2022年11月30日，騰訊全球數(shù)字生態(tài)大會(huì)在深圳啟幕。此次大會(huì)以“數(shù)實(shí)創(chuàng)新，產(chǎn)業(yè)共進(jìn)”為主題，聚焦數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)創(chuàng)新發(fā)展，旨在匯聚全球智慧洞察產(chǎn)業(yè)發(fā)展新機(jī)遇，描繪云、AI、大數(shù)據(jù)、安全等關(guān)鍵技術(shù)的發(fā)展藍(lán)圖，展示騰訊最新的研究成果、戰(zhàn)略規(guī)劃、前沿技術(shù)、核心產(chǎn)品、解決方案。

　　在Techo前沿技術(shù)論壇上，騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸帶來了題為《知患于未然，防患于將然》的主題分享。于旸認(rèn)為，解決安全問題很多時(shí)候需要多點(diǎn)能力同時(shí)起作用，因此玄武一直主張要建設(shè)包括軟件靜態(tài)自動(dòng)化分析、基于虛擬化的動(dòng)態(tài)自動(dòng)化分析能力以及包括網(wǎng)絡(luò)實(shí)戰(zhàn)攻防能力、供應(yīng)鏈大數(shù)據(jù)安全能力等在內(nèi)的全棧安全能力，并將這些能力輸出給安全產(chǎn)品，為產(chǎn)品提供賦能。基于這個(gè)思路，玄武實(shí)驗(yàn)室做了很多產(chǎn)研結(jié)合的嘗試，例如，將實(shí)驗(yàn)室在內(nèi)網(wǎng)滲透的知識和技能的積累輸出給騰訊安全SOC+產(chǎn)品，顯著增強(qiáng)了其在域滲透防御場景和Java反序列化場景的安全能力。

　　同時(shí)于旸也認(rèn)為，“防患于未然”雖然很理想，但其實(shí)施成本過高，而“知患于未然，防患于將然”或許是平衡業(yè)務(wù)發(fā)展效率和安全的更好的思路。通過對安全威脅的充分感知和了解，在可能的攻擊面和攻擊渠道上預(yù)先布點(diǎn)，可以實(shí)現(xiàn)在平常的時(shí)候不干擾業(yè)務(wù)，但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時(shí)候，又可以快速地去啟動(dòng)安全防御措施。

　　以下是實(shí)錄全文。

　　我是騰訊安全玄武實(shí)驗(yàn)室的于旸，今天給大家分享的主題叫《知患于未然，防患于將然》。在這里和大家分享我們玄武實(shí)驗(yàn)室，基于知識驅(qū)動(dòng)的安全實(shí)踐。

　　首先向大家介紹一下玄武實(shí)驗(yàn)室。玄武實(shí)驗(yàn)室是2014年成立，從成立之初一直在貫徹一個(gè)理念：要構(gòu)建全棧的復(fù)合安全能力?；谶@樣一個(gè)能力，對內(nèi)支持公司的業(yè)務(wù)，對外服務(wù)社會(huì)和行業(yè)的需求。

　　我們認(rèn)為安全是一項(xiàng)非常特殊的能力，安全能力是由多個(gè)點(diǎn)組成的。在解決很多問題的時(shí)候，往往這一個(gè)問題是需要多點(diǎn)能力去同時(shí)起作用。只是一個(gè)點(diǎn)上的能力，哪怕再強(qiáng)，在面對很多復(fù)雜的安全問題的時(shí)候，也會(huì)覺得很笨拙。這就是為什么我們一直在主張，要建設(shè)一個(gè)全棧的安全能力。基于這樣一個(gè)全棧安全能力，我們打造了多種不同的業(yè)務(wù)的安全能力，包括軟件的靜態(tài)自動(dòng)化分析，還有基于虛擬化的動(dòng)態(tài)自動(dòng)化分析能力，也包括網(wǎng)絡(luò)實(shí)戰(zhàn)攻防能力、包括供應(yīng)鏈大數(shù)據(jù)安全能力等。在這一層的業(yè)務(wù)安全能力之上，對公司內(nèi)部的各種重要的業(yè)務(wù)，又進(jìn)行了安全能力的輸出。包括公司內(nèi)部各項(xiàng)產(chǎn)品的安全檢測需求，也包括公司對外的網(wǎng)絡(luò)安全產(chǎn)品的防御能力的增強(qiáng)。

　　同時(shí)我們還和公司內(nèi)部不同的業(yè)務(wù)部門，聯(lián)合開發(fā)了包括智能合約安全檢測系統(tǒng)，移動(dòng)應(yīng)用的隱私合規(guī)檢測系統(tǒng)等。公司的青少年守護(hù)和反黑產(chǎn)相關(guān)的業(yè)務(wù)，其中也有我們實(shí)驗(yàn)室能力在里面。這個(gè)地方講的是我們對公司內(nèi)部的一些業(yè)務(wù)的支持，接下來跟大家簡單介紹一下對公司外部，也就是行業(yè)和社會(huì)的一些安全能力的輸出。

　　我們實(shí)驗(yàn)室從2014年成立之后，經(jīng)歷了幾個(gè)不同的發(fā)展階段。但是無論在哪個(gè)發(fā)展階段，我們始終堅(jiān)持有一部分的精力，去從事面向外部、面向行業(yè)、面向社會(huì)的安全研究。在實(shí)驗(yàn)室8年的歷史當(dāng)中，我們發(fā)現(xiàn)了上千個(gè)外部的安全問題，通過向行業(yè)、向社會(huì)對這些安全問題進(jìn)行通報(bào)進(jìn)行分享，以及幫助行業(yè)去解決和修復(fù)這些安全問題，我們也收獲了在行業(yè)里面的一些很好的效果。接下來選取三個(gè)比較典型的例子和大家分享一下，過去幾年中對外輸出的一些安全研究。

　　在2015年玄武實(shí)驗(yàn)室發(fā)現(xiàn)了一種非常特殊的安全問題，這個(gè)安全問題影響全世界幾乎所有的條碼閱讀器廠商的大部分安全產(chǎn)品。據(jù)統(tǒng)計(jì)大概超過80%的條碼閱讀器產(chǎn)品，無論是掃一維條碼的，還是掃二維條碼的產(chǎn)品，全部都受影響。

　　利用安全問題，攻擊者甚至只需要通過掃描一個(gè)條碼就可以實(shí)現(xiàn)入侵條碼閱讀器所連接的系統(tǒng)。在更極端的情況下，甚至可以通過發(fā)射一束激光，就可以入侵在很遠(yuǎn)地方的條碼閱讀器所連接的系統(tǒng)。由于條碼閱讀器是一個(gè)應(yīng)用非常廣泛的設(shè)備，不只是在掃碼支付這樣一個(gè)場景下，實(shí)際上在醫(yī)療制造交通物流等等，非常多的場景下都會(huì)得到應(yīng)用。所以安全問題實(shí)際上影響非常廣泛。

　　從2016年開始玄武實(shí)驗(yàn)室和微信支付合作，對國內(nèi)的主流掃碼器廠商的大部分產(chǎn)品都進(jìn)行了檢測，并且?guī)椭@些廠商進(jìn)行安全的修復(fù)。更重要的是幫助這些廠商認(rèn)識了掃碼器其實(shí)也是會(huì)存在安全問題的，而且會(huì)很嚴(yán)重，幫助他們理解了這樣一點(diǎn)，所以確實(shí)是花了不少時(shí)間，但是也很自豪，我們幫助中國的掃碼器行業(yè)，大大的提高了整個(gè)行業(yè)的安全水平。

　　還有一個(gè)案例，是發(fā)生在2017年的年底。在這個(gè)時(shí)候正好是手機(jī)行業(yè)剛剛引入屏下指紋識別技術(shù)，在這個(gè)時(shí)候我們對屏下指紋識別技術(shù)這樣一個(gè)新技術(shù)做了研究。我們發(fā)現(xiàn)這個(gè)技術(shù)實(shí)際上它存在一個(gè)非常嚴(yán)重的安全缺陷。攻擊者僅僅只需要一片塑料，甚至是一張紙，就可以繞過屏下指紋識別瞬間解鎖手機(jī)，甚至可以完成后續(xù)的支付等各種各樣的指紋驗(yàn)證操作。由于這個(gè)問題其實(shí)是存在于屏下指紋識別技術(shù)的原始設(shè)計(jì)思想當(dāng)中，所以無論哪個(gè)廠商生產(chǎn)的屏下指紋識別芯片，無論它應(yīng)用到了哪一部手機(jī)上，全部都會(huì)存在這樣的問題。我們發(fā)現(xiàn)這個(gè)問題之后，差不多花了接近一年的時(shí)間，逐一地對各手機(jī)廠商的產(chǎn)品進(jìn)行檢測。并且通過手機(jī)廠商進(jìn)一步地去影響供應(yīng)鏈上游的芯片制造商，最終為整個(gè)手機(jī)行業(yè)消減了非常嚴(yán)重的安全隱患。今天無論你使用的是哪個(gè)品牌的手機(jī)，只要有屏下指紋這樣的功能，其中都有我們實(shí)驗(yàn)室的工作成果在里面。

　　在2019年底的時(shí)候，玄武實(shí)驗(yàn)室對當(dāng)時(shí)剛剛開始火起來的快速充電技術(shù)進(jìn)行了研究，在快充設(shè)備里面又發(fā)現(xiàn)了一系列的安全問題。在此之前，可能大家聽說過手機(jī)和筆記本電腦是可以被入侵的，但是我們發(fā)現(xiàn)其實(shí)連充電器都是可以被入侵的。我們在研究當(dāng)中，在當(dāng)時(shí)的數(shù)百款快速充電產(chǎn)品當(dāng)中抽樣了35款，在這35款當(dāng)中發(fā)現(xiàn)其中18款都存在各種各樣的可以被入侵的安全問題。攻擊者可以通過一個(gè)已經(jīng)被入侵的手機(jī)，或者是已經(jīng)被入侵的筆記本電腦，去入侵它所連接的快速充電設(shè)備。也就是如果你的手機(jī)或者筆記本電腦已經(jīng)被入侵了，那么攻擊者可以控制它進(jìn)一步地入侵你的充電器，反過來再通過被入侵的充電器向被充電設(shè)備提供異常的電壓和電流，最終可以導(dǎo)致被充電設(shè)備的燒毀。

　　這是非常罕見的，可以通過網(wǎng)絡(luò)攻擊，最終在我們的物理世界中造成損害的安全問題。我們通過向行業(yè)主管單位的報(bào)告、向相關(guān)企業(yè)的輸出，最終也是幫助整個(gè)行業(yè)對這樣一個(gè)問題進(jìn)行了消除，因?yàn)檫@確實(shí)是一個(gè)非常嚴(yán)重的安全隱患。

　　剛才介紹了三個(gè)我們面向社會(huì)，和行業(yè)輸出的安全研究。最近兩年實(shí)驗(yàn)室又有了一個(gè)新的使命，就是要把我們基于多年全棧安全研究上的積累，以知識和數(shù)據(jù)驅(qū)動(dòng)的思路通過最大化利用我們作為防守方的優(yōu)勢，來緩解傳統(tǒng)的防患于未然思路下的業(yè)務(wù)需求和安全需求的矛盾。

　　因?yàn)橐郧拔覀冎v安全，首先我們希望能夠“御敵于國門之外”，能夠防患于未然。但是慢慢的發(fā)現(xiàn)，防患于未然的成本太高了，而且防患于未然這樣的目標(biāo)和訴求，會(huì)加大做安全和業(yè)務(wù)之間的矛盾。但是如果能夠?qū)粽叩募夹g(shù)，對于攻擊者的信息有一個(gè)充分的了解，甚至你比攻擊者還要更加的了解，在這樣一個(gè)前提之下，實(shí)際上是可以把可能的攻擊面攻擊渠道實(shí)現(xiàn)一個(gè)預(yù)先的布點(diǎn)，預(yù)先埋設(shè)一些探針。利用這樣的一種思路，可以實(shí)現(xiàn)在平常的時(shí)候不干擾業(yè)務(wù)，但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時(shí)候，又可以快速地去啟動(dòng)安全防御措施，當(dāng)攻擊出現(xiàn)的時(shí)候可以及時(shí)的發(fā)現(xiàn)攻擊。

　　基于這樣的思想我們實(shí)驗(yàn)室也已經(jīng)有了一些安全實(shí)踐，接下來跟大家分享其中一個(gè)典型的案例。

　　SOC+是騰訊安全的一款內(nèi)網(wǎng)防御產(chǎn)品。我們知道做內(nèi)網(wǎng)防御和做外網(wǎng)防御有一個(gè)很大的不一樣，就是外網(wǎng)防御有一個(gè)清晰的邊界，但是內(nèi)網(wǎng)防御往往會(huì)面臨內(nèi)網(wǎng)的資產(chǎn)眾多、用戶數(shù)量非常多、內(nèi)網(wǎng)的結(jié)構(gòu)很復(fù)雜、內(nèi)網(wǎng)的業(yè)務(wù)很多，最重要的是內(nèi)網(wǎng)的邊界內(nèi)部缺乏一個(gè)清晰的防御邊界，所以內(nèi)網(wǎng)安全防御一直是一個(gè)比較難解決的問題。入侵者往往只要有辦法進(jìn)入到內(nèi)網(wǎng)之后，接下來幾乎就可以橫行無忌。

　　玄武實(shí)驗(yàn)室在歷史上對把內(nèi)網(wǎng)滲透相關(guān)的問題，做過長期的研究。在實(shí)驗(yàn)室歷史上個(gè)入選國際安全會(huì)議的研究中有6項(xiàng)都是和內(nèi)網(wǎng)滲透相關(guān)的?；谖覀儗?nèi)網(wǎng)滲透的知識和技能的一個(gè)積累，那么向騰訊安全的SOC+產(chǎn)品輸出了域滲透防御場景增強(qiáng)和Java反序列化場景增強(qiáng)兩個(gè)點(diǎn)，最終拿著增強(qiáng)之后的產(chǎn)品在用戶那測試發(fā)現(xiàn)，僅僅是在一個(gè)月的時(shí)間里，在單個(gè)用戶的域滲透防御增強(qiáng)這樣一個(gè)方案，就發(fā)現(xiàn)了6起真實(shí)發(fā)生的內(nèi)網(wǎng)環(huán)境里的滲透。我們的Java反序列化防御增強(qiáng)方案也是在單個(gè)用戶僅僅是一個(gè)月的時(shí)間里，就發(fā)現(xiàn)了14起真實(shí)發(fā)生的外部攻擊。

　　接下來玄武實(shí)驗(yàn)室還會(huì)進(jìn)一步的去實(shí)踐“知患于未然，防患于將然”的這樣一個(gè)思路，把更多的這些年積累下來的安全能力、安全知識安全技術(shù)去輸出到騰訊的安全產(chǎn)品當(dāng)中，幫助更多的客戶去做好安全。