本篇文章3616字,读完约9分钟
2007年1月9日,乔从口袋里拿出了世界上第一部iphone。
2008年9月23日,谷歌向世界展示了开创性的安卓g1。
这些小屏幕拼凑出一幅新的世界图景,改变了许多人的生活,形成了一座大坝,分流了潘的命运之河。
我们至少对历史上的任何移动恶意代码家族进行过一次手动分析,包括每一个变种。移动安全负责人潘对雷锋的家客频道(公开id: letshome)说了这番话。语气中有自豪。目前,Agencia AVL移动反病毒引擎为包括miui、yunos、Jinli、Cheetah和lbe在内的rom制造商和应用开发商提供安全服务。
即使在今天,当网络安全行业爆发时,很少有人敢用这种“活字典”的态度来表明他们的团队和所有的移动恶意代码已经“面对面”。
简单的重复只是另一个角度。
[潘]
爱上信息安全黑客帝国”我希望看到各种事物的原理和机制。网络安全更全面,所以更适合我渴望探索的人物。”潘解释了他选择武汉大学信息安全专业的原因。武汉大学是中国第一所本科信息安全专业。不仅有像张这样的专业带头人,还有像彭这样的一批优秀青年教师。大一的时候,一切都是陌生的,潘看了电影《黑客帝国》,感动了很多人。
你所知道的世界并不是全部。
“代码”第一次以如此具体的方式影响了他的世界。潘陈璇突然发现,他手中的密码变得足够锋利,可以穿透现实,撕开另一个世界的入口。
对一个好奇的人来说,一旦未知的世界被打开,它就变成了一个梦。
让潘记忆深刻的一次探索是在他大三的时候。那年,在武汉大学信息安全专业的推荐下,他参加了新加坡南洋理工大学的交流项目。
新加坡有很强的版权意识,所以我们不敢在网上下载电影。然而,windows当时有一个默认的功能,也就是说,它默认共享一些磁盘目录。我利用网络漏洞编写了一个脚本,搜索了校园局域网,并搜索了存储在其他计算机上的所有电影。
然而,这次事件的结果与我预料的不太一样。起初,我发现了很多大片,但后来我突然感到害怕。我突然意识到安全是如此脆弱,每个人都需要保护。
他在雷锋家的嘉宾频道(公开号:letshome)上说,这是他第一次在实际场景中体验到网络安全技术的“乐趣”;"但更重要的是,我感受到了网络安全的严重性和沉重性."
安田江海吴克大学信息安全专业是中国第一个信息安全本科专业,在中国享有很高的声誉。各行各业的丹尼尔都被邀请给学生讲课。然而,潘只给留下深刻印象的叔叔与圣人一样的类型。
这个人就是肖,他的网名是姜海科,实验室的创始人。
[姜海客(右)潘(左)]
他给我的印象有两个方面:对原创技术的追求和民族工业的感受。潘对说道。
2007年,大三学生潘报名参加了实验室的实习。在实习登记表上,他填写了这样一句话:“我志愿在信息安全领域工作一辈子,这是我的兴趣和抱负……”
在那次采访中,潘陈璇对姜海客说:“我一定会坚持我所认定的。”
实习结束后,潘接到了在实验室组建soho研究团队的计划,并决定加入该计划,组建武汉研究团队。因此,在武汉成立了一个三人工作组。潘想起了那部对他影响很深的电影,于是把研究小组命名为“x-matrix”。这是安田移动安全公司的前身。
潘说,《黑客帝国》对我影响深远,尤其是在理解和坚持多样性方面。一个真正充满活力的组织和充满活力的世界必须是多样化的。我使用matrix是希望我的团队也是多元化的。我们的团队遵循初衷,采用扁平化的团队结构。每个组是一个矩阵,多个组形成一个x矩阵。
对潘来说,那段时间充满了挑战。
设计、编码、组织团队、培养新人、参加课程和学校活动。x-matrix承担的第一个项目与移动安全无关,而是安田网络检测系统“猎狐”平台的开发,该项目投资了安田为2008年北京奥运会承担的安全工作。然而,安田的内部接受是严格的,这给了一个不好的审查制度。第二个项目是手机分析工具,效果不理想。尽管受到了总部的批评,潘仍然情绪高昂。并逐渐关注移动安全的方向。历史上,安田曾尝试在wince和Intelligent linux等移动平台上探索安全性,但都失败了,因为相关操作系统没有成为主流场景。那么iphone会成为移动安全的主战场吗?塞班仍然需要投资吗?安卓呢?他反复猜测方向,希望做出正确的选择。在这个时候,生活也需要被选择。研究生毕业后,是去一家大的互联网公司拿高薪;或者留在安田,继续设想的网络安全工作。他预感到一项任务要来了。果然,他收到了江海客的来信,说:
“安田是否有决心在未来建立武汉R&D中心甚至武汉研究院,主要取决于你的决心。”
经过一夜的思考,他下定了决心。然而,他仍然需要建立一个团队。他灵机一动,把姜海客信中的“你”改成了“你”,并把它转给了其他同样面临毕业的圣诞朋友。经过多次交流和推心置腹的会谈,安田武汉R&D中心开始开花结果。
2010年,安田将“颜屋”定位为“安田R&D团队,注重基础、高端、移动安全领先。”
枪、弹药和游戏我不把自己定义为黑客,而是信息安全工程师。对我来说,黑客是“学习、开放和分享”的精神和价值。我渴望这种精神,并能在某种程度上追逐这种状态和感觉,但这不是我的身份。
吸引潘专注于反病毒引擎核心技术的研发。然而,安知道,国际知名厂商的成长历史已有十多年,技术积累和内幕消息都不是简单靠努力就能解决的。因此,安田在avl基本检测引擎方面的努力更侧重于更快的检测速度和更丰富的检测场景。如果安田想要超越20世纪80年代末出现的反病毒先锋,它必须在一个新的空房间里起带头作用。当移动安全出现时,这个责任就落到了潘和他的团队身上。
2011年的今天,在枪支的第一年,安田移动只有不到四名全职员工。潘很高兴他留住了乔伟,这个研究团队最得力的伙伴,他们实现了的期望,打造一个完美的移动引擎。
为了在最深层识别病毒,有必要具备检测底层代码的能力。我们在二进制级别进行监控。每个apk安装包中都有许多文件,包括资源、描述、索引、可执行文件以及它自己的结构和功能符号。最重要的部分之一是机器指令代码。这些底层代码可能会被用来发起攻击。
潘说,只有少数厂家实现了这一系列的深度检测点。
保卫一方并扩大领土是困难的。不像在总部实习,我不用担心。当时连机房都是我自己维护的,我面临的最大困难就是机房经常被切断。一旦停电,服务将被中断,但这被认为是不可抗力。
随着工作的初步展开,抗原移动反病毒引擎开始与lbe安全大师和金山移动安全(现为猎豹移动安全)合作,并开始被国家互联网应急中心等管理机构选中。
不过,有一点让潘略感意外的是。也就是说,经过合作伙伴的测试,安田avl移动反病毒引擎的病毒检测率不高,只有60%-70%。合作伙伴的反馈是:引擎非常好,您已经实现了我们可以想象的所有检测分支,但是您的规则还不能覆盖所有样本。
潘给了雷锋家的客人频道一个有趣的比喻。
安田发明了一种好枪,但这还远远不够。我们需要一个军火库来提供弹药。
这些弹药是大量病毒样本的分析工作。面对每年增加十倍的恶意代码样本,一个只有四个核心成员的团队显然无法生产“弹药”。
2012年的今天,问江海客总部会给什么样的支持,江海客说,我只能给你一个支持,那就是允许你无限制地招募人员。
潘回忆说:当时,移动安全市场已经开始显示出它最初的活力。虽然我们起步很早,但人员短缺严重影响了我们产品的效果。我们判断,如果2012年上半年的人数少于35人,我们就不必这么做。
但是扩大团队和招募“恶意代码分析工程师”有多难。安田·颜屋的招聘广告是这样说的。一个月过去了,甚至没有人投票支持我的简历。
武汉没有北上广深那样多的高素质保安人员,而空更加寂寞,潘潇更是凌乱不堪。但是时间不等人,所以他制定了一个计划,把他的工作换成了“安卓安全测试工程师”。用他的话来说,“招募那些有R&D和代码基础但不愿意做第一线代码的人。”在你到达之后,你将接受恶意代码的训练,然后你将直接工作,但是你不能离开它,你必须有50%的淘汰率。这就是我们第一波5-7工程师的到来。当然,现在他们都处于核心水平。
潘陈璇形容他的所作所为是“让系统充满了人”。
在国际知名安全软件评估机构av-test进行的首次移动安全内部评估中,2012年底,安田avl移动反病毒引擎的检测率指数平均领先行业水平10%-15%。这是国内安全厂商首次在世界反病毒领域展示技术压制的效果。潘欣喜地看到,2013年全年,avl移动反病毒引擎在六次反病毒测试评估中三次获得第一名,并以全年第一的平均检测率获得“移动设备最佳防护”奖。在2015年另一家权威测试机构av-c的年度测试中,安田avl移动反病毒引擎也成为上半年唯一一款检测率达到100%的产品。
[潘·陈璇在av-test颁奖现场]
2013年的今天,人机工程学和黑客之间有一个重要的分水岭。
黑客更注重个性和智慧,但对于工程师来说,他们知道直接面对攻击者的不是他们自己,而是产品和后端支持系统。他们必须相信团队合作,并扩展他们在工程系统方面的经验和能力。
2013年,潘面临的问题是恶意代码以几何级数爆发,但移动的人力不能无限增加,必须依靠更强大的工程系统来完成。江海客对这个系统的要求更让人抓狂。“大批量加工和高成本精细加工应该结合起来。为了进一步满足恶意代码对取证可追溯性的要求,我们必须能够找到相关性并找到根本原因。”
潘在实习时,最感兴趣的系统是“病毒自动分析流水线”。他认为这种传统的装配线过于强调自动化,但没有充分整合人类经验,导致对未知恶意代码的判断不尽人意。“人们擅长精细和高质量的单点操作,而机器则适合大规模复制操作。在判断恶意代码的过程中,我必须不断提高机器工作的比重,这样人们的力量才能集中在最重要的位置,同时,两者必须结合起来。”
这件事远比所说的简单。教机器像人类一样在成千上万的选择中做出最佳判断,并不比教大猩猩跳芭蕾更难。算法改变,规则增加和删除,每一次修改都面临倒退的风险。
我们试图在没有任何经验的情况下开发一个系统来对样本进行分类,然后手动分析一些典型的样本。这样,人力可以进一步减少。虽然我们已经开发了这个系统,识别率在97%以上,与人类的识别率相当,但是这个系统需要两个工程师同时维护,只有一个工程师可以用纯手工的方法做同样的事情。所以我们在它上线一个月后就把它下线了。
他已经习惯了这些重复和挫折。回顾今天,有一个数据,可以证明他们的努力是有效的。13年来,移动恶意代码的数量增加了100倍,而安田移动恶意代码分析工程师的数量仅增加了一倍。
[安田移动提供的恶意代码和工程师增长曲线/图片的比较]
人类科学技术的历史可以概括为不断用机器代替人类劳动的过程。反病毒引擎和反病毒手机支持系统的发展似乎也证实了这一点。潘重视机器的力量,但他并不迷信机器的力量。
弗雷德。科恩发表了一篇著名的论文,论述了系统不可能检测所有恶意代码。姜海科说,这篇论文使安全工作者放弃了对反病毒技术不切实际的理论想象,走上了持续对抗的正确道路。
男人永远不能退出这场战斗,因为你的对手也是男人。
不过,潘对并不悲观。他对雷锋的家庭频道说:“目前,我们已经在人和机器之间取得了平衡。”下一步是面对新的问题。只要我们能以较低的人工成本解决新问题,我们就能始终保持在病毒对抗中的优势地位。”
团队。当谷歌推出安卓1.0时,它可能没有预料到这个小屏幕会这么快成为《黑客帝国》的主战场。
潘在研究病毒家族样本时,没有想到avl移动反病毒引擎能这么快为4亿手机用户提供安全保护。
2013年,26岁的潘成为最年轻的合伙人。
2014年,在实施核心团队激励计划后,安田武汉R&D中心重组为安田移动安全公司,成为安田集团化布局中的两大业务单元之一。潘毫无悬念地成为了移动安全公司的首席执行官。
2016年,安田移动安全发布了avlinsight威胁情报平台。设计安田全球威胁情报支持系统的责任也落在了潘陈璇的肩上。
对于未来,安田移动安全元帅说:
反病毒引擎是我们技术的核心。只有一个核心是不够的。我们的使命是应对更广泛的威胁,并在移动和更多新兴场景中为用户解决更多安全问题。