APT扒了谁的裤子

admin

0、序言

在安全行业浑浑噩噩地浪荡多年以后，对这个我耐以生存的行业似乎有了一点清晰地认识，而似乎又只是在荒谬中完成又一次的南柯一梦。梦随心生，心随境升，终日流连于抠脚大叔的茫茫沧海，经历了从人体工学到巧克力键盘的时代变迁，我还能做点啥呢！

如果说当前安全行业最大的对手是谁，毫无悬念，那就是APT的资助者、实施者。APT作为一个最具威胁的对手，它的隐蔽性、对数据的嗜血都可谓达到了一个历史的顶峰。其实APT并不是一种攻击手段，它是一种新的攻击模式，是一种高度团队化、专业化的运作模式，或许我们可以称之为：有组织攻防。

1、我们的对手是什么

APT作为一个商业概念，它掀起的阵阵热潮曾席卷整个星球，高昂的姿态让人看到了征服火星的点点希望。正所谓：那一刻，快感，让人兴奋！但作为一个技术人员，作为一个搞工程的苦B泥瓦匠，我们希望看到的是what’s the change。细细分析之下，我们却没有发现新的攻击技术，所有的一切还如过去一般，SQL注入、XSS、漏洞利用、邮件、木马以及Webshell等等我们曾看到过的东西跳入眼帘。那一刻的昏暗、迷茫与沮丧，就好象快感后的失落，APT究竟要告诉我们什么，难道就是这几个并不华丽的字母吗？终于，一个风雨交加的夜晚，当闪电刺破长空照亮这个昏暗的世界时，小学老师着带慈祥的面容出现在我的眼前。耳畔响起他那充满爱抚的声音：“孩子，你还记得田忌赛马吗？当马不能改变时，最重要的是了解你的对手，然后组织你手中的马”。在对老师的慈祥面容喊出一句“偶，耶”时，我开始重新整理思路与想法，试图去了解what’s the change。

APT的核心是什么，是在于长期、耐心的信息收集，在于对被攻击者的足够了解，在于对被攻击者的技术标定。面对这样耐心、执着、冷静的攻击者，谁敢豪言壮语说自己宇宙无敌，更何况宇宙无敌的挑衅还要面临朝鲜同志们无情的打击，Oh，My god！在Google被入侵的案例中，其入侵过程是一个严密的进攻链条，也让我们一窥攻击者的冷静、执着与高超技艺。

第一步、通过社交网络获知某个Google员工喜欢摄影，为了叙述方便请允许我称呼他为火星1号，谢谢！

第二步、攻击者私自搭建一个照片浏览服务器，并在上面设置许多的陷进，就好像建造了一个充满诱惑的温馨洞房，只等火星1号满脸奸笑地踏入那软绵绵的床底。

第三步、攻击者向火星1号发送了一封关于照片浏览的邮件，当然，非常温馨地附上了洞房的地址以及那诱人的帷幔。

第四步、火星1号在面临自己的兴趣时失去了最基本的警觉，于是爽朗地卧倒在这美妙的洞房里，此处省略500字。

第五步、火星1号被成功植入了木马，从此变成了保卫者1号，成为了攻击者最忠诚、最可靠的朋友，协助其完成了所有的任务。

第六步、攻击者以火星1号为跳板，相当于攻击者已经把自己变成了Google的内部员工，通过持续不断的渗透，终于完成了强奸Gmail服务器这个终极任务。“祸起萧墙”，看来拉里.佩奇先生一定没有了解过孔子的相关思想与著作，这是无视伟大中华文明的下场啊！

我们看到了什么？看到了攻击者对火星1号是多么的关爱，这是多么伟大的爱情啊！还在陌不相识时就精心了解你的一切，为担心火星1号心里泛起阵阵的涟漪，攻击者甚至悄悄浏览了他的社交网络，搞清楚了她的喜好与弱点。请问那些整天甜言蜜语的男人们，你们做到了吗，你们能做到吗？让我们向这个伟大的爱情致敬吧！阿门！

上述的案例中，我们所看到的攻击手段是XSS、邮件、漏洞以及木马，这是我们安全行业一直与之搏斗的攻击技术，但这并不妨碍攻击者在这场对抗中完全胜出。why？因为爱情！因为攻击者对火星1号的了解，因为从这种了解中找到了火星1号的弱点，成功诱惑她完成了华丽的转身。

对被攻击者的深入关爱包括很多的方法，从技术上说可以利用合法手段收集被攻击者机器的信息，比如查毒软件版本、浏览器版本、操作系统版本等等，这诸多软件系统总有一个适合攻击者的口味，为被攻击者送去充满诱惑的EXP。社工是否是一种攻击手段的讨论其实没有价值，就好象CIA搞定某个国家的潜艇声纹一样，它会在关键时刻成为一种重要的信息，Google那位友好的、善良的工程师就是一个例证。除了直接攻击价值目标还有一种手段叫“围魏救赵”，后来被我军引申成为“围城打援”。在实际的APT过程中，攻击者通过首先渗透公司的合作伙伴、公司的临时工以进入坚强堡垒的第一道防护，然后继续对价值目标进行持续的渗透，总归就是一句话：“不怕贼偷，就怕贼惦记”。

目前我们这个行业在APT防护的语境中言必称0Day，似乎0Day是进行APT防御的唯一有效手段，倘若如此，也许这将是一个噩梦的开始。在有组织对抗中，武器仅仅只是一个选项，它是一个重要因素但绝不是唯一因素，如何对武器进行运用才是人类智慧的另外一种展示。正如，当我们冒着裤子滑落的风险，抽出宝贵的皮筋制作出威力巨大的史前投石器时，我们首先需要知道的是小伙伴他们家的玻璃在哪儿。当我们拿着分辨率为0.000001纳米的摄像机，想获取御弟哥哥与女儿国王的缠绵场景时，我们首先需要知道的是龙床在哪儿。搞破坏、偷东西也是个技术活，不是一手拎着核武器满大街晃悠就可以随意完成，更何况你想获取的是别人的数字财富！

我们的目标是谁：是一群耐心、冷静、执着的攻击者，是一群以了解对手为基础的强大敌人。他们像幽灵一样围绕在被攻击者的周围，一点点了解、蚕食被攻击者的身心与防御，直到完成最后一击，成功突破所有的防御。

2、什么是安全专家

在我们这个行业里流传着一个古老的传说：“用户不配合根本就没办法做好安全，安全这东西是三分技术、七分管理”，这个美妙的古老传说总是在恰当的场合被屡屡提起。而作为安全行业研发体系的一员，这个古老的传说更像一个挥之不去的幽灵，既然用户那么重要，为什么我们的安全产品用户没法参与呢？举个例子，用户配置好防火墙问

“安全吗？”

“这个不好说，要看扫黄的力度，并且防火墙也不能解决所有问题啊。”

“喔，那还搞个啥会更好呢？”

“IDS啊，那个能检测很多攻击的。”

“IDS上了就安全？”

“嗯。。。。。。，这个不好说，要看扫黄的力度。”

“喔，IDS那么多告警咋处理啊？”

“这个告警分级别，有些低的级别你可以不处理，有些严重的你要看一下。”

“不处理你们也报出来干嘛？？那些严重的我怎么看呢？”

“喔，这个要根据你们的业务来看什么情况，确定它是不是攻击。”

“喔，那我该怎么看呢？”

“这个要根据具体业务具体来看，所以没法弄个标准答案。，举个例子啊。。。。。。”

“喔，那算了，先这样吧，后面我慢慢再看”，用户实在无法忍受，只好强行打断。

那个古老的传说告诉我们用户是最重要的参与者，但我们的产品却很少考虑用户如何参与进来，然后我们还反过来埋怨用户知识匮乏，搞不懂安全问题。实话实话，用户为什么要搞懂这些问题，用户都搞懂了还要我们这个行业干什么呢？用户的职责是保护业务安全，而非搞懂什么是安全，我们这个行业的价值就在于培养用户站在业务的角度理解安全，用户没有义务把自己变成一个跟安全行业一样的专业人员。

真正的安全专家是用户自己，只有用户自己知道他跑了那些业务，所有业务是个什么状况。我们这个行业所知道的可以称之为通用安全技术，也就是在所有业务环境中均适用的技术，而这必须与用户的实际业务相结合才能形成真正有价值的安全。正如前阵子风风火火的OpenSSL心脏出血漏洞，这种漏洞会造成数据泄密只是一种通用的安全技术，是否真正会造成泄密需要取决于用户的业务逻辑以及对OpenSSL的部署情况，而这是除了用户任何人都无法知道的细节。套用一个时髦的词汇“互联网思维”，什么是互联网思维，就是将关注重心从单一的行业关注转变为：将用户关注与行业关注相结合，为用户创造更加高效、便捷的工作方式而努力奋斗！

在目前的APT防御体系中，0Day检测被描述成了唯一有效的检测手法，这依然是不关心用户思维的延续；我们这个行业的对于0Day定义是：从未被曝出的漏洞，但当我们站在用户的角度其定义却完全不同。对于用户来说，0Day是用户防御机制无法检测的所有漏洞，比如用户由于种种原因使用了三个月前的补丁，那么这近三个月内产生的所有漏洞都是0Day，因为用户的防御机制无法检测出这些漏洞。只有用户的整个防御系统对漏洞的感知保持与安全行业完全一致时，我们的0Day才是用户的0Day。这里并不是想要争辩用户是否应该保持防御系统的及时更新，而是我们这个行业的诸多定义需要与用户的实际相结合才会形成真实存在的安全风险，我们需要转变看待问题的方式。

真正的安全专家是：将通用安全技术与用户业务相结合，为用户提供方便、易于管理的安全机制，为用户日常安全运维提供基于业务系统的安全技术指导。

3、技术演进的空想

网络安全防御的技术体系演进历史，其实就是一部互联网不断壮大的历史，我们以万恶的美军入侵伊拉克为例，描述整个演进的过程：

第一阶段、美军突进伊拉克，不断攻城略地，占据一个又一个的城市据点，此时美军的主要防护是基于城市据点的防护措施。

这个阶段对应于网络安全FW、IDS独霸天下的时代，此时的网络业务相对单一，通过在各个网络据点设置边界，然后在边界处搁置FW、IDS即可完成防护。

第二阶段、美军结束主要战斗，军队任务开始多样化，包括人道救援、维持治安等等，正是由于任务的多样性，使得美军开始频繁地走出据点。伊拉克的游击队员们再也不需要去到那坚固的据点下大骂缩头乌龟，再也不需要派遣如花、抠脚大叔去撩拨美军小伙子们那荡漾的春心，他们只需要埋设路边炸弹、派遣人肉炸弹就让美军心惊肉跳。为了应付这种多样的、无法预知的威胁，美军开始修建检查站，开始通过各种检测技术检查是否存在携带炸药等等危险行为。

这个阶段对应于网络安全防护目前的阶段，网络业务开始多样化，仅靠FW、IDS已无法应对，开始出现更多的检测手段，针对各种威胁进行检测。邮件网关、WAF、上网行为等等许多细分安全防护产品开始面市，但网络边界理论依然是其核心的理论构架，也即是美军的检查站理论。

第三个阶段、美军受到越来越多的攻击，陷入泥潭。此时，一方面美军加强了单一作战单位的防护力度，比如为悍马加装专门应对路边炸弹的装甲，普通的美军士兵开始购买高性能防弹衣；另一方面， CIA的工作开始显现，通过大量的情报分析进行威胁预警，使得很多危险在真正爆发前就被解除。

这将是网络安全防护的下一个阶段，其主要特征包括如下两个方面：

1、边界理论的修正，边界从网络转移到终端，终端即边界。

2、基于数据分析的安全预警与防护开始发挥作用。

依靠网络边界解决终端相关安全问题的手段目前主要技术为SandBox，通过在网络边界模拟终端的程序行为从而检测是否存在终端威胁，但这个技术正面临越来越多的困境。

1、加密的威胁，基于SSL的Web网站对于网络边界SandBox来说是一个难以逾越的坎，而搭建一个SSL的Web网站其成本已足够低廉，黑客不会轻易放弃这个低投入高产出的方案。

2、在移动互联网中我们看到更多的是APP而非浏览器，这些APP所传输的数据是否可以像浏览器那样容易获取，将是潜在的巨大威胁。

3、APT的执着与专注使得设备技术标定变得可能，举个例子，当通过Web下载某个EXP时，该EXP可以通过下载时所附带的Cookies确定是否需要发作，这种技术标定使得SandBox在解决虚拟机逃逸问题上成本颇高。

终端相关的安全问题，需要依靠终端来解决，网络边界的SandBox只能是一种辅助手段，不能完全依靠它来解决问题。因为，解决各种虚拟机逃逸的成本实在太高，而在真正的高强度对抗中，这个成本还会变得更加高昂。

聊到这里不得不提一下首席与安全圈的一次辩论，是关于漏洞利用的，双方都提出了非常多的论据支撑其观点。这次辩论却让人得到了另一个启发，准确说是用首席的观念来看待程序安全的问题，毕竟作为安全行业的一员，对安全圈的高手了解稍早一点。从首席的角度看，计算机体系结构逃不脱冯.诺依曼结构，也就说站在裸体的角度看，计算机其实只有CPU与内存，忘掉OS这个美丽的面纱吧，让我们管好CPU、内存这两个奸夫淫妇就好了！这就是硬件仿真，利用硬件仿真的技术来解决内存是否被污染【这个词汇借用于那篇论文《Taint Check》】，只要我们保证污染的内存不能被执行，那奸夫淫妇就没法同床共枕了，这个世界从此宁静了，多么美妙的时刻啊！但是，如何知道内存已不再忠贞、纯洁呢？完成这个工作并非易事，无论如何它确实是一个解决问题的办法，让我们回到计算单元与存储单元看CPU、内存这两个奸夫淫妇的翩翩起舞吧！

Garter曾提出大数据将在两年内使得信息安全行业产生根本性的革命，也在今年上半年定义了一个全新的基于数据审计与分析的安全产品线，这一切都昭示着数据在安全行业的重要性正越来越高。作为一个“崇洋媚外”的屌丝IT男，请原谅我视Garter如明灯，在痛苦、悲伤、昏暗的日子里，我对它不离不弃，依靠它给我的力量继续颤抖着，阿门！

IT是人类的伟大发明，它在原有人类社会的基础之上又构造出一个全新的虚拟社会，让我们摆脱了曾经乏味、混乱的生活环境。工业时代的思想交流依靠汽车载着人类的臭皮囊，在某个叫做沙龙或者会议的地方，一群长着头发与四肢的怪物，吐着唾沫与烟圈，消耗着弥足珍贵的氧气，制造着噪音与汗味。而今的思想交流是多么美好的场景，当你躺在浴室洗着心爱的泡泡浴，对着摄像头露出朦胧的笑容时，你的伙伴躺正在客厅的大沙发上，看着你西装革履、精神抖擞地出现在画面上，心里暗叹：“BOSS，你太让我尊敬了”！这是多么美妙的场景，没有了呛人的烟圈，没有了刺鼻的汗味，也同样没有了百味混杂的古龙水。

“好吧，这和信息安全到底有什么关系，这是杜蕾斯最拿手的事好不好，你有它薄吗？”

“嗯，这个，我确实比它薄，我已经薄到看不见了，因为我只是数据的曾在。”

这个美好的人类社会基于信息的数据化，对你的伙伴来说你是一个人的出现，而对支撑这一切的IT系统来说，你只是一个数据的曾在。准确地说IT系统讨厌杜蕾斯，因为它太厚了，厚到能用人眼观察，IT系统喜欢的是逻辑的、数据的曾在。这是我们面临信息安全时最大的难点与困惑，因为数据化的信息对人类来说已经不可见了，如何从大量的数据化信息中找到我们想要的信息，比如谁试图非法获取邮件服务器中的邮件数据，这一切只能依靠计算机通过数据分析来完成。当整个世界都是数据化存在的时候，谁还能逃脱数据的枷锁隐藏自己的秘密？

“你这叫放之四海而皆准的屁话，信息安全从诞生那天起，就面对的是信息数据化，为什么今天就得换个想法？”

“请允许我套用《大数据时代》的思想来回应你的这个提问，以前对待数据的办法是抽样以确定因果关系，其根本原因是在于人类对大量数据处理的无奈，或者说人类无法处理海量数据；而在大数据的时代，计算机技术的发展已足以应对海量数据的处理，我们需要抛弃基于抽样的因果关系，取而代之是海量数据相关下的关联关系。”

还记得签名技术吗？在许多现有的信息安全产品中，我们所依赖的正是这种基于抽样的因果关系。首先，我们通过样本发现了某个特征，于是构造出一个因果关系：存在某个特征的就是某个威胁。然后苦B的工程师们开始打鸡血，就地满血复活，战斗力无限，时不时还要来个“show me the money“，冲啊，检测啊，找特征啊，干他啊！偶，耶！这是我们这个行业的技术体系长久以来的现状，我们所有的工作都是在围绕数据的因果关系而展开。也许我们真地应该看看外面的世界，学习互联网行业在先进计算机技术上的追求，让我们的招聘关键词摆脱：Linux、C/C++、驱动开发的束缚。

“你说了那么多屁话，告诉我数据所揭示的本质是什么，不就是因果关系吗？不就是这个世界中内在的、纷繁复杂的逻辑联系吗？”

“请允许我向你致以领袖般的敬意！数据所揭示的本质正如你所言，但我们现在讨论的却是另外一个话题。物理学所揭示的本质是物理原理，所有的物理现象只是物理原理的一种表现形式，我们总是先看到物理现象，然后再总结出物理原理。我们现在讨论的并不是物理原理是否揭示了物理现象的内在联系，而是如何从物理现象推导出物理原理。”，

百度在帝都市有一个交通拥堵预测应用，该项目的预测结果为每天下午4：30左右帝都市开始出现交通拥堵。现在请让我们思考一下，是谁决定了4：30这个时间，是上帝吗？显然不是，它是整个城市的功能区划分、产业结构区域分布、人口区域分布、公司作息时间等等一系列纷繁复杂的内在因素所决定的。我们既可以采用抽样的办法预测帝都市的交通拥堵，我们也可以采用大数据分析的办法来预测帝都市的交通拥堵，只是现实告诉我们，在面对逻辑极其复杂的本质关系揭露上，大数据分析的办法更加有效，因为它避免了抽样所带来的信息熵值下降。

4、安全的大数据

在说安全的大数据之前，先等我啰嗦地总结一下上面几个小节的内容吧，这有利于我把自己的故事讲圆满了，各位稍等片刻可谓功德无量，阿弥陀佛！

1、APT是由一群耐心且了解被攻击者的黑客干的，他们虽然没有创造出新的攻击手段，但是更加组织化的运作模式导致他的隐蔽性极高，极难被检测。APT的攻防对抗已不在是单纯的技术对抗，而是人与人的高智力对抗。

2、用户想要的不是安全，而是业务系统的稳定、高效、可靠以及可控，我们需要将通用安全技术与用户业务相结合，以保障用户业务系统正常运转为己任。在APT兴起的今天，搞个设备就可以保证安全的时代一去不复返，我们需要与用户建立新的、更加深入的合作关系以确保IT系统的安全。

3、在网络业务纷繁复杂的今天，单一的网络边界应对策略已无法控制黑客对各种业务系统的高强度渗透，终端即边界的理论更能应对今天的终端威胁，基于数据分析的安全防护策略将会发挥越来越大的作用。

现在问题是：如何让通用安全技术与用户业务向结合，以从用户业务系统中找到攻击者的蛛丝马迹，实现对攻击者的检测。

答案是：利用基于用户业务的数据分析技术，实现对用户业务系统的全面监控，从而找到业务系统中的非法入侵者，其实现技术就是安全的大数据。

任何人都有自己的习惯，任何一个行业也都会因为各种原因形成他们的固定模式。比如今天我们能见到的Webshell，他们在某些维度具备高度的一致性。

再比如，渗透、窃取内部数据的过程中，攻击者不会像正常的访问者那样直奔自己的目标，他们会试探、会寻找、会小心谨慎。这会在数据上反映出来吗？能通过数据的多个维度进行提取吗，这将是值得关注的角度？也许有人会说这完全不可行，但是别忘了，数学家曾告诉我们这个世界的所有事情都可以使用数学模型进行描述，测谎仪甚至通过生理数据捕捉到了心理反应。

再比如木马，无论多么高端、大气、上档次的木马，它终归是一个计算机程序，它与人对网络的使用存在根本性的差别，我们是否可以通过数据的某些维度将这些信息提取出来呢？一旦提取，对它的识别就是顺理成章的事情。

再比如EXP，我们是否可以通过CPU硬件仿真，将CPU指令归类，然后计算大量BIN文件中的归类指令分布函数，EXP所包含机器指令的分布函数会与正常程序不一样吗，这个角度是否值得我们进行观察？

这就是大数据的魅力，它能将人类原本无法掌握、理解的内在联系通过基于数学模型的分析，最终呈现在人类面前。我们这个行业需要利用这种先进的计算机技术，从另外一种角度和方式去处理信息安全问题。

5、黑/白名单之争

周鸿祎先生在2013年的互联网安全大会上提出：有效地对付APT和Oday的多种方法中，其一就是白名单，这是一种深刻的见解。黑名单策略说到底就是因果关系策略，这是19、20世纪人类处理数据的最基本思想，首先通过样本找到因，然后将这个因应用到实际工作中找到更多的果。白名单策略实际上是解决了因果关系策略的局限，在安全攻防开始进入APT的时代，这种因果关系已无法满足对于现实的描述。在所有的数据抽样理论中，我们都没有发现一种针对有人刻意伪造数据的完全有效的应对措施，而安全攻防每天都在上演这样的场景，双方都在不懈努力地降低已有因果关系对自己的束缚，在APT攻防中这种对抗更加普遍，因为它意味着可以攫取更多的数据，意味着可以获取更多的财富。

与周鸿祎先生不同的是，周先生所倡导的白名单策略是依赖于现有的检测技术，对现有检测技术的结果数据进行融合，实现对防护对象的举一反三。试想一下周先生在微博上与不加V女士的温馨互动，Why？因为无数的事件表明，周先生这样做是安全的，不加V女士对周先生来说，就是一个不折不扣的白名单。在本文中所要倡导的白名单策略是基于大数据的白名单技术，是通过大量数据的多维度的融合实现对数据的无害标定。绝大多数人，未受过严苛训练的人，其行为往往是可以预测的。比如：没有人会每天去到不同的网站浏览新闻，没有人会今天使用微信，明天就换成来往，后天又换成易信。作为单一的个体，其行为总是可以预知的，这种可预知的行为就好像一个城市的规划，构成了一种固定的行为结构，这个结构的稳定就是白名单策略的坚实基础。

二战反间谍名将平托上校在他的自传中曾这样描述他在成千上万的难民中筛选间谍的心得：“当你一遍又一遍地问着同样的问题，你总能从对方不经意的回答中发现蛛丝马迹，即使他是受过严格训练的间谍；相反，有时候正是严格的训练让间谍更加容易暴露”。其原因就在于所有虚假的东西并不是一种深刻的体验，没人可以在虚假中一遍又一遍地重复而毫无破绽，其本质就是不稳定的结构无法永远产生一致的输出。在网络数据的分析中，攻击者就是整个网络空间中不稳定的跳跃因子之一，当你将越来越多的网络数据进行融合时，整个网络空间的跳跃因子将会越来越少。

6、技术体系的变革

一个行业的技术体系是由它所面临的问题以及它解决这些问题的方法所决定的，安全行业在长期的因果关系策略推动下，其技术体系形成了：攻防体系、研发体系两个最大的分支部门，也正是这两个部门的分支，将在应对APT的过程中受到越来越多的挑战。攻防人员深知对手会怎么想、怎么做，研发人员深知如何去理解数据、处理数据，在以数据为驱动的安全防护过程中，需要这两个团队的人紧密、深刻合作，需要两个团队进行知识层面的融合。

在人类社会的病毒防御体系中，其整个体系的大致运行逻辑如下图所示：

科研机构作为病毒防御的核心专家，主要处理来自于从全国各地的医院、疾控中心所反馈的各种病毒DNA，通过对DNA进行测序、对比对病毒进行确认并提出相应的检测试剂、治疗方法以及培育疫苗。我们现有的安全防护体系与此类似，攻防团队作为安全领域的科学家团队，负责完成各种攻防手段、样本的研究，对未知攻击进行快速响应；研发团队负责完成检测手段的产品化、以及对用户所购买的产品、服务进行快速的服务支撑。

但人类的病毒威胁响应体系与安全防护体系存在着一个明显的差异，就是病毒来源的获取，在现实世界的病毒防御体系中，病毒检测由人体自身的免疫系统完成的，一旦人体被某种病毒所感染则会做出相应反应，人就会去到医院。而在安全防护领域，并不天生存在一个与人体一样强大的威胁感知系统，因此如何构建与人体一样的终端病毒感知系统，将是我们整个安全防御体系的核心，这正是我们以前所忽视的，我们这个行业也因此有了另一个古老的传说“我们总是比黑客要慢半拍”。

在安全防护领域要实现像人体白细胞一样的自感知系统，需要重视网络空间的行为分析以及数据处理，这需要攻防团队与研发团队的紧密结合，利用各自的知识背景以及长处从不同角度解读网络空间的诸多行为，从而构建一个基于数据的、启发式的安全防护体系。也许有一天，我们这个行业的技术体系将不再存在两个独立的分支系统，而是一个统一、高度协作的技术体系，这两个系统将在知识层面而非人的层面进行深入的合作。这是一个创新的时代，创新其本质就是不同的视角、不同的思维方式激烈碰撞的结果，有时候我们也称为外行抄内行的窝。在《遗失的访谈》中，乔老爷先生曾说，在很多行业有很多的成规，当你问为什么要这么做时，他们会告诉你我们这个行业一直都是这样，其实没有人真正思考过为什么，也许这就是乔老爷创新能力强悍的巨大秘密吧。

7、后记

一个没有后记的文章，就好像一个蹲完厕所不擦屁股的小孩，满大街扭着臭哄哄的屁股，方便了自己、恶心了别人。所以，虽然我确实没什么要说的了，但一想到这强大的道德负罪感，就忍不住要颤巍巍地拨动着嘴唇，憋出几个碎花花的汉字来。其实，只有在我内心深处某个小小的角落里，一个迷茫、无助的影子知道，这一切都仅仅是为了那个不干净的屁股，阿门！

【via@杨惕光】