威斯康星州贝尔维尔——从这里的奶牛养殖场、玉米地和牧马场开车过去，你最终会到达凯特机械及焊接厂，这是吉恩和洛瑞·凯特(Gene and Lori Cate)以及他们的儿子经营的一个小镇家庭企业。46年来，凯茨一家焊接过许多东西：化肥罐、喷气式战斗机的零部件、奶酪模具，甚至还有一位农民的摔坏了的眼镜框。

像许多小企业一样，他们有一台布满灰尘的老旧计算机，在企业办公室里嗡嗡作响地运转着。但是，在这台机器上，一场不同寻常的间谍与反间谍战正在进行着：这台机器已经被中国黑客接管了。

黑客用它来计划和发动攻击。但是，黑客不知道的是，一家硅谷初创公司正在这台机器上跟踪他们，实时观察着他们的一举一动，在某些时候，还实时阻止他们的攻击。

一天下午，吉恩·凯特边吃着匹萨和奶酪凝乳，边说起这件事。“他们第一次告诉我们时，我们说，‘不可能。’”他回忆起第一次听到他家用来管理焊接业务的计算机服务器被秘密地挪为它用时说。“我们都惊呆了，”洛瑞·凯特说。“我们一点也不知道，我们会被当作中国黑客攻击的一个渗入点。”

在最近的一个周四，黑客攻击的目标似乎指向了硅谷的一家食品外送初创公司、曼哈顿一家重要的律师事务所、世界上最大的航空公司之一、美国南部一所著名大学，以及泰国和马来西亚的一些零散目标。《纽约时报》得以看到凯特家服务器上的攻击操作，条件是不报道受攻击目标的名字。

这种操作具有中国黑客团伙C0d0s0小组的特点，该团伙聚集了一批雇来的黑客，计算机安全行业的人跟踪他们已经多年了。几年来，该团伙攻击过银行、律师事务所，以及技术公司，并一度劫持了《福布斯》网站，试图让网站访问者的计算机感染上恶意软件。

有一个既隐晦、但又被大肆炒作的新兴行业，会销售像C0d0s0这样的攻击团伙的情报。直到最近，公司通常采取的一种防御战略是，努力让他们的网络尽可能地不可渗透，以期击败进攻。如今，有所谓的威胁情报提供商，提供攻击黑客的服务。他们跟踪黑客，他们收取可能高达七位数的年费，以试图在攻击发生前，发现和阻止攻击。

这些公司的业绩鱼龙混杂。尽管如此，在多年来发生了经广泛报道的计算机攻击事件后，市场研究公司高德纳(Gartner)预计，威胁情报的市场明年将达到10亿美元的规模，而2013年的市场规模只是2.55亿美元。

值得注意的是，许多攻击依赖于一个错综复杂的受感染的计算机网，其中包括像凯特机械和焊接这样的家庭企业的服务器。黑客对凯特家的数据并不关心。相反，他们把凯特家的、以及其他类似的服务器转换为他们发动攻击的平台。

这些服务器为黑客提供了最佳的掩护。它们往往没有很好的安全保护，服务器的拥有者也很难发现他们的计算机已成为间谍和数字化小偷的中转站。而且，谁会怀疑凯特家的人呢？

两年前，几名男子来到凯特家，告诉他们，他们的服务器已成为中国间谍的中转站。凯特家人问：“你们是从国家安全局（简称NSA）来的吗？”

实际上，这些男子中有一人，在加入初创公司“一区”(Area 1)的很多年前，曾在国家安全局工作。一区专门跟踪针对企业的数字攻击，首席安全官布雷克·达尔谢(Blake Darché)提到自己的NSA背景时说，“就像是当牧师。在其他人的心目中，你永远不会完全离开那个行业。”

达尔谢想把凯特家的服务器，添加到一区的一个由50台已被黑客利用的其他计算机所组成的网络中来。一区监视着出入于这些计算机上的活动，从而深入了解攻击者的方法、工具和他们的目标网站，以便在黑客攻击公司客户的网络时进行阻止，或在攻击发生前的数日、数周、甚至数月，让客户得到有关情报。

凯特家为此召开了一次家庭会议。“人家花大力气制造产品，而产品却在被盗取，”洛瑞·凯特说。“这似乎是我们至少可以做的事情。”一区支付了大约150美元的安装费用。

凯特家的计算机上安装了一个探测设备后不久，达尔谢说，他的预感被证实了：探测设备上亮起了攻击的信号。一区开始从中看到了一个熟悉对手的模式，这个对手就是C0d0s0小组。

一区是由三名前NSA分析师达尔谢、奥伦·弗克沃兹(Oren Falkowitz)和菲尔·赛姆(Phil Syme)创办的。三人曾并肩在米德堡跟踪对手的武器系统，获取情报，有时还会进行渗透。两年多之前，他们决定创办自己的公司，并从硅谷的知名风投和安全领域创业者那里筹集到2550万美元的资金，投资者包括凯鹏华盈(Kleiner Perkins Caufield& Byers)、RedSeal首席执行官雷·罗思罗克(Ray Rothrock)和Shape Security首席执行官德里克·史密斯(Derek Smith)这样的安全专家。

一区涉足的“威胁情报”领域是安全业务中的一个新分支，iSight Partners和Recorded Future等公司都属于这个领域，它们在地下网络论坛和社交媒体追踪攻击者，收集关于他们的情报。

“威胁情报”仍然更多的是一门艺术而非科学。企业是否有能力利用这些情报来阻挠黑客尚有待商榷。一区声称，它可以通过自己在追踪的那些已经被攻破的服务器来拦截攻击。它还可以利用自己的有利位置来观察攻击者有没有在网上做黑客生意，以及他们打算如何攻击下一批受害者。

一区的几个客户证实，他们的技术确实有助于阻止攻击者。一名客户是大型医疗保健提供商，其首席信息安全官称，医疗保健行业近年来饱受数字罪犯和政府的攻击。为了避免招惹更多攻击，他希望不要披露公司的名字。

他称赞一区的传感器有助于拦阻他的网络遭受的几次攻击，帮助他的公司避免了和去年被中国黑客攻破的医疗保险公司安森(Anthem)同样的厄运。现在遭受攻击的医院越来越多，它们不得不支付赎金，赎回重要信息。

Shape Security首席执行官史密斯说，一区在自己公司三次遭到攻击之前都发出了警告，让他们有了阻止攻击的时间。史密斯说，这给他留下了深刻印象，所以他向一区投资了一小笔钱。

“很多小本经营的企业对这种攻击很矛盾，因为攻击不会直接影响他们的业务和收入，”他说。“同时，他们又在不知情的情况下操作了这种攻击的基础设施。”

但是，一区的业务模式可能会带来道德困境。如果它发现知名公司和政府机构会遭到攻击，但它们又不是一区的客户，它会怎么做？

“我们把自己看成是保镖，而不是到跑来跑去告诉大家他们是受害者的警察，”一区的首席执行官弗克沃兹说。“我们做的是先发制人的买卖。”

他说他们确实向一些受害者发出过警告。例如，他们向一家律师事务所、一家制造商、一家金融服务公司和电子公司通风报信过，这些攻击都是通过凯特家的服务器进行的，他们看到C0d0s0黑客偷走了它们的知识产权。其中部分受害者后来成为了一区的客户，比如那家律师事务所，

并非所有的公司都听从了警告。去年就有一个受害者没有根据一区的警告采取相应的行动。该公司的一名安全顾问说，由于担心被网络黑客攻破的丑闻会危及其近期的收购，公司没有采取任何行动。根据保密协议，这名顾问不愿具名。他们觉得，公司专有技术落入中国黑客手中的消息，可能会引起收购方的顾虑。

一区的总部位于加州雷德伍德城一座历史悠久的建筑内，公司墙上帖着一张清单，罗列了“45种比网络安全更难的事物”。其中包括飞行、太阳能发电、流感疫苗、脑外科手术、互联网、心脏移植、摩天大楼、膳魔师(Thermos)和Q-tip棉签。

人们日益担心要阻止网络攻击太困难，或者根本就是不可能，弗克沃兹不同意这种看法。攻击者已经变得越来越老练，很多安全公司已经不再相信自己可以使用杀毒软件等传统防御方式来阻止攻击。很多人转而把重心放在试图“实时”侦测入侵上，在黑客窃取太多数据之前就抓住他们。

在追踪泄露数据的威瑞森(Verizon)表示，80%的时候，只有当执法人员或其他人向受害者展示了证据之后，受害者才知道自己已经遭到入侵，数据被人盗取了。

在NSA，弗克沃兹曾参与过一个侦测朝鲜导弹发射的团队。早期很多工作都是用卫星来寻找出现热量瞬时猛增的区域。

最终，弗克沃兹的团队尝试了一种更主动的做法。如果他们能入侵控制导弹发射系统的计算机，他们就可以收集到发射时间表。一区现在也采取了类似的方法来对待数字攻击：对攻击者的跳板加以利用，而不是等着他们来攻击。

黑客的攻击方式不是按下一个大大的红色“攻击”按钮。他们要先展开侦察，在LinkedIn上监视企业雇员，撰写精心措辞的电邮，诱骗不知情的员工打开它们，点击可以用来发动恶意攻击的链接或电邮附件。

一旦有员工点击了这些链接或附件——安全公司趋势科技(Trend Micro)的资料显示，91%的攻击都是以这种方式开始的——他们就会花些时间在受害者的网络上抓取数据，找到有价值的东西。然后，他们会从公司网络偷走那些数据。这个过程可能需要数周、数月，甚至数年时间，会留下数字足印。

一区对这样的活动进行监测，然后与Blue Coat这样的网络安全公司合作，在安全软件中加入其了解到的信息，以便在攻击发生时进行抵御。

凯特机械及焊接厂的老板说，在自己的办公室里和中国黑客共处是一种很奇怪的感觉。近日，一区的高管参观了这家小厂，向他们出示了一些检测他们计算机获得的资料。这个C0d0s0小组使用他们的服务器窃取了一家律师事务所对一起即将发生的收购案进行的尽职调查，一家金融服务公司的机密交易计划，一家移动支付初创公司的专有源码，一家抵押贷款公司的蓝图和贷款申请。

听到这些，凯特表达了他的自豪之情——也许甚至有点幸灾乐祸。多年来，他家赖以谋生的焊接业务一直在迁往中国。现在，他的家人要帮助美国企业进行反击。

“我们希望为这些公司，为我们的国家做正确的事情，”凯特说。