揭秘谷歌网络安全团队

本期关键词：谷歌 安全团队 黑客

2021年10月，谷歌发布声明称，将成立新的网络安全行动小组（Cybersecurity Action Team），并表示该团队主要由谷歌内部选拔的专家组成，将“肩负支持政府、关键基础设施、企业和小型企业的安全和数字化转型的独特使命”。为了实现这一使命，该团队将主要在四个关键领域提供服务：战略咨询、信任与合规、安全服务和解决方案、威胁情报和事件响应。谷歌云（Google Cloud）副总裁兼首席信息安全官兼谷歌网络安全行动团队创始人菲尔维纳布尔斯表示：“客户需要统一的方法来准备和防御网络安全威胁。”

谷歌新团队的主要目标是指导客户度过安全转型周期，包括创建路线图、提高网络弹性准备和针对不断变化的情况设计新的解决方案。其工作之一是根据客户的安全策略向客户提供建议，包括开展培训和举办转型研讨会。谷歌表示：“该职能将就客户数字安全转型的结构向其提供建议，并提供项目管理和专业服务支持。”该团队的另一个职能将是通过信任和合规服务来简化客户的“合规之旅”，这些服务将谷歌的全球合规认证体现到行业控制框架中。该团队还将参与提供威胁简报、准备演习、事件支持和快速响应等活动。

前美国中央情报局网络威胁分析师和技术情报官、现任KnowBe4（全球最大的安全意识培训和模拟钓鱼攻击的综合平台）高级副总裁瑞萨·斯莫斯认为，新谷歌团队的组建将有助于应对勒索软件日益严重的威胁。斯莫尔斯称：“鉴于美国国家安全局局长中曾根康弘最近表示，‘在未来5年内我们将每天都会看到勒索软件攻击’，这个团队可以起到堡垒作用，作为公司整体防御纵深战略的一部分来对抗威胁参与者。她补充说：“对于使用谷歌云的公司来说，这是一个绝佳的机会。任何公司都非常重视他们的安全。”

图片来源于网络

实力雄厚的安全团队

谷歌长期以来一直拥有实力雄厚的安全团队，其中最著名的包括有黑客“梦之队”之称的“Project Zero”团队和威胁分析小组“Threat Analysis Group”。

Project Zero

2014年，谷歌首次正式对外公布了该公司互联网安全团队“Project Zero”的主要情况。该团队主要由谷歌内部顶尖安全工程师组成，他们的主要任务是发现、跟踪和修补全球性的软件安全漏洞，并且他们所处理的安全漏洞通常都属于“零日漏洞”，网络黑客或者有政府背景的黑客团队通常会利用这些漏洞展开网络监听等操作。谷歌表示，“Project Zero”团队并不仅限于在谷歌自有的产品中寻找系统安全漏洞，他们也会在其他任何软件产品上寻找漏洞。在发现了某个漏洞后，该团队会对其进行曝光，并通过这种方式来鼓励相关公司与谷歌联手对付黑客。

“Project Zero”可以说是阵容豪华的黑客“梦之队”。其核心班底包括曾在2013年发现存在于Adobe Flash及微软Office中大量漏洞的新西兰人本·霍克斯（Ben Hawkes）、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪（Tavis Ormandy）、成功破解谷歌Chrome操作系统的乔治·霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特·伊恩·贝尔（Brit Ian Beer）等著名黑客，而该团队负责人是Chrome前任安全总监克里斯·埃文斯（Chris Evans）。该团队共有10名以上的全职互联网安全研究人员，他们大多数都可以不在谷歌总部办公室办公。谷歌为安全团队成员提供极大的自由，让他们可以几乎不受限制地研究安全难题。他们可以使用专业的漏洞查找工具对目标软件进行扫描，从而发现有可能包含漏洞的系统和软件设计。

在找到漏洞后，该团队首先会对该软件的开发商发出警告，然后给对方60至90天的时间来修补漏洞，之后谷歌便会在“Project Zero”的官方博客上公布这一漏洞。谷歌表示，为了避免这些漏洞被黑客利用，谷歌通常会向软件开发商施压，并催促其尽量在7天时间内对漏洞进行修复。包括微软和苹果在内的很多公司，都有自己的内部安全研究团队来对自家的软件进行安全核查，但却少有团队能够关注其他公司的软件是否存在安全问题。这也正是谷歌Project Zero团队与众不同的原因。

谷歌表示希望通过组建该安全团队把互联网变得更加安全，并希望可以通过提供更加自由的工作条件来吸引更多顶级安全人才加入公司。谷歌高层称“只要我们能够增强用户对于互联网的信心，那么谷歌也将通过非直接的方式获益”。因为谷歌始终认为，一个更加安全和愉悦的互联网使用环境会促使更多用户放心地点击广告，从而使谷歌受益。

同时，Project Zero团队也同谷歌近年来的发展策略相当吻合。在“斯诺登事件”曝光后，谷歌已经加强了自己的反监控策略，因为斯诺登曾披露称美国国家安全局在暗中监视谷歌用户信息，之后谷歌便对相关链接进行了加密。其时谷歌还通过在Chrome浏览器中内置插件的方式为用户的电子邮件进行了加密，并且公布了一份有关电邮服务商是否同意采用这一加密措施的清单。美国安全技术专家克里斯·索霍安(Chris Soghoian)表示，谷歌大力建设自己的“Project Zero”团队是因为谷歌安全团队对于政府监控行为一直非常不满，他们希望能够对此有所回应。

“Project Zero”团队能否完全消除互联网的安全隐患目前我们还不得而知。但团队成员之一的本·霍克斯表示，“Project Zero”团队其实并不需要亲自处理每一个零日漏洞，而是会根据漏洞的影响范围来有选择的进行介入。这主要是因为如今黑客所利用的安全漏洞通常都不是独立存在的，而是需要配合其他一系列漏洞才能成功攻克计算机的自身防线。所以，“Project Zero”通常只需要封堵其中一个漏洞便可以使黑客的整个入侵计划失效。

图片来源于谷歌云

Threat Analysis Group

谷歌Threat Analysis Group（TAG）团队已经有十几年历史，其与谷歌内部的安全团队以及其他科技公司和执法部门开展协作。该团队的日常工作涉及检测和击败网络威胁，并向目标用户和客户做出安全警示，其业务涵盖Gmail、谷歌云和YouTube等谷歌全系列产品。

Threat Analysis Group团队日常会跟踪来自50多个国家和地区的270多个威胁目标或政府支持的黑客组织。这些组织的行动目标包括情报收集、窃取知识产权、针对持不同政见者和活动家、破坏性网络攻击或传播虚假信息等等。Threat Analysis Group团队使用收集到的情报来保护谷歌基础架构以及受到恶意软件或网络钓鱼攻击的用户。

2021年12月7日，Threat Analysis Group团队破坏了针对Windows计算机的多组件僵尸网络Glupteba。Glupteba是一个复杂的僵尸网络，它主要针对Windows开展攻击并使用区块链技术保护自己。之前Threat Analysis Group对Glupteba的恶意活动进行了长期检测和跟踪，确定 Glupteba僵尸网络涉及全球大约100万台受感染的Windows 设备，受感染设备有时甚至以每天数千台的速度增长。Glupteba因窃取用户的凭据和数据、在受感染的主机上挖掘加密货币以及设置代理以通过受感染的机器和路由器汇集其他人的互联网流量而臭名昭著。Threat Analysis Group与业内人士协作采取技术行动。破坏了Glupteba的关键命令和基础设施，使得Glupteba的幕后操作者无法再控制他们的僵尸网络。

自2021年初以来，Threat Analysis Group已向客户发送了大约5万次有关国家支持的网络钓鱼或恶意软件的警报，

这些警告比2020年增加了33%。

图片来源于网络

再强大的团队也会“误伤友军”

2021年3月，Project Zero和Threat Analysis Group团队意外地发现了一个神秘目标：一个黑客组织利用11个强大的漏洞来攻击运行iOS、Android和Windows的设备。

这个发现在谷歌内部掀起轩然大波，因为此前有消息称该黑客组织是为美国及其盟友工作的。《麻省理工科技评论（MIT Technology Review）》称，该黑客组织实际上是正在开展反恐行动的西方政府特工。谷歌选择破坏该攻击并将其公之于众的决定在公司内部引起争议，也引发了美国及其盟友情报部门的质疑。

谷歌在其博客文章中称，这种攻击始于2020年初，使用了一种被称为“水坑”攻击的新技术，利用受感染的网站向访问者发送恶意软件。该攻击的规模、复杂性和速度引起了网络安全专家的注意。不过，谷歌的声明明显忽略了一些关键细节，包括谁应该为这次黑客攻击负责，谁是攻击目标，以及相关恶意软件或行动中使用的域名等重要技术信息。

这并不是西方网络安全团队第一次“误伤”盟国黑客。但是，如果安全团队和黑客所属国家“交情深厚”，例如都是“五眼”情报联盟的成员，则一些公司会选择不公开披露此类黑客行为。谷歌安全团队的几名成员曾是西方情报机构的资深成员，部分人为这些政府开展过黑客活动。在某些情况下，安全团队会清理他们发现的盟友国家的恶意软件，但不会将其公开。

前五角大楼官员萨沙·罗曼诺斯基 (Sasha Romanosky) 在其最近发表的针对私营部门网络安全的调查报告中称，这些网络安全团队“通常不会将美国的行动归因于美国”。

（参考来源：国内外安全网站）