騰訊于旸:知患于未然,防患于將然——基于知識驅(qū)動(dòng)的安全實(shí)踐
2022年11月30日,騰訊全球數(shù)字生態(tài)大會(huì)在深圳啟幕。此次大會(huì)以“數(shù)實(shí)創(chuàng)新,產(chǎn)業(yè)共進(jìn)”為主題,聚焦數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)創(chuàng)新發(fā)展,旨在匯聚全球智慧洞察產(chǎn)業(yè)發(fā)展新機(jī)遇,描繪云、AI、大數(shù)據(jù)、安全等關(guān)鍵技術(shù)的發(fā)展藍(lán)圖,展示騰訊最新的研究成果、戰(zhàn)略規(guī)劃、前沿技術(shù)、核心產(chǎn)品、解決方案。
在Techo前沿技術(shù)論壇上,騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸帶來了題為《知患于未然,防患于將然》的主題分享。于旸認(rèn)為,解決安全問題很多時(shí)候需要多點(diǎn)能力同時(shí)起作用,因此玄武一直主張要建設(shè)包括軟件靜態(tài)自動(dòng)化分析、基于虛擬化的動(dòng)態(tài)自動(dòng)化分析能力以及包括網(wǎng)絡(luò)實(shí)戰(zhàn)攻防能力、供應(yīng)鏈大數(shù)據(jù)安全能力等在內(nèi)的全棧安全能力,并將這些能力輸出給安全產(chǎn)品,為產(chǎn)品提供賦能。基于這個(gè)思路,玄武實(shí)驗(yàn)室做了很多產(chǎn)研結(jié)合的嘗試,例如,將實(shí)驗(yàn)室在內(nèi)網(wǎng)滲透的知識和技能的積累輸出給騰訊安全SOC+產(chǎn)品,顯著增強(qiáng)了其在域滲透防御場景和Java反序列化場景的安全能力。
同時(shí)于旸也認(rèn)為,“防患于未然”雖然很理想,但其實(shí)施成本過高,而“知患于未然,防患于將然”或許是平衡業(yè)務(wù)發(fā)展效率和安全的更好的思路。通過對安全威脅的充分感知和了解,在可能的攻擊面和攻擊渠道上預(yù)先布點(diǎn),可以實(shí)現(xiàn)在平常的時(shí)候不干擾業(yè)務(wù),但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時(shí)候,又可以快速地去啟動(dòng)安全防御措施。
以下是實(shí)錄全文。
我是騰訊安全玄武實(shí)驗(yàn)室的于旸,今天給大家分享的主題叫《知患于未然,防患于將然》。在這里和大家分享我們玄武實(shí)驗(yàn)室,基于知識驅(qū)動(dòng)的安全實(shí)踐。
首先向大家介紹一下玄武實(shí)驗(yàn)室。玄武實(shí)驗(yàn)室是2014年成立,從成立之初一直在貫徹一個(gè)理念:要構(gòu)建全棧的復(fù)合安全能力?;谶@樣一個(gè)能力,對內(nèi)支持公司的業(yè)務(wù),對外服務(wù)社會(huì)和行業(yè)的需求。
我們認(rèn)為安全是一項(xiàng)非常特殊的能力,安全能力是由多個(gè)點(diǎn)組成的。在解決很多問題的時(shí)候,往往這一個(gè)問題是需要多點(diǎn)能力去同時(shí)起作用。只是一個(gè)點(diǎn)上的能力,哪怕再強(qiáng),在面對很多復(fù)雜的安全問題的時(shí)候,也會(huì)覺得很笨拙。這就是為什么我們一直在主張,要建設(shè)一個(gè)全棧的安全能力。基于這樣一個(gè)全棧安全能力,我們打造了多種不同的業(yè)務(wù)的安全能力,包括軟件的靜態(tài)自動(dòng)化分析,還有基于虛擬化的動(dòng)態(tài)自動(dòng)化分析能力,也包括網(wǎng)絡(luò)實(shí)戰(zhàn)攻防能力、包括供應(yīng)鏈大數(shù)據(jù)安全能力等。在這一層的業(yè)務(wù)安全能力之上,對公司內(nèi)部的各種重要的業(yè)務(wù),又進(jìn)行了安全能力的輸出。包括公司內(nèi)部各項(xiàng)產(chǎn)品的安全檢測需求,也包括公司對外的網(wǎng)絡(luò)安全產(chǎn)品的防御能力的增強(qiáng)。
同時(shí)我們還和公司內(nèi)部不同的業(yè)務(wù)部門,聯(lián)合開發(fā)了包括智能合約安全檢測系統(tǒng),移動(dòng)應(yīng)用的隱私合規(guī)檢測系統(tǒng)等。公司的青少年守護(hù)和反黑產(chǎn)相關(guān)的業(yè)務(wù),其中也有我們實(shí)驗(yàn)室能力在里面。這個(gè)地方講的是我們對公司內(nèi)部的一些業(yè)務(wù)的支持,接下來跟大家簡單介紹一下對公司外部,也就是行業(yè)和社會(huì)的一些安全能力的輸出。
我們實(shí)驗(yàn)室從2014年成立之后,經(jīng)歷了幾個(gè)不同的發(fā)展階段。但是無論在哪個(gè)發(fā)展階段,我們始終堅(jiān)持有一部分的精力,去從事面向外部、面向行業(yè)、面向社會(huì)的安全研究。在實(shí)驗(yàn)室8年的歷史當(dāng)中,我們發(fā)現(xiàn)了上千個(gè)外部的安全問題,通過向行業(yè)、向社會(huì)對這些安全問題進(jìn)行通報(bào)進(jìn)行分享,以及幫助行業(yè)去解決和修復(fù)這些安全問題,我們也收獲了在行業(yè)里面的一些很好的效果。接下來選取三個(gè)比較典型的例子和大家分享一下,過去幾年中對外輸出的一些安全研究。
在2015年玄武實(shí)驗(yàn)室發(fā)現(xiàn)了一種非常特殊的安全問題,這個(gè)安全問題影響全世界幾乎所有的條碼閱讀器廠商的大部分安全產(chǎn)品。據(jù)統(tǒng)計(jì)大概超過80%的條碼閱讀器產(chǎn)品,無論是掃一維條碼的,還是掃二維條碼的產(chǎn)品,全部都受影響。
利用安全問題,攻擊者甚至只需要通過掃描一個(gè)條碼就可以實(shí)現(xiàn)入侵條碼閱讀器所連接的系統(tǒng)。在更極端的情況下,甚至可以通過發(fā)射一束激光,就可以入侵在很遠(yuǎn)地方的條碼閱讀器所連接的系統(tǒng)。由于條碼閱讀器是一個(gè)應(yīng)用非常廣泛的設(shè)備,不只是在掃碼支付這樣一個(gè)場景下,實(shí)際上在醫(yī)療制造交通物流等等,非常多的場景下都會(huì)得到應(yīng)用。所以安全問題實(shí)際上影響非常廣泛。
從2016年開始玄武實(shí)驗(yàn)室和微信支付合作,對國內(nèi)的主流掃碼器廠商的大部分產(chǎn)品都進(jìn)行了檢測,并且?guī)椭@些廠商進(jìn)行安全的修復(fù)。更重要的是幫助這些廠商認(rèn)識了掃碼器其實(shí)也是會(huì)存在安全問題的,而且會(huì)很嚴(yán)重,幫助他們理解了這樣一點(diǎn),所以確實(shí)是花了不少時(shí)間,但是也很自豪,我們幫助中國的掃碼器行業(yè),大大的提高了整個(gè)行業(yè)的安全水平。
還有一個(gè)案例,是發(fā)生在2017年的年底。在這個(gè)時(shí)候正好是手機(jī)行業(yè)剛剛引入屏下指紋識別技術(shù),在這個(gè)時(shí)候我們對屏下指紋識別技術(shù)這樣一個(gè)新技術(shù)做了研究。我們發(fā)現(xiàn)這個(gè)技術(shù)實(shí)際上它存在一個(gè)非常嚴(yán)重的安全缺陷。攻擊者僅僅只需要一片塑料,甚至是一張紙,就可以繞過屏下指紋識別瞬間解鎖手機(jī),甚至可以完成后續(xù)的支付等各種各樣的指紋驗(yàn)證操作。由于這個(gè)問題其實(shí)是存在于屏下指紋識別技術(shù)的原始設(shè)計(jì)思想當(dāng)中,所以無論哪個(gè)廠商生產(chǎn)的屏下指紋識別芯片,無論它應(yīng)用到了哪一部手機(jī)上,全部都會(huì)存在這樣的問題。我們發(fā)現(xiàn)這個(gè)問題之后,差不多花了接近一年的時(shí)間,逐一地對各手機(jī)廠商的產(chǎn)品進(jìn)行檢測。并且通過手機(jī)廠商進(jìn)一步地去影響供應(yīng)鏈上游的芯片制造商,最終為整個(gè)手機(jī)行業(yè)消減了非常嚴(yán)重的安全隱患。今天無論你使用的是哪個(gè)品牌的手機(jī),只要有屏下指紋這樣的功能,其中都有我們實(shí)驗(yàn)室的工作成果在里面。
在2019年底的時(shí)候,玄武實(shí)驗(yàn)室對當(dāng)時(shí)剛剛開始火起來的快速充電技術(shù)進(jìn)行了研究,在快充設(shè)備里面又發(fā)現(xiàn)了一系列的安全問題。在此之前,可能大家聽說過手機(jī)和筆記本電腦是可以被入侵的,但是我們發(fā)現(xiàn)其實(shí)連充電器都是可以被入侵的。我們在研究當(dāng)中,在當(dāng)時(shí)的數(shù)百款快速充電產(chǎn)品當(dāng)中抽樣了35款,在這35款當(dāng)中發(fā)現(xiàn)其中18款都存在各種各樣的可以被入侵的安全問題。攻擊者可以通過一個(gè)已經(jīng)被入侵的手機(jī),或者是已經(jīng)被入侵的筆記本電腦,去入侵它所連接的快速充電設(shè)備。也就是如果你的手機(jī)或者筆記本電腦已經(jīng)被入侵了,那么攻擊者可以控制它進(jìn)一步地入侵你的充電器,反過來再通過被入侵的充電器向被充電設(shè)備提供異常的電壓和電流,最終可以導(dǎo)致被充電設(shè)備的燒毀。
這是非常罕見的,可以通過網(wǎng)絡(luò)攻擊,最終在我們的物理世界中造成損害的安全問題。我們通過向行業(yè)主管單位的報(bào)告、向相關(guān)企業(yè)的輸出,最終也是幫助整個(gè)行業(yè)對這樣一個(gè)問題進(jìn)行了消除,因?yàn)檫@確實(shí)是一個(gè)非常嚴(yán)重的安全隱患。
剛才介紹了三個(gè)我們面向社會(huì),和行業(yè)輸出的安全研究。最近兩年實(shí)驗(yàn)室又有了一個(gè)新的使命,就是要把我們基于多年全棧安全研究上的積累,以知識和數(shù)據(jù)驅(qū)動(dòng)的思路通過最大化利用我們作為防守方的優(yōu)勢,來緩解傳統(tǒng)的防患于未然思路下的業(yè)務(wù)需求和安全需求的矛盾。
因?yàn)橐郧拔覀冎v安全,首先我們希望能夠“御敵于國門之外”,能夠防患于未然。但是慢慢的發(fā)現(xiàn),防患于未然的成本太高了,而且防患于未然這樣的目標(biāo)和訴求,會(huì)加大做安全和業(yè)務(wù)之間的矛盾。但是如果能夠?qū)粽叩募夹g(shù),對于攻擊者的信息有一個(gè)充分的了解,甚至你比攻擊者還要更加的了解,在這樣一個(gè)前提之下,實(shí)際上是可以把可能的攻擊面攻擊渠道實(shí)現(xiàn)一個(gè)預(yù)先的布點(diǎn),預(yù)先埋設(shè)一些探針。利用這樣的一種思路,可以實(shí)現(xiàn)在平常的時(shí)候不干擾業(yè)務(wù),但是在攻擊威脅即將要出現(xiàn)、快要出現(xiàn)的時(shí)候,又可以快速地去啟動(dòng)安全防御措施,當(dāng)攻擊出現(xiàn)的時(shí)候可以及時(shí)的發(fā)現(xiàn)攻擊。
基于這樣的思想我們實(shí)驗(yàn)室也已經(jīng)有了一些安全實(shí)踐,接下來跟大家分享其中一個(gè)典型的案例。
SOC+是騰訊安全的一款內(nèi)網(wǎng)防御產(chǎn)品。我們知道做內(nèi)網(wǎng)防御和做外網(wǎng)防御有一個(gè)很大的不一樣,就是外網(wǎng)防御有一個(gè)清晰的邊界,但是內(nèi)網(wǎng)防御往往會(huì)面臨內(nèi)網(wǎng)的資產(chǎn)眾多、用戶數(shù)量非常多、內(nèi)網(wǎng)的結(jié)構(gòu)很復(fù)雜、內(nèi)網(wǎng)的業(yè)務(wù)很多,最重要的是內(nèi)網(wǎng)的邊界內(nèi)部缺乏一個(gè)清晰的防御邊界,所以內(nèi)網(wǎng)安全防御一直是一個(gè)比較難解決的問題。入侵者往往只要有辦法進(jìn)入到內(nèi)網(wǎng)之后,接下來幾乎就可以橫行無忌。
玄武實(shí)驗(yàn)室在歷史上對把內(nèi)網(wǎng)滲透相關(guān)的問題,做過長期的研究。在實(shí)驗(yàn)室歷史上個(gè)入選國際安全會(huì)議的研究中有6項(xiàng)都是和內(nèi)網(wǎng)滲透相關(guān)的?;谖覀儗?nèi)網(wǎng)滲透的知識和技能的一個(gè)積累,那么向騰訊安全的SOC+產(chǎn)品輸出了域滲透防御場景增強(qiáng)和Java反序列化場景增強(qiáng)兩個(gè)點(diǎn),最終拿著增強(qiáng)之后的產(chǎn)品在用戶那測試發(fā)現(xiàn),僅僅是在一個(gè)月的時(shí)間里,在單個(gè)用戶的域滲透防御增強(qiáng)這樣一個(gè)方案,就發(fā)現(xiàn)了6起真實(shí)發(fā)生的內(nèi)網(wǎng)環(huán)境里的滲透。我們的Java反序列化防御增強(qiáng)方案也是在單個(gè)用戶僅僅是一個(gè)月的時(shí)間里,就發(fā)現(xiàn)了14起真實(shí)發(fā)生的外部攻擊。
接下來玄武實(shí)驗(yàn)室還會(huì)進(jìn)一步的去實(shí)踐“知患于未然,防患于將然”的這樣一個(gè)思路,把更多的這些年積累下來的安全能力、安全知識安全技術(shù)去輸出到騰訊的安全產(chǎn)品當(dāng)中,幫助更多的客戶去做好安全。
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與中創(chuàng)網(wǎng)無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實(shí)相關(guān)內(nèi)容。