2019看雪安全開發者峰會已圓滿落幕,現在我們對每一個議題進行具體分析、回顧總結。無論你有沒有來到現場,現在都可以好好學習啦,快,拿起你的小本本記重點吧!(文章末尾有驚喜哦~)
議題點評
安全是一個整體。這場演講揭秘了全新的商業間諜手段,如透過攻擊供應鏈和後勤來取得商業敏感資料(你的公司為你採購的工作用電腦或許根本就不安全),如透過隱寫術將商業程式碼嵌入MP3帶出公司。
新的間諜手段層出不窮,這要求公司對頻率 、對無線、對人身各方面進行管控。TSCM關心的是強化對現有資訊保安補充的物理安全以及商業隱私保護。在可預知的將來,TSCM將會成為越來越受到重視的技術。
嘉賓介紹
楊叔(Longas),RC2反竊密實驗室負責人,ZerOne無線安全團隊創始人,“商業安全&隱私保護”系列認證課程的創始人與推廣人。
16年資訊保安行業及隱私保護從業經驗,並多年致力於無線攻防/通訊安全防竊密的研究與實踐。曾任職NSFOCUS、華為、阿里巴巴等行業大公司的安全團隊負責人、專家組組長及安全研究員等。曾應邀在三十多個國內外駭客/安全會議及沙龍上擔任演講嘉賓。也是《無線網路攻防實戰》系列書籍原創作者。
演講具體內容
在過去一年裡,我們接觸的國內100強裡面,包括BAT等等,明確出現過原始碼洩露的企業有很多,包括歷史上比較有名的公司,百分之七八十都是由內部程式設計師疏忽或者程式設計師內部所引發的,這種出現新的威脅趨勢和以往資訊保安面對的威脅型別不太一樣。
這裡有一個來自全美商會的資料,在2018年,全美企業有500億美金損失,是由商業竊密行為所致,這裡百分之七八十是內鬼造成,還有一些是外部和員工疏忽等所致,這裡有三分之一內容是跟原始碼直接有關係。
在這種情況下,有這樣一個受關注的內容,產品涉及所有的企業資訊,但是並不是所有的企業資訊都屬於企業核心資料。
舉個例子,一般情況下我們認為資訊保安是這樣的環節,涉及到企業敏感資料時,有這樣一些環節被認為是現在主要防禦的物件,比如,除了最簡單的物理盜拍外,還包括我們常說的資訊保安領域的各種網路滲透、內網入侵等等出現的問題。
在過去的10多年我去過很多BAT企業,大家都知道現在BAT比較講究開放,包括研發環境也是開放的,但是從過去我們接觸的很多案例中發現,開放確實方便溝通和交流,但是可能會導致更多問題。
作為企業來說,至少有超過20多個研發主管詢問過我們如何加強研發環境的管控。現在研發部門已經上了很多技術手段,比如說有一些常見的像DLP—最常見的資料防洩露機制,包括對開發人員等等許可權的管控,現在已經變得完善。
但是我今天提的不僅僅是這個層面,之前我們做資訊保安時接觸的主要是資訊保安部門,但我們現在要接觸的都是法務、HR、行政部門,而且在很多大企業裡,行政部門就是我說的辦公室,辦公室主管就是內控內審。
在這個層面而言,我們面臨的竊密的方式,跟原有的資訊保安方式,有這樣很大區別,一般分兩大類:我們之前案例中出現了開發人員在內部保密專案中或者在一些比較重要的專案對螢幕的程式碼進行拍攝,這是最基本的。
還有一些透過其他的訊號傳輸方式,將螢幕內容用其他方式傳輸到外網等等,這樣的方式作為我們現有的資訊保安防控體系,完全沒有辦法進行識別和進行攔截。
所以在技術層面跟以往的信安並不一樣,甚至是有本質區別。現在研發部門環境中有很多裝置、器材,它們本身是否經過嚴格檢測、是否存在漏洞,包括研發人員使用的電腦本身是否經過這方面的檢測?也沒有。
我們企業所有的部門特別是內部研發部門的電腦、配件全部來自於供應鏈或者後勤部門,而這個層面的防護現在完全幾乎是沒有的。
比如之前我們去大企業研發部門,發現老牌企業對研發部門管控要求任何訪問 者不得攜帶電腦、不得攜帶手機,研發部門將手機全部存放在研發區域外部,而且進門要做安保檢測。
但即使是這樣,我們在8年前那個時候,發現很多工具可以將原始碼直接轉成另外的檔案帶出,比如MP3檔案。這種行為就可以躲過現有的某些針對竊密行為操作的監控,雖然MP3轉錄出來雖然有損耗,但是可以保持百分之七八十甚至九十的原始碼。
其它的包括“內鬼”人員使用無線偷拍器材,對螢幕進行高畫質錄屏、翻頁錄屏,將原始碼傳輸出去。
現有企業的的所謂無線防禦系統只能針對2.4G的WIFI起作用,對其他頻段完全是無效的,在這些技術反竊密方面我們以往的防護能力確實存在有很大問題。
再舉些簡單的例子,以往我們給企業研發部門做檢測,發現我們的研發部門現有裝置,電話、會議系統、滑鼠等,比如無線滑鼠在放到會議室裡面的時候有沒有做過物理檢查?這裡面除了它本身訊號之外有沒有無線電發射裝置?
如果有,基本上你的整個專案全部受到監控。而且這個不是危言聳聽,在國內出現過的案例太多了。當經濟稍微有所緩慢的時候,往往商業間諜行為增加,而且對企業來說,特別是對研發部門而言,現在我們一些管控也沒有做到對頻率、對無線、對人身各方面的管控 ,這確實跟企業文化有關係,但至少在我們目前遇到的100強企業也有一些是做得不錯的。
剛才提到供應鏈,繼續舉幾個例子,研發中最常用的器材,能夠將我們螢幕的內容傳輸出去。特別是在你購置這個裝置時已經做了處理、做了手腳了。現在市場有現成的各個型號的產品,很多人在使用時根本就沒注意這個細節。
比如(高畫質影片線)外殼沒有任何孔,以往需要特殊手段才能將我們研發螢幕的內容 傳輸出去,但如果這個東西本身就是特定構造的,而且構造成本也並沒有那麼高,將這批線全部輸入到官方搭建的研發部門,這個部門在使用這個線做開發時沒有任何工作影響,但這個線可以將你螢幕中所有的東西,包括原始碼、專案計劃、產品計劃全部傳輸出去,而且你是完全沒有感知的。
這種情況下,即使有的企業出現了問題懷疑是“內鬼”,但將發現沒有任何痕跡。這種情況下,這個級別的供應鏈問題,到目前我們所接觸到的所有企業,100強也好,BAT也好,它的防禦能力是“零”,這是最大的問題,而且非常可怕。現在我們並不知道多少企業內部已經出現問題、不知道有沒有裝置進來,防禦是“零”。
什麼是技術反竊密?技術反竊密跟我們現有的安全體系包括內部的審計、內部的監控沒有任何關係,它是另外一條體系,這個體系裡有一個詞叫“TSCM”。
這個詞是美國人發明的。美國最早在2002年黑帽子大會上釋出這個詞,TSCM從2002年到現在,最早建立TSCM的公司在美國都是由來自CIA、FBI等的前情報人員成立,經過10多年的發展,2012年左右開始有商業公司進入這個領域。
現在我們在國內企業交流時都說很多人都對它沒有概念,但是我們跟一些在華的美國公司交流時,這些在華公司每個季度都會有專項經費對研發部門、對內部高管辦公室會議室全面檢測、抽查,這是他們從國外帶過來的良好商業安全習慣,很多國內公司還壓根沒有到這個習慣。
TSCM並不等於無線安全,因為它跟我們傳統提到的無線安全不一樣,我們現在說的無線安全包括IoT,從技術角度包括WiFi、藍芽等等,但是TSCM面對的是所有的頻段,包括無線電,包括2G、3G、4G,包括特定頻道等等。TSCM並不關心資訊保安裡什麼滲透、木馬之類。
如果說要定義它屬於什麼?屬於強化對現有資訊保安補充的物理安全以及商業隱私保護,一定要注意,是商業隱私保護而不僅僅個人隱私保護,商業隱私遠超於個人隱私。
舉個例子,我們現在通常是這麼做的,在有的環境中我們可以對現有的研發體系現有狀況進行評估,比如物件透檢,從鍵盤、滑鼠、電腦全部經過物件透檢,再比如頻譜分析,對異常訊號進行分析排查等等,這個層面跟我們現在的資訊保安管控確實關係不太大,而這個層面恰恰是很多公司沒有做到的。
還有一個概念是“物理風控”,這個層面包括會議安防評估、日常敏感區域巡檢等等,物理風控就是從物理層面對風險進行管控,完善現有的研發環境監管 。在不侵犯員工個人隱私的情況下,對現有的商業資料等進行保護,這方面現在牽頭部門通常有安全、法務、行政和HR等。
注意:點選文末連結,即可檢視本議題完整演講PPT。其他議題演講PPT,經過講師同意後會陸續放出,請大家持續關注看雪論壇及看雪學院公眾號!
京華結交盡奇士,意氣相期矜豪縱。今夏與君相約看雪,把酒言歡,共話安全技術江湖夢。
看雪 2019 安全開發者峰會,圓滿落幕!現場精彩回顧
公眾號ID:ikanxue
官方微博:看雪安全
商務合作:wsc@kanxue.com
議題回顧 | 新威脅對策:TSCM 技術反竊密