業季又將到來，廣大學子將紛紛踏入職場，開啟新征程。在深圳大學的北門，遠遠可以望見街對面高聳入雲的騰訊大廈。美麗的大學校園與互聯網巨頭的大樓竟有了些遙相呼應的意味。6月2日，在離深大和騰訊大廈幾站之隔的深圳華僑城洲際大酒店，首屆中國高校網路安全人才培養沙龍拉開帷幕，騰訊安全聯合實驗室旗下七大實驗室掌門人悉數到場，與多所高校教師探討當前形勢下的網路安全人才培養之道。

2016年7月2日，騰訊正式發布安全聯合實驗室「矩陣」，旗下設了七大實驗室，不禁讓人想起「七劍下天山」的英雄與江湖，又讓人想起「七龍珠」的冒險與奇蹟。七大實驗室掌門齊齊亮相，著實難得。而就是在這種難得的情況下，我們才得以見到傳聞中神龍見首不見尾的殺手——騰訊雲鼎實驗室掌門人killer。

這位「殺手」有點難約，因為他要管理雲鼎實驗室的各種事情，帶領團隊檢測、阻擋各種安全威脅，開發實用的安全產品；他要參加最近幾天的賽事和會議，發掘、發展更多人才；他還致力於宣傳安全行業和安全活動，助力提升大眾安全意識……

幾經邀約終得在會議現場見面。當天killer穿著Polo衫和牛仔褲，讓本來就高瘦的他看起來更加乾淨利落。他十分客氣又略帶歉意地低聲說：

很高興接收採訪。但是抱歉，我這場會結束後還有別的會要參加，回頭我再給你回復吧。

有趣的是，這位現在統轄雲鼎實驗室的殺手，早前專攻的可是反病毒，這種轉變才令他的安全從業經驗顯得如此奇妙。

以愛之名，砥礪前行

安全圈關於killer的事迹，最著名的莫過於2006年截殺「熊貓燒香」，創建「超級巡警」了，超級巡警還一度因為熊貓燒香而招致「監守自盜」的爭議，這都是前安全時代的那些事了。創業之後，他又加入了百度，去海外「開疆拓土」，在更大的平台施展身手。而近年來，隨著雲服務的興起，雲安全方興未艾，這讓killer又找到了實現抱負、將安全想法落地的新領域。因此，在2016年，他又加入了騰訊，開始在雲安全方面深入探索。

細數信息安全行業的發展歷程，本世紀初的那些年可以用荒蕪來形容。許多高手都是憑著興趣和熱情自學鑽研，然後才轉入這一行，killer也是如此。很早的時候，killer就對計算機表現出極大的興趣，憑著好奇心作探索——這實際上也是很多安全從業人員的早期經歷。而如今赫赫有名的網名「killer」，也是在這個過程中誕生的。

早在「超級巡警」之前，killer就混跡於國內外的一些論壇、IRC，特別是網易聊天室等。當時web攻擊還不流行，killer卻能通過一些小技巧在聊天室隱身、穿牆、偽造管理員發言和踢人，就在那時，他想到killer這個id，自覺十分貼切，便沿用至今。大概這是killer獲得成就感的某種途徑。

超級巡警時期的killer就曾經說過對於當時的工作「非常熱愛，是理想的一部分」，提及這麼多年堅持在安全領域不斷發展並有所成就的動力，killer是這麼說的：

最初是因為熱愛而入行，之後通過不斷的學習和工作實踐，逐漸對行業有了一些宏觀的想法，想把自己對產品的理解、技術的積累貢獻出來，讓安全技術為保護用戶服務。也在多次協助客戶解決問題、與客戶的溝通中，感受到了自己作為安全從業者身上肩負的責任和使命。

在安全圈裡，許多人就是這樣不斷地學習研究，有了更深的積累。有些朋友則在鑽研的過程中找到了相應的商業模式，走向創業的道路。

killer可能也算得上是國內最早一批讓普通人改善對Hacker一詞印象的人，即戴著墨鏡、緊盯屏幕的不過是電影和小說情節。這批人的相同點恰在於好奇心與愛好。在熱愛與好奇心的驅使下，這位有理想和情懷的「殺手」開始學習鑽研，從反病毒到現如今的雲安全，大致上也算是種大範圍的跨界了。

從反病毒到雲安全

如今作為雲鼎實驗室的掌門人，killer也向我們透露了雲鼎起名的趣事。當初根據想傳遞的理念，他想了10多個備選的名字，然後找TK教主於暘（玄武實驗室掌門人）商討。在對其中兩個比較看好的名字分析的過程中，TK提出可以用鼎字，最後確定了以「雲鼎」為名。

由此看來，騰訊各實驗室的掌門之間互動著實不錯。想來騰訊聯合實驗室這樣的架構，讓同為安全領域佼佼者但細分方向又各不相同的掌門強強聯手，互相補充、促進，該是能為安全行業帶來更多創新和發展吧。

早年killer曾經寫過一篇題為《反病毒理念、歷史、現狀與未來》的文章，對反病毒軟體的歷史做了回顧——這個時期的killer可以說是前安全時代的風雲人物。而從「超級巡警」到加入百度，再到組建騰訊安全雲鼎實驗室，雖然都還在安全行業內輾轉，但無論是工作內容還是安全技術，都已經有了有很大變化。

究竟是什麼促成了這樣的變化也是我們在採訪中相當感興趣的話題。不過killer對於這種轉變卻相當輕描淡寫：「從業多年，有了一定的積累之後，再去選擇做一件事情，就會更在意事情本身：看這件事情是不是自己想做的，有沒有成就感，其次價值能否得到認可。」而擔任雲鼎掌門人，killer顯然也是經過深思熟慮的：

雲計算，尤其是公有雲的業務特性使得雲對安全的訴求是骨子裡的，而安全也是客戶選擇雲計算平台的關鍵因素。此外，因為雲這種形態使安全可以在雲上閉環，便於把許多想法落地，在主機、虛擬化、網路各個層面實現不一樣的安全產品。

這也便促成了killer從反病毒轉向雲安全，加入騰訊，扛起「雲鼎」，在雲安全這片新領域繼續探索。換句話說，一切不過是興趣和自己想要這麼做罷了。如果要具體說，只是「便於把許多想法落地」。

近年來，騰訊的確在安全領域動作不斷，打造聯合實驗室就是一個新舉措。而隨著企業上雲成為一種趨勢，雲安全問題也受到越來越多的關注。雲鼎實驗室近期重點關注的就是主機安全產品的研發。

公有雲安全體系中，主機是最後一層防禦機制。對客戶而言，數據是客戶最重要的資產，主機安全防護產品是客戶核心數據的最後一道防線。對廠商而言，主機安全是覆蓋用戶群最大的安全產品，主機是真相之源，適合在海量 威脅數據的支撐下，把專家服務能力落地。在研發過程中，主要難點在於對用戶業務和風險的理解，以及在公有雲的責任共擔模型中定義各自的邊界。

不過雲鼎實驗室平常究竟在做什麼？從我們掌握的情報來看，成立以來，雲鼎實驗室的主要關注內容集中在四個方面：

1. 關注云惡意攻擊的情況，進行攻擊溯源，並形成情報；

2. 基於互聯網分析識別外部流量和IP數據，做成態勢感知；

3. 主機層面的安全，進行檢測並上報安全問題，給出解決方案；

4. 與其它實驗室合作，在雲上進行漏洞挖掘等。

killer說，如今關於主機安全的思路應當有所轉變。對於出現的一些問題，僅僅靠人力很難全面分析，可以利用機器學習、深度學習等方法，達到足夠高的問題檢出率 ，並深入分析給出更多解決方案。他對於安全往人工智慧的方向發展似乎相當贊同。

過去攻擊鏈是斷的，而如今，企業可以與安全廠商合作，將攻擊信息及時上報或共享，進而把攻擊鏈打通，實現更到位的安全防護。基於這一思想，雲鼎會推出更多面向企業的安全產品和服務。

騰訊雲安全本身的業務很廣，覆蓋範圍包括網路安全、業務防控、主機安全、內容安全、移動安全、風控安全和密鑰管理服務等。其中防護網路安全的大禹系統和針對業務防控的天御系統應該已經被很多人熟知。

要說雲鼎的具體產品，killer倒是在訪談中主動提到了一款主機安全防護產品雲鏡。雲鏡基於騰訊雲和騰訊內部安全產品線積累的威脅數據，依託騰訊雲平台的計算能力，可以利用大數據和機器學習的方法在雲端為用戶進行入侵檢測和整體的安全風險感知，為客戶提供包括密碼破解攔截，異常登錄提醒、惡意木馬文件檢測、高危漏洞預警等安全服務。

說白了，雲鏡就是利用雲上的大數據來進行威脅檢測，用於降低雲上業務被黑客入侵導致的數據泄露和業務中斷風險。

然而，僅僅推出產品並不能讓雲鼎和killer滿意。「雲安全亟待解決的問題還有很多，例如雲平台的穩定性和數據的安全等。」雲安全技術未來的發展也是雲鼎和killer所關注的。killer認為，未來人工智慧會是雲安全技術的一大發展方向。

早年我們基於專家經驗來定義產品，後來我們基於數據來定義產品。專家經驗是一個粗粒度的強指標，這個指標不一定是事實真相。當有海量的數據後，你會發現，以前那些微不足道的細粒度指標形成的關聯、展現的趨勢能揭露更多的黑客活動線索。

killer也曾為自己和雲鼎規划了這樣一幅藍圖：

作為基礎平台，雲安全可以有一些新玩法，比如建立紅藍軍，要形成閉環。簡單來說，就是攻防一體化。我要做的，就是形成包括滲透測試、漏洞挖掘、 數據分析、機器學習等方面的能力，讓攻防一體化落地。

對於雲鼎來說，做雲安全業務，打造如鼎一般厚重可靠的品牌，還有很長的路要走。從另一個角度來說，killer組建雲鼎之後，要打造騰訊雲安全的「扛鼎之作」，攀登新的高峰，著實任重而道遠。

注重發掘人才

對於大部分安全企業，或者有安全業務的企業而言，人才短缺恐怕都是個老生常談的話題。「扛鼎」的前提自然還是人們的「肩膀」。在killer看來，發展至今，雲鼎遇到的最大困難，無非就是人才招聘，更何況還是雲安全這個發展空間尚且很大的領域。

FreeBuf之前採訪過安全投資人金湘宇，他認為安全行業的人才稀缺將是常態：

因為攻防對抗越來越激烈，對於安全人才的技能要求高了。現如今的安全行業，並非想做安全的人、在做安全的人少，而是有專業技能的人相對較少。來對於信息安全的需求是廣泛而深入的，對抗也是深入的。解決對抗需求的一定是人，所以人才的缺少會是常態。

這個觀點似乎在WannaCry大爆發以及《中華人民共和國網路安全法》全面實施之後，得到了印證，安全行業大概會一直缺人。騰訊舉辦網路安全培養沙龍，也是打算從基礎抓起，發掘、培養更多安全人才。對此，killer表示：

現在安全人員稀缺，希望能有更多的優秀的人才加入我們。《網路安全法》全面實施之後，對網路安全違法行為有了清晰的界定和嚴格的處罰措施，同時，各行各業也會需要更多專業的網路安全企業和從業者參與到貫徹網路安全法的過程中。我在朋友圈看到有人吐槽招聘兩年沒有招聘到合適的人才，安全人才的稀缺使得職業獵頭的獵聘目標更多的向網路安全人才轉移，《網路安全法》的出台會進一步加劇安全人才缺口。

從自身做起，共建安全新生態

WannaCry爆發期間，許多安全從業者都在通宵達旦地工作，監控最新動向，第一時間對外發布最新疫情變化，為行業客戶和普通互聯網用戶提供解決方案，並發布一系列分析報告作為業界研究使用。其實不只是病毒爆發期間，平日里，他們也在孜孜不倦地監測網路流量和動向，挖掘漏洞，修復漏洞，提供著全方位的安全保護。

如果不是這次WannaCry的大規模爆發，也許很多人都意識不到網路安全有多重要。killer對此感觸頗深，也以自身從業多年的經驗，給安全廠商、普通用戶提出了一些評價和建議：「從這次事件可以看出安全廠商依然是獨立作戰的模式，在協同防禦上做的工作比較少——這也是過去這些年來安全行業的主流價值觀。所以「專業安全廠商應當盡最大所能提升透明度，加強信息交換，以此事件為契機，重新檢視自身的安全產品，把每一次攻擊作為改進產品的磨刀石。」

人類歷史上有幾次大規模的傳染病，無數人付出了慘痛的代價。目前醫學界有成熟的應對方案，打疫苗已經成為必選項。目前是從互聯網時代過渡到物聯網時代，種種安全攻擊層出不窮，手法日新月異，而且會更為頻繁。有統計顯示，網路攻擊每年給企業造成的損失高達5000億美元，這個數字還在不斷擴大。同時，值得注意的是，這裡面也有一些規律可循，能造成大規模感染和入侵行為的攻擊方式存在固有的特性，就目前已知暴露出來的攻擊模型，也有很成熟的解決方案，但為什麼會造成這麼大的影響，這一點值得安全廠商、企業與普通用戶我們所有人反思。

的確，我們可以回顧互聯網發展史上的重大攻擊事件，總結規律，未雨綢繆。而最重要的是，每個人都要提升安全意識，更多地了解安全行業，了解安全行業從業者，養成良好的互聯網使用習慣，防患於未然。作為安全媒體而言，我們可以打破安全圈的小圈，更多地傳播安全概念、報道安全事件，為普通用戶多普及一些安全知識，助力提升大眾的安全意識。

採訪的最後，killer把話鋒轉到了安全行業所有的從業者身上：

「本土雄心，全球視野」，這句話送給同仁們共勉。

安全路上，殺手沒有假期

6月3日是周六，大多數人在悠閑地享受著周末的美好時光，而killer仍然在忙於工作。這位殺手，在安全行業從未停下腳步，他跟隨時代的步伐和轉型的原因不過是對安全的更多追求罷了，這才是讓人感覺最酷的事情。

「時光的河入海流，終於我們分頭走。沒有哪個港口，是永遠的停留。」開得燦爛的鳳凰花，站在風雲變幻的路口，靜靜見證著人們的成長，見證著時代的進步。互聯網安全行業身處自己的盛夏光年，正在蓬勃發展，容不得停留和止步不前。我們期待互聯網安全行業能如killer所說，帶著「本土雄心和全球視野」不斷前行，像夏日的鳳凰花一樣，紅火、絢爛！

* FreeBuf官方出品，作者：AngelaY，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！