在Techo前沿技術(shù)論壇上,騰訊安全玄武實驗室負(fù)責(zé)人于旸帶來了題為《知患于未然,防患于將然》的主題分享。于旸認(rèn)為,解決安全問題很多時候需要多點能力同時起作用,因此玄武一直主張要建設(shè)包括軟件靜態(tài)自動化分析、基于虛擬化的動態(tài)自動化分析能力以及包括網(wǎng)絡(luò)實戰(zhàn)攻防能力、供應(yīng)鏈大數(shù)據(jù)安全能力等在內(nèi)的全棧安全能力,并將這些能力輸出給安全產(chǎn)品,為產(chǎn)品提供賦能。基于這個思路,玄武實驗室做了很多產(chǎn)研結(jié)合的嘗試,例如,將實驗室在內(nèi)網(wǎng)滲透的知識和技能的積累輸出給騰訊安全SOC+產(chǎn)品,顯著增強了其在域滲透防御場景和Java反序列化場景的安全能力。
同時于旸也認(rèn)為,“防患于未然”雖然很理想,但其實施成本過高,而“知患于未然,防患于將然”或許是平衡業(yè)務(wù)發(fā)展效率和安全的更好的思路。通過對安全威脅的充分感知和了解,在可能的攻擊面和攻擊渠道上預(yù)先布點,可以實現(xiàn)在平常的時候不干擾業(yè)務(wù),但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時候,又可以快速地去啟動安全防御措施。
以下是實錄全文。
我是騰訊安全玄武實驗室的于旸,今天給大家分享的主題叫《知患于未然,防患于將然》。在這里和大家分享我們玄武實驗室,基于知識驅(qū)動的安全實踐。
首先向大家介紹一下玄武實驗室。玄武實驗室是2014年成立,從成立之初一直在貫徹一個理念:要構(gòu)建全棧的復(fù)合安全能力。基于這樣一個能力,對內(nèi)支持公司的業(yè)務(wù),對外服務(wù)社會和行業(yè)的需求。
我們認(rèn)為安全是一項非常特殊的能力,安全能力是由多個點組成的。在解決很多問題的時候,往往這一個問題是需要多點能力去同時起作用。只是一個點上的能力,哪怕再強,在面對很多復(fù)雜的安全問題的時候,也會覺得很笨拙。這就是為什么我們一直在主張,要建設(shè)一個全棧的安全能力。基于這樣一個全棧安全能力,我們打造了多種不同的業(yè)務(wù)的安全能力,包括軟件的靜態(tài)自動化分析,還有基于虛擬化的動態(tài)自動化分析能力,也包括網(wǎng)絡(luò)實戰(zhàn)攻防能力、包括供應(yīng)鏈大數(shù)據(jù)安全能力等。在這一層的業(yè)務(wù)安全能力之上,對公司內(nèi)部的各種重要的業(yè)務(wù),又進(jìn)行了安全能力的輸出。包括公司內(nèi)部各項產(chǎn)品的安全檢測需求,也包括公司對外的網(wǎng)絡(luò)安全產(chǎn)品的防御能力的增強。
同時我們還和公司內(nèi)部不同的業(yè)務(wù)部門,聯(lián)合開發(fā)了包括智能合約安全檢測系統(tǒng),移動應(yīng)用的隱私合規(guī)檢測系統(tǒng)等。公司的青少年守護(hù)和反黑產(chǎn)相關(guān)的業(yè)務(wù),其中也有我們實驗室能力在里面。這個地方講的是我們對公司內(nèi)部的一些業(yè)務(wù)的支持,接下來跟大家簡單介紹一下對公司外部,也就是行業(yè)和社會的一些安全能力的輸出。
我們實驗室從2014年成立之后,經(jīng)歷了幾個不同的發(fā)展階段。但是無論在哪個發(fā)展階段,我們始終堅持有一部分的精力,去從事面向外部、面向行業(yè)、面向社會的安全研究。在實驗室8年的歷史當(dāng)中,我們發(fā)現(xiàn)了上千個外部的安全問題,通過向行業(yè)、向社會對這些安全問題進(jìn)行通報進(jìn)行分享,以及幫助行業(yè)去解決和修復(fù)這些安全問題,我們也收獲了在行業(yè)里面的一些很好的效果。接下來選取三個比較典型的例子和大家分享一下,過去幾年中對外輸出的一些安全研究。
在2015年玄武實驗室發(fā)現(xiàn)了一種非常特殊的安全問題,這個安全問題影響全世界幾乎所有的條碼閱讀器廠商的大部分安全產(chǎn)品。據(jù)統(tǒng)計大概超過80%的條碼閱讀器產(chǎn)品,無論是掃一維條碼的,還是掃二維條碼的產(chǎn)品,全部都受影響。
利用安全問題,攻擊者甚至只需要通過掃描一個條碼就可以實現(xiàn)入侵條碼閱讀器所連接的系統(tǒng)。在更極端的情況下,甚至可以通過發(fā)射一束激光,就可以入侵在很遠(yuǎn)地方的條碼閱讀器所連接的系統(tǒng)。由于條碼閱讀器是一個應(yīng)用非常廣泛的設(shè)備,不只是在掃碼支付這樣一個場景下,實際上在醫(yī)療制造交通物流等等,非常多的場景下都會得到應(yīng)用。所以安全問題實際上影響非常廣泛。
從2016年開始玄武實驗室和微信支付合作,對國內(nèi)的主流掃碼器廠商的大部分產(chǎn)品都進(jìn)行了檢測,并且?guī)椭@些廠商進(jìn)行安全的修復(fù)。更重要的是幫助這些廠商認(rèn)識了掃碼器其實也是會存在安全問題的,而且會很嚴(yán)重,幫助他們理解了這樣一點,所以確實是花了不少時間,但是也很自豪,我們幫助中國的掃碼器行業(yè),大大的提高了整個行業(yè)的安全水平。
還有一個案例,是發(fā)生在2017年的年底。在這個時候正好是手機行業(yè)剛剛引入屏下指紋識別技術(shù),在這個時候我們對屏下指紋識別技術(shù)這樣一個新技術(shù)做了研究。我們發(fā)現(xiàn)這個技術(shù)實際上它存在一個非常嚴(yán)重的安全缺陷。攻擊者僅僅只需要一片塑料,甚至是一張紙,就可以繞過屏下指紋識別瞬間解鎖手機,甚至可以完成后續(xù)的支付等各種各樣的指紋驗證操作。由于這個問題其實是存在于屏下指紋識別技術(shù)的原始設(shè)計思想當(dāng)中,所以無論哪個廠商生產(chǎn)的屏下指紋識別芯片,無論它應(yīng)用到了哪一部手機上,全部都會存在這樣的問題。我們發(fā)現(xiàn)這個問題之后,差不多花了接近一年的時間,逐一地對各手機廠商的產(chǎn)品進(jìn)行檢測。并且通過手機廠商進(jìn)一步地去影響供應(yīng)鏈上游的芯片制造商,最終為整個手機行業(yè)消減了非常嚴(yán)重的安全隱患。今天無論你使用的是哪個品牌的手機,只要有屏下指紋這樣的功能,其中都有我們實驗室的工作成果在里面。
在2019年底的時候,玄武實驗室對當(dāng)時剛剛開始火起來的快速充電技術(shù)進(jìn)行了研究,在快充設(shè)備里面又發(fā)現(xiàn)了一系列的安全問題。在此之前,可能大家聽說過手機和筆記本電腦是可以被入侵的,但是我們發(fā)現(xiàn)其實連充電器都是可以被入侵的。我們在研究當(dāng)中,在當(dāng)時的數(shù)百款快速充電產(chǎn)品當(dāng)中抽樣了35款,在這35款當(dāng)中發(fā)現(xiàn)其中18款都存在各種各樣的可以被入侵的安全問題。攻擊者可以通過一個已經(jīng)被入侵的手機,或者是已經(jīng)被入侵的筆記本電腦,去入侵它所連接的快速充電設(shè)備。也就是如果你的手機或者筆記本電腦已經(jīng)被入侵了,那么攻擊者可以控制它進(jìn)一步地入侵你的充電器,反過來再通過被入侵的充電器向被充電設(shè)備提供異常的電壓和電流,最終可以導(dǎo)致被充電設(shè)備的燒毀。
這是非常罕見的,可以通過網(wǎng)絡(luò)攻擊,最終在我們的物理世界中造成損害的安全問題。我們通過向行業(yè)主管單位的報告、向相關(guān)企業(yè)的輸出,最終也是幫助整個行業(yè)對這樣一個問題進(jìn)行了消除,因為這確實是一個非常嚴(yán)重的安全隱患。
剛才介紹了三個我們面向社會,和行業(yè)輸出的安全研究。最近兩年實驗室又有了一個新的使命,就是要把我們基于多年全棧安全研究上的積累,以知識和數(shù)據(jù)驅(qū)動的思路通過最大化利用我們作為防守方的優(yōu)勢,來緩解傳統(tǒng)的防患于未然思路下的業(yè)務(wù)需求和安全需求的矛盾。
因為以前我們講安全,首先我們希望能夠“御敵于國門之外”,能夠防患于未然。但是慢慢的發(fā)現(xiàn),防患于未然的成本太高了,而且防患于未然這樣的目標(biāo)和訴求,會加大做安全和業(yè)務(wù)之間的矛盾。但是如果能夠?qū)粽叩募夹g(shù),對于攻擊者的信息有一個充分的了解,甚至你比攻擊者還要更加的了解,在這樣一個前提之下,實際上是可以把可能的攻擊面攻擊渠道實現(xiàn)一個預(yù)先的布點,預(yù)先埋設(shè)一些探針。利用這樣的一種思路,可以實現(xiàn)在平常的時候不干擾業(yè)務(wù),但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時候,又可以快速地去啟動安全防御措施,當(dāng)攻擊出現(xiàn)的時候可以及時的發(fā)現(xiàn)攻擊。
基于這樣的思想我們實驗室也已經(jīng)有了一些安全實踐,接下來跟大家分享其中一個典型的案例。
SOC+是騰訊安全的一款內(nèi)網(wǎng)防御產(chǎn)品。我們知道做內(nèi)網(wǎng)防御和做外網(wǎng)防御有一個很大的不一樣,就是外網(wǎng)防御有一個清晰的邊界,但是內(nèi)網(wǎng)防御往往會面臨內(nèi)網(wǎng)的資產(chǎn)眾多、用戶數(shù)量非常多、內(nèi)網(wǎng)的結(jié)構(gòu)很復(fù)雜、內(nèi)網(wǎng)的業(yè)務(wù)很多,最重要的是內(nèi)網(wǎng)的邊界內(nèi)部缺乏一個清晰的防御邊界,所以內(nèi)網(wǎng)安全防御一直是一個比較難解決的問題。入侵者往往只要有辦法進(jìn)入到內(nèi)網(wǎng)之后,接下來幾乎就可以橫行無忌。
玄武實驗室在歷史上對把內(nèi)網(wǎng)滲透相關(guān)的問題,做過長期的研究。在實驗室歷史上個入選國際安全會議的研究中有6項都是和內(nèi)網(wǎng)滲透相關(guān)的。基于我們對內(nèi)網(wǎng)滲透的知識和技能的一個積累,那么向騰訊安全的SOC+產(chǎn)品輸出了域滲透防御場景增強和Java反序列化場景增強兩個點,最終拿著增強之后的產(chǎn)品在用戶那測試發(fā)現(xiàn),僅僅是在一個月的時間里,在單個用戶的域滲透防御增強這樣一個方案,就發(fā)現(xiàn)了6起真實發(fā)生的內(nèi)網(wǎng)環(huán)境里的滲透。我們的Java反序列化防御增強方案也是在單個用戶僅僅是一個月的時間里,就發(fā)現(xiàn)了14起真實發(fā)生的外部攻擊。
接下來玄武實驗室還會進(jìn)一步的去實踐“知患于未然,防患于將然”的這樣一個思路,把更多的這些年積累下來的安全能力、安全知識安全技術(shù)去輸出到騰訊的安全產(chǎn)品當(dāng)中,幫助更多的客戶去做好安全。
京公網(wǎng)安備 11010502049343號