“綠盟君的咖啡時間”作為綠盟科技首個訪談類節目，我們的初衷是藉由訪談的形式，從專業的視角，用淺顯易懂的語言，去挖掘、碰撞出那些未曾曝光但又極具特色的內容。

之前的三期，我們聊了安服中的關鍵先生，聊了烈鷹戰隊，還聊瞭如何安全地擁抱雲。第四期，我們決定把鏡頭轉向綠盟科技的五大實驗室。“對抗”是綠盟科技基因。本期，我們邀請到五大實驗室中最貼近這一根源的伏影實驗室負責人吳鐵軍，從審視威脅的角度，以威脅捕獲為話題，和我們聊聊他們的看家本領。

關於伏影實驗室：

伏影實驗室專注於安全威脅研究與監測技術，包括但不限於威脅識別技術，威脅跟蹤技術，威脅捕獲技術，威脅主體識別技術。研究目標包括：殭屍網路威脅，DDoS對抗，Web對抗，流行服務系統脆弱利用威脅、身份認證威脅，數字資產威脅，黑色產業威脅及新興威脅。透過掌控現網威脅來識別風險，緩解威脅傷害，為威脅對抗提供決策支撐。

拒絕劇透，請直接跳轉到嗶哩嗶哩，一鍵三連後觀看完整影片。

影片BV號：1CT4y1w7qd

提示：結尾有彩蛋~

伏影實驗室大揭秘！

伏影，伏即降伏，影則指網際網路中的暗黑勢力。取意發現、追蹤、對抗網路中瞬息萬變暗黑力量。

直指網際網路黑暗勢力的伏影實驗室，有哪些不為人知的秘密？

秘密1：不只關注攻擊 更關注行為背後的意圖及團伙

吳鐵軍：五大實驗室各有所長，但是伏影比較特殊。它代表著從綠盟科技2000年創立之初到現在，這種對抗內涵的積累、沉澱。而且是和真實的威脅，在賽博空間的包括技戰術以及心理層面的博弈。

賽博空間中，攻擊和威脅都是多變的。如果你依賴檢測、發現 ，無論策略同步的多快，都要做好比威脅慢半拍的準備。在某些情況下，是致命的。如果你還要對抗，要反制，甚至是安全前置，就要搞清楚他們的意圖，背後攻擊團伙擅長的手法和工具、攻擊特點等，才有可能實現。

秘密2：APT捕獲後 難點和價值在於第一時間完整的復原

吳鐵軍：敵已在內，即表示APT往往已經突破了網路邊界的這些防護裝置。它經常隱藏在常規的通訊協議中，使用0day 漏洞進行攻擊，有成體系的社工組織配合進行前期的情報收集，目的明確，長週期的潛伏，最小化的暴露自己，這都是 APT 往往極具隱蔽性的重要原因。

可以說，APT 如果駐留在企業內網中，就是一個定時炸彈。

伏影捕獲到新型威脅後，我們會追蹤並復原整個攻擊鏈，並以知識的形式，輸出到綠盟的模擬平臺。透過模擬靶場，客戶可以更深入瞭解這些真實發生過的攻擊行為，甚至是當前攻擊團伙仍在廣泛使用的高階攻擊手段，結合到日常的對抗演練中，讓包括技術、人和流程的安全體系能力能在近乎實戰中得到驗證。這種真實性不僅是攻擊工具、攻擊活動和攻擊行為的真實性，還包括真實的攻擊心理，那種壓迫感的體驗。

這種快速、具體的真實性，同時也是綠盟科技在威脅情報生產方面的有力保障。

秘密3：重視客戶利益 也重視分享的價值

吳鐵軍：伏影實驗室諸如文章、報告的產出，我們十分注重傳播的時效性，主要有三方面考量。一是本著對客戶負責，讓客戶信賴的原則，第一時間透過各種渠道提醒綠盟的客戶，盡力確保客戶的安全性得到有效保障。二是和攻擊者賽跑，在安全事件大規模發生前，提醒其它安全研究員，互相支援。三是出於維護綠盟科技自身技術品牌的考慮，在威脅發現和應對時效性方面，會有競爭。

網路安全對抗的本質是資訊不對稱情況下的攻防博弈。這種資訊不對稱可以透過共治生態在一定程度彌補。綠盟科技一直在其中積極的做著自己的貢獻。比如說威脅分析報告、安全響應手冊、以及透過綠盟科技技術部落格、技術內刊等渠道發表的技術文章，這種技術給養，已經在潛移默化地影響著全行業的從業者。

秘密4：真實對抗中形成並驗證的伏影之力

吳鐵軍：威脅及其主體的識別、跟蹤和捕獲，是伏影實驗室重要的三個能力。伏影試圖透過識別表象的威脅行為，挖掘深層次的威脅意圖，進而鎖定這些攻擊背後的團伙。掌握這些知識後，才可以談得上對抗和反制，甚至是打擊。

在威脅捕獲方面，伏影的感知節點覆蓋全球30餘個國家和地區。以全埠模擬為基礎，智慧互動服務為輔的混合感知架構，緊跟全球漏洞態勢，構造逼真的誘捕陷阱。目前，已捕獲到的探測攻擊超過億萬次，日攻擊行為近上萬次，高價值鮮活樣本10萬餘。在威脅跟蹤方面，目前已經上百個威脅家族在伏影的監控下，70%在跟蹤過程中接收到過更新指令。其中日攻擊可達4000餘次，攻擊總目標超過5萬。

這樣的伏影，會有人不想參與其中，親身體會這種在賽博空間真實對抗中充斥的激情與挑戰？