企業動態

    “其實做應急響應和散打很像。”聊起自己一直在做的應急響應工作，張永印想起了自己練習散打多年的經驗，大部分人認為散打的出招似乎無章法可循，但他說，雖然散打不講究花式和好看，但其實綜合了各個流派的打法，講求克敵制勝為主，很接地氣。”

    其實張永印說得不錯，在勒索發生得越來越頻繁的今天，作為集團安全服務應急響應負責人，他每天都在解決五花八門的應急響應事件。而奇安信的冬奧網絡安全應急響應95015公共服務平臺遍布全國30多個省份，7X24小時待命，每年處理事件千余起。若無章法可言，恐怕是一盤散沙，但若團隊協作順暢，合力出拳，則是無往而不勝的。

    開拓建制，克敵制勝，張永印和團隊與勒索的“對抗”得心應手。

    興趣指引，與“勒索”過招

    “我真的是喜歡技術，也喜歡搞事兒。”張永印提起自己最開始接觸攻防，是在上高中的時候。兩千年初，QQ作為新時代的聊天軟件一下子火爆了起來，一直擁有好奇心的張永印也不例外，注冊了QQ號，每天出入聊天室，探索互聯網這個新世界。

    然而沒過多久，QQ號突然登錄不上去，一研究才知道，原來號碼還會被盜取。天生不服輸的他開始自己研究起來，每天泡在論壇看帖子、研究攻防，甚至后來自己錄制視頻傳到網上，收“學生”，認識了一幫圈內的“黑客”朋友，也就此入了門。

    這樣一段經歷，對張永印有很深的影響。甚至到后來入行，入職奇安信很久，張永印都走在了研究技術、開拓創新的路上。

    2018年，我國H城市的海關和高法行業陸續遭遇了勒索攻擊，彼時，張永印剛剛接手應急響應團隊。

    說起在奇安信這幾年，張永印前后負責過十幾個業務，“孵化”了不少事兒——

    2017年和同事玉山一起打造了一款工具，這也成為了后來應急響應工具箱的雛形；2017年中接手大客戶的態勢感知項目，結束后把態勢感知運營方案規劃出來；2017年到2018年，他負責安全運營團隊，隨之搭建起來一個二百多人的團隊。

    2018年的這兩件勒索事件，H市海關的事件發展很快，而高法行業的事件則是潛伏時間久、影響廣。

    安服在8月13日12時13分接到H市海關的應急需求，當時已知有十幾臺服務器被感染。應急團隊在13時30分到達客戶現場后，已知被感染服務器就達到29臺，翻了一倍。

    “就像散打，應急響應工作爭分奪秒，對手出招都是出其不意的，這也是為什么我們95015應急響應熱線都是7X24小時服務的原因。”經溯源調查發現，黑客首先攻擊并控制了一臺與X城保稅區有關聯的供應商服務器，隨之借由此為跳板分別控制了X城保稅區和H城海關的兩臺服務器，緊接著再利用此為跳板暴力破解了H城海關其他的內網服務器，并投放運行勒索病毒GandCrab，對服務器文件進行了加密操作。

    在了解情況后，團隊開始進行相應的應急處置，在事件發現后第三天的凌晨3:55分，業務全部恢復上線，并在9:30分客戶上班后進行了匯報。兩天半時間內，張永印與團隊共計7人，解決了H城海關的勒索事件。

    緊接著在9月，高法行業勒索事件爆發，應急響應團隊快速出動，共計為20多家客戶單位進行取證溯源，最終發現受感染數量幾十臺。與上次不同的是，這一次最主要的勒索病毒是GlobeImposter，而這兩個病毒，正是2018年勒索病毒活躍榜前兩名。

    也正是在這一年，勒索病毒在經過爆發式增長，奇安信接收到的大中型政企機構應急響應服務數量從2017年的199件陡增到了2018年的717件，翻了接近3.5倍，而整個勒索也呈現了產業化、鏈條化的特征。

    雖然兩件事情解決得快速且順利，但觀察著越來越多勒索事件密集發生，張永印心里對應急響應的工作，也有了更多的想法和要求。

    一年建體系，快速提升效率

    最有效的防守，就是進攻。在散打中，張永印是一個喜歡進攻的人，而在面對勒索的攻防對抗中，防守是最重要的一環。而這一環如何守住，要靠緊密的團隊合作和先進的團隊機制。

    在2018年的兩次大規模應急事件處理后，張永印和團隊進行了一個全面的復盤，“開總結會的時候，吳總給我提了要求——把應急響應系統IT化，拉通各個環節，提高效率，讓資源有效地利用起來。”

    說起“搞事情”，張永印來了興致，擼起袖子，便投入進了對應急響應進行體系化規劃與建設的工作中。

    從2018年開始對應急響應體系進行規劃，到2019年BCS大會應急響應體系正式上線，張永印和團隊用了一年的時間。他們首創的網絡安全“120”應急響應全流程服務模式，國內唯一、國外未見。

    應急響應服務模式中包含了機制與平臺。應急響應機制，對整個應急響應的處理流程進行了整體的、體系化的規劃，而應急響應平臺通過“指揮中心-調度平臺-應急資源”的三級體系對資源進行整體的規劃和調度。

    “之前十幾個項目的經驗很有用，應急響應工具箱就是安服從之前的一個項目之中孵化出來的。”張永印的團隊在集團的指揮調度中心負責調度全國的應急資源，其中就包括了應急響應人員，和這款應急響應工具箱。

    “好馬配好鞍，當我們的人沖到前線，這款能夠覆蓋多場景的應急響應工具箱融合了多場景溯源分析能力等一系列功能，為應急處置的現場解決了不少難題。”

    好的體系搭建起來，效率提升自然就是快速的。

    從2020年1月1日到2021年11月30日，奇安信應急響應平臺共處置了全國應急事件1640起，平均每單處置耗時7.19小時，比2019年平均每單減少3小時，平均處置時間減少30%。其中“外賣式”、“可跟蹤”、“可評價”的服務體系，讓整個工作形成了閉環。

    由于高危漏洞數量的逐年上升，雖然張永印團隊在應急響應處置上面的耗時逐漸減少，但待處置的需求卻在上升。

    張永印心里知道，是時候再整點“事兒”了。

    兩個創新，再上一個臺階

    “勒索只是惡意行為的其中一種呈現形式，而很多有潛在危害的攻擊行為也一直存在于發生勒索行為之前。為了更好地防守，往往研究如何有規劃的前期準備，也是‘進攻’。儲備足夠的人才就是一種準備。”張永印不想只是“應急”，更想要有充分準備地“制動”。

    在奇安信集團拿下了北京冬奧的保障工作之后，張永印的應急響應團隊也需要打造一套配合冬奧的全新的應急響應體系。同時，隨著勒索事件的快速增多，應急響應需求增加，對專業人才的需求也增加了不少——于是，應急響應聯盟應運而生。

    “其實聯盟在做的事情我們很早就在做了，不過成立了聯盟，一是為了更好地將專業人員資源合理調配進行平臺化、體系化的建設，二是我們的培訓機制可以真正地培養出來更多的人才。對抗勒索，組織、機制很重要，人才也同樣重要。尤其是冬奧期間，專業的應急響應人才是稀缺的。”

    是的，冬奧的應急響應95015公共服務平臺也是張永印和團隊落地執行的。平臺在延續了以往的三體系外，95015作為全國第一個網絡安全行業服務短號，于2022年1月20日正式開通，成為了北京冬奧會網絡安全保障指定號碼。

    在冬奧期間，平臺為全國政企機構提供7X24小時服務的同時，規模覆蓋了全國31個省市、2個特別行政區，有2000多名具備攻防能力的應急響應工程師，和100多名資深安全專家，7X24小時隨時待命，2小時內可到達現場處置。而這其中，都少不了足夠的專業人員儲備。

    “為了應對冬奧，2021年4月，中國電子應急響應中心正式掛牌成立了。而將應急響應聯盟真正一次拉入大規模實戰的，就是冬奧成立的‘冬奧央企網絡安全救援隊’。”在冬奧會期間，由國資委指導、中國電子集團牽頭，聯合中國電信、中國移動、中國聯通、國家能源、國家電網等30家中央企業組成的幾百人的救援隊，為冬奧的應急響應貢獻了不少的力量，而這也都得益于聯盟成立后的整體機制設立和培訓成果。

    2022年1月23日到2月27日冬奧保障期間，救援隊共參與和處置了全國范圍內70多起網絡安全應急響應事件，全國19個省份。其實事后經統計發現，攻擊者針對的大中型政企機構的攻擊意圖排名第一的就是勒索，35.1%遭受到了勒索病毒的攻擊。

    經過三年多的發展，目前應急響應聯盟已覆蓋全國20個省份，聯盟成員單位62家，目前擁有100位資深安全專家。

    經過冬奧實戰，應急響應95015公共服務平臺經過了打磨后更加成熟，應急響應聯盟也由此上了一個臺階。

    閑不住，心里有一團搞“事兒”的火

    “我是真的喜歡工作，能在一個靠譜的公司，和靠譜的團隊，做一些有意義且正確的事，我很滿足。雖然應急響應工作有時是累的，但我也閑不住，成長更讓我興奮。”

    近年來，政企機構面臨的網絡安全威脅越來越多，高危漏洞的數量也在逐年上升，看來張永印是“閑”不下來的。

    根據CNCERT對CNVD收錄的安全漏洞數量分析顯示，近幾年安全漏洞數量呈逐年上升趨勢，自2016年以來，年均增長率達17.6%。通過奇安信應急響應服務次數進行對比也印證了這一點，17年至今應急響應次數，也呈逐年上升趨勢。截止到今年8月份，應急響應團隊共處置政企機構網絡安全應急響應事件四千余起，累計投入工時40000多個小時，為全國超過兩千家政企機構解決了網絡安全問題。

    “這都過去了，是團隊合作的成果，我們要看以后。”說起團隊，張永印表示自己很喜歡和大家沒事兒“杠一杠”。

    別看張永印在私下是一個隨和的東北人，說話風趣幽默，但工作中卻是實打實地“較真”：“做應急的都是實在人，處置事件也都是和勒索病毒、黑產‘真刀真槍’地拼，平時多和同事杠一杠，一來一去之間，也許一個新方法就杠出來了。大家也了解我的脾氣，都是為了工作。”

    提起未來對于對抗勒索和應急響應的工作，張永印想要做的更多，“其實現在看起來形勢嚴峻，但還是有很多客戶沒有真正對網絡安全上心。勒索團伙的投資回報比很高，他們一刻不停手，我們就要一直跟他們‘打’下去。”要說之前在公司經手的十幾個項目，負責應急響應是張永印做得最久的一項，可能也正符合了他的性格，一刻都“閑”不下來，每一刻都在“戰斗”，一直都在創新。

    “按照目前的數據來看，今年的應急事件數量一定會超過去年。我們經受過的事件也都越來越復雜、越來越緊急。我們也根據客戶特征、客戶需求對處理方案做了全面升級。”提起要做的事，張永印已經給自己定好了KPI，“升級應急響應處理方案的這件事兒已經在做了，今年即將到來的重要保障工作我們也在陸續籌備和推進過程中，另外應急響應聯盟也要繼續發展壯大，未來聯盟的人員數量是一定會持續增加的……”

    對于張永印來說，似乎真的很難讓他“閑”下來。

    有想法、正能量、接地氣，最主要的是有追求，心里有一團求勝的火。

    可能應急響應這種不斷追求如何能“打敗對手”的工作性質，讓他想起了以前在散打比賽中的感覺，又或是讓他回憶起當初坐在電腦前錄制攻防視頻的少年時光。他內心始終存著一股力量，讓他樂于了解“對手”，樂于挑戰不可能。

    與勒索的對抗可能是不停歇的，應急響應工作可能是夜以繼日的，也許讓他心里那團求勝的“火”不斷燃燒的，是散打擂臺上的另一個人、是電腦另一端的黑產，也可能是張永印心里的另一個跟他說“不可能”的聲音。

    但張永印不相信“不可能”。