對於一場戰爭而言，情報戰早在雙方短兵相接之前就已經打響，誰能掌握更多、更精準的情報，往往就掌控了戰場的主動權，有更大的把握贏得勝利，甚至能取得以弱勝強、以少勝多的戰果。在作家麥家的小說《暗算》中，擁有獨特天賦能夠從紛繁複雜的訊號中辨別出敵方電臺、截獲秘密情報的工作者，被稱為“聽風者”。

（電影《聽風者》劇照）

在騰訊，也有這樣一群“雲上聽風者”。他們透過自主研發的情報監測系統和高效的安全運營體系，為騰訊雲的安全源源不斷地提供全面、專業的漏洞情報，與駭客搶奪關鍵的時間視窗，讓安全運維部門有時間做好充分準備以應對隨時可能到來的攻擊。

聰者聽於無聲，明者見於無形

2017年5月12日，利用永恆之藍漏洞傳播的WannaCry蠕蟲勒索病毒爆發，短短几天之內，全球100多個國家和地區，數十萬臺電腦遭到了攻擊，但是騰訊雲上的幾十萬使用者卻鮮有受到感染，疫情在最短時間內得到全面控制。取得這樣的戰果，與騰訊“雲上聽風者”的努力密不可分。

雲鼎實驗室情報團隊便是騰訊“雲上聽風者”之一。

當WannaCry蠕蟲勒索病毒還未出現大規模擴散時，他們便在第一時間監測到了這個病毒的疫情，並針對這一疫情進行快速深入分析，發現該病毒有全網傳播擴散趨勢後，立即啟動情報驅動應急預案，針對騰訊雲上使用者釋出疫情告警，並同步開啟聯動封堵防護機制，阻斷來自外部的蠕蟲利用請求，避免了該病毒在騰訊雲上傳播擴散。這支團隊人數不多，戰鬥力卻極強，他們每天需要處理上千條漏洞情報，每一條都需要準確地辨別出這些情報裡是否隱含危險資訊，因為一旦漏掉任何一條，都有可能對騰訊雲和雲上的使用者造成無法挽回的損失。“大部分情報機器會先過濾一遍”團隊負責人phon解釋說。phon說的機器，是他們開發的一套監測分析系統，目前已經覆蓋了超過300多個情報源，每天會源源不斷地將來自開源社群、官方通告、社交平臺等渠道的漏洞資訊加工後輸送到情報中心，經過演算法篩選後，會根據分級按順序留下需要人工分析的目標情報。經過人工分析後，他們會根據漏洞的威脅程度輸出報告，第一時間對騰訊雲業務團隊和騰訊雲使用者進行預警，並且給出合理的解決方案，通知運維團隊和使用者趕在駭客攻擊之前修復漏洞。

火線預警，守護雲上安全

今年5月份的一個清晨，微軟釋出了遠端桌面服務（RDS）遠端程式碼執行漏洞CVE-2019-0708。駭客可利用該漏洞遠端獲取計算機的控制許可權，存在著極大的安全隱患。

雲鼎實驗室的情報團隊第一時間就收到了情報監測系統推送的漏洞預警，當時正在吃早飯的團隊成員chad，立刻在工作群裡拉響了警報，啟動了應急預案，將情報迅速知會給相關團隊。“RDP埠是一個常用埠，這個漏洞利用不需要使用者互動，如果有駭客利用RDP漏洞植入惡意程式碼發起攻擊，可能再次引發類似2017年WannaCry勒索蠕蟲事件，危害甚至更大。”chad看到警情的第一時間腦海中就給出了初步的判斷。想到騰訊雲上數十萬雲主機將有可能遭受威脅，chad顧不得吃早餐，迅速趕回實驗室對漏洞進行分析，編寫預警文案。10點10分，漏洞預警在騰訊雲官網釋出，為了進一步通知所有騰訊雲使用者，chad他們又透過簡訊、郵件、站內信等方式輪番通知，務必要讓騰訊雲使用者提高警惕。20分鐘之後，騰訊雲安全運營中心對外發布了詳細的漏洞分析報告，併為使用者提供完善的防禦方案和建議。與此同時，騰訊雲業務團隊正在根據情報緊鑼密鼓地對騰訊雲自身的伺服器和產品進行修復和驗證，不到24小時的時間，已經確保了騰訊雲上所有使用者新建立機器不受漏洞影響。

（騰訊雲官網預警）

在此期間，漏洞情報團隊始終保持著高度關注，但由於騰訊雲上的使用者量太大，很難保證所有使用者都看到預警並及時修復。phon和chad預估很快網際網路上將出現惡意漏洞利用工具。幾天之後，不出所料，情報監測系統在GitHub上監測到了一名匿名漏洞研究者的發言，他聲稱將於下週五發布能造成系統崩潰的漏洞利用工具。

（GitHub上的留言截圖）

監測到這一情報，漏洞情報團隊立即釋出風險升級預警，二次提醒使用者開展修復工作，同時聯合雲鏡團隊和電腦管家團隊快速開發一鍵漏洞檢測和一鍵漏洞修復工具，以幫助使用者快速進行查漏補缺。透過這一連串的應急響應與聯動，大大降低了騰訊雲平臺和雲上使用者所面臨的安全風險。

情報戰中的爾虞我詐

像這樣大規模的高危漏洞警情，不是雲鼎實驗室第一次碰上，也不會是最後一次。但正是他們完善的監測、及時的預警才為騰訊雲和雲上使用者防禦駭客的攻擊搶到了寶貴的時間視窗。

在phon看來，雲上安全攻防就是一場沒有硝煙的戰爭，漏洞情報收集彷彿戰爭的前奏，情報越精準、越快速，就越能在攻防中掌握主動權，贏得最終的勝利。而在漏洞情報運營中，騰訊雲最大的優勢就是經驗豐富的安全專家團隊，“漏洞監測系統搭建起來並不難，但是最關鍵的是收集到情報後，要有專業安全團隊去分析和研判，從中提煉出真正有價值的情報。”phon解釋說。因為漏洞監測系統收錄的情報當中經常會有一些以假亂真的“陷阱情報”，一些看似安全的PoC工具和修復補丁，可能暗藏危險。這些情報有如敵方特工釋放的干擾訊號，如何在其中鎖定 “敵方電臺”，鑑別出真實可靠的情報，還需要人工驗證分析。

（某假PoC工具執行後的惡作劇動圖）

這是安全社群上常見的惡作劇，當一些缺乏經驗的工程師看到有人釋出工具時，往往會不經分析直接使用，就會中招。但是，惡作劇往往是善意的提醒，如果遇上一些別有用心的駭客，沒有分析出資源中暗藏的危險，就很可能遭遇惡意的攻擊。而對於雲鼎實驗室來說，早就在多年的實踐中積累了豐富的經驗，練就了該如何應對“情報戰”中的爾虞我詐。雲鼎實驗室情報團隊作為騰訊的“雲上聽風者”之一，他們提供的情報，多次幫助騰訊雲安全團隊在重大危機來襲之前就成功化險為夷，未來他們也將持續戰鬥在雲上攻防第一線，為騰訊雲的安全貢獻“聽風者”的能量。