漂亮的
一仗

走近世界上一流的安全研究团队

如果一辆车被盗，执法部门会去抓捕盗贼。如果一家银行被抢劫，执法部门会去抓捕劫匪。但如果牵涉到网络犯罪，执法部门相对而言却很少介入。现代网络罪犯很少留下有形的痕迹可供追踪。甚至在其行为明显构成犯罪的情况下，管辖权的问题也较为模糊。因此，打击网络犯罪很大程度上就像拥有超过250人的Talos 团队做的那样，是靠专业的安全研究人员来进行的。

德克萨斯州奥斯汀市的 Talos 外联工程师 Nick Biasini 说：“这是一个沉重的负担，但是我们的团队乐意承担这种责任”。

Nick Biasini 之前是思科的一名客户和竞争对手，最近他搬到奥斯汀市并加入了 Talos。

作为业界一流的威胁情报组织，Talos 每天大约分析 150 万个恶意软件事件，每年可帮助阻止 7.2 万亿次攻击。在马里兰州哥伦比亚市领导着整个 Talos 团队的高级总监 Matt Watchinski说：“我们的很多工作就如同大海捞针。当您有海量的信息数据集时，最难的部分是发现哪些是有趣的、独一无二的或新的数据”。

资深安全研究员 Matt Watchinski 在马里兰州哥伦比亚领导着 Talos 团队。

Talos 研究者都集中在哥伦比亚和奥斯汀以及加利福尼亚州的圣何塞，还包括世界各地的其他较小站点。整个组织分为五个团队。前四个团队分别是威胁情报团队、检测研究团队、引擎开发团队和外联团队。

作为奥斯汀市外联团队的领导人和 Talos 的发言人，Craig Williams 解释道：“威胁情报是所有一切的动力，它能够帮助巩固和理解我们不断收到的数据”。

检测研究团队然后使用这些数据来推动所有的支持安全措施。Williams 解释说：“这个团队包括逆向工程师、恶意软件分析师以及域信誉和垃圾邮件的专家。他们将提取的数据转变成可操作的行动”。

顾名思义，引擎开发团队研发将情报传送到所有的平台的引擎。Williams 继续说：“这些可能是 API、检测威胁的后端引擎或者在现场实际进行检测的部署在平台上的引擎”。

Talos 的第五个团队较为难以捉摸，它被称为漏洞 R&D。它有着完全不同的职责。这些专家寻找所谓的零日漏洞或者尚不为人知的、但可能随时会被攻击者利用的安全问题。零日意味着该安全问题以前从来有人发现过，这就使得其具有更大的危险性，因为还没有任何措施可以阻止它。

Williams 说“这些人会在那些危险分子之前发现新的威胁，并确保我们的产品能够尽快解决这个威胁，由此他们能够帮助我们确保我们所依赖平台的安全。他们还开发新的方法来减轻漏洞的等级，从而有助于保护客户”。

作为 Talos 的发言人，Craig Williams 在德克萨斯州奥斯汀市领导着一个威胁研究员团队。

如果要追溯 Talos 的起源，在很大程度它是由 Sourcefire 的漏洞研究团队 (VRT) 演化而来，该公司是最早专注于网络入侵的公司之一。我们在 2013 年收购了 Sourcefire。Martin Roesch 在 2001 年成立了该公司，他现在是思科副总裁和安全业务组的首席架构师。

作为特拉华州基地的退伍老兵和原 VRT 成员，Talos 威胁情报经理 Joel Esler 说：“原 Sourcefire 公司大多数的的 VRT 员工至今仍与我们一起工作。这是一个聪慧机智、紧密团结的团队，并且具有令人难以置信的敬业精神”。

Sourcefire 加入公司后，Watchinski、Esler 和其余的 VRT 成员联系了 Williams 等思科内部志同道合的安全研究人员，最终组成了 Talos。

团队的名字取自 Talos - 神话里由宙斯创造的青铜人物，他每天绕克里特岛三圈，从而保护岛上的居民。Watchinski 和其他领导人想要创建一个全新的组织，让刚刚相互认识的团队成员在平等的基础上和谐相处。这从团队确定其名称的过程就开始了，每个人都提出了自己建议的团队名称。

各个团队欣然接受新的文化，并将其整合入自己的团队里，从而使组织不断发展壮大，并创造了 1+1 大于 2 的效果。今天，Talos 在全球安全的研究中起着主导作用，这代表着我们日益致力于帮助客户（包括世界其他地区）保护他们的网络。

Biasini 之前是 Sourcefire 和思科的客户，最近加入了 Talos 团队。Biasini 说：“我亲眼见证了他们的发展历程。在过去的几年里，他们在安全领域取得了巨大进步，非常高兴能够看到思科是如何发展并走到现在的”。

成为白帽黑客需要具备哪些条件？

Talos 威胁情报经理 Joel Esler 在 14 岁时就收集二手收音机和电话，目的只是为了把它们拆开。他说：“我想知道它们是如何运行的，并且尝试着看看是否可以把它们再组装回去。有时我会成功。”

他对黑客攻击设备的热情使他六年来在部队里一直专注于电信通讯和安全防护。他通过在部队里学到的领导能力，竞选了特拉华州 Townsend 小镇的镇长并获胜，这里也是他和他的妻子、家人居住的地方。

在 Talos 威胁研究员 Alex Chiu 看来，地方政治和抚养孩子都是非常遥远的事情。他刚刚毕业于德克萨斯大学，作为团队里最年轻的成员之一，Alex Chiu 享受着在奥斯汀市的单身生活，以及那里蓬勃发展的乐坛市场。但是和 Esler 一样，他对探索未知事物很感兴趣。

Alex Chiu 刚刚毕业于德克萨斯大学，他是团队里最年轻的成员之一。

Alex Chiu 说：“我喜欢猜谜语。而网络安全问题和猜谜语并无本质区别。你没有得到拼图的所有碎片，但仍然必须要将它们拼在一起，从而组成一个完整的故事，这很有意思。”

毫不奇怪，Esler 和 Chiu 所拥有的这种黑客思维模式在 Talos 的成员之间是很常见的。

对此，威胁情报分析经理 Matt Olney 表示赞同。他说：“白帽黑客真正需要是好奇的头脑和灵敏的思维过程。”

作为 Talos 为数不多的女性安全研究员（Talos 里的女性数量正逐渐增加），马里兰州基地的数据分析师 Kate Nolan 认为，执着是白帽黑客另一个共同的特点。她说：“我们永远不会忘记那些危险分子总是在设法比我们领先一步。”

Nolan 还认为，不同的背景和专业知识，有助于提高团队的效率。基于数据分析的背景，而不是传统的安全观念，她看待事物的角度与众不同。

“我的同事们一直在寻找一个后门，但我的理念更像是一个开发人员，因此我认为自己就如同恶意软件的制作者，”Nolan 说。“思考一下你会怎样形成一个威胁，而不是如何破解威胁。”

同时，安全研究人员都在与时间赛跑。时间滴答前行，永不停歇。Nolan 承认：“我们真的必须努力工作才能和攻击者至少打个平手。”

尽管压力在身，但 Talos 的离职率非常低（年离职率不到 5%），Talos 亦对此感到自豪。对于 Olney 来说，重要的是一起工作的人们。

他说：“他们是我现在还留在这里的原因。我们来自世界各地，这是一个有趣的工作单位。我们努力工作，我们也尽情玩乐，而其他任何方式都不能使我们如此享受现在的工作。”

在安全研究这个领域，需要众多的人才和不同的个性特征，但如果说 Talos 里每一个人都具有的一个共同特征，那就是在这个存在着作恶者的世界里，他们都决心维护正义。

同样住在马里兰州的 Talos 恶意软件研究经理 Alain Zidouemba 说：“很欣慰的是我们正在改变世界。思科安全解决方案每天监控着世界上三分之一企业的电子邮件流量，我们所做的事情确实关乎到整个互联网的安全。我们对此都非常满足。”

Alain Zidouemba 领导的团队通过逆向工程来破解恶意软件，从而找出它的运行方式和阻止它的最佳方法。

Zidouemba 是偶然进入网络安全领域的。作为布基纳法索外交官的儿子，在 90 年代后期，他和他的家人曾在法国、丹麦、塞内加尔和意大利居住，最后来到美国，在美国他考上大学并获得电气工程学位。

他笑着说：“在大学毕业后，我接到 PestPatrol 公司的招聘电话，但是我告诉他们我不想消灭漏洞。然后他们告诉我他们是一家安全公司。”

Zidouemba 接受了面试并且被安全漏洞事业吸引住了。今天，他领导着 10 个工程师的一个团队并负责对威胁进行反向工程破解，他们还开发新的恶意软件检测软件。

在马里兰州哥伦比亚市领导着整个 Talos 团队的高级总监 Matt Watchinski 认为，当你了解到因为你的工作使得世界变得更加美好的时候，一切努力都是值得的。

Watchinski 说：“每一天我们都把我们的工作做到最佳。无论我们除掉了多少作恶者，我们知道在某个角落里总会出现另外一个。无论我们认为自己多么卓越，总是会有人试图超过我们。”

好奇心。执着精神。多样性。维护世界正义的决心。Talos 的安全研究人员需要具备上述全部条件，因为他们清楚地知道他们的工作永不会停歇。

Talos 外联经理 Craig Williams 总结称：“对我们来说，美好的一天就是我们得知已经把客户保护起来，并且网络攻击者难以开展攻击的那一天。但通过其他任何方式我们都不会看到这一天。”