7月30-31日,第五屆網際網路安全領袖峰會(CSS)在北京舉行,以“產業升級,安全升維”為主題,對安全行業的發展空間與未來方向進行了深入探討。
騰訊安全平臺部雲安全團隊負責人羅喜軍在雲安全專場上分享了騰訊自研安全的建設之路,揭祕了騰訊自研安全能力對外輸出的新動向。安全平臺部旗下前沿技術安全研究團隊Tencent Blade Team則首次發表了關於語法解析器規則漏洞的前沿研究成果,並正在籌備相關漏洞檢查工具的開源。
騰訊安全平臺部總監兼Tencent Blade Team負責人胡珀表示:“產業網際網路時代,企業面臨的安全問題更加嚴峻,安全能力已成公司核心競爭力之一。騰訊正積極將多年自研安全能力沉澱輸出,全力支撐雲上網際網路安全能力升級。”
多維度發力 鑄造安全攻防“堡壘”
如何提升企業自身安全能力,有效應對新時代下安全新挑戰,是擺在企業面前的一個大問題。
羅喜軍對騰訊自研安全的建設歷程進行了介紹。在應用運維安全領域,騰訊安全平臺部圍繞DDoS防護、資料保護、漏洞收斂等多個領域集中發力,通過各產品、專項支撐起騰訊基礎安全完整的安全體系,保障公司產品及業務和核心資料在網路、系統、應用等層面的安全。
在上述框架內,安全平臺部通過網路層的宙斯盾、主機層的洋蔥、鐵將軍、應用層的洞犀、門神、金剛及用於反向驗證的騰訊藍軍、Tencent Blade Team等四個維度的產品組合,合力打造騰訊最堅實的安全攻防堡壘。
擁抱產業互聯 做數字化時代安全助手
如果說在消費網際網路時代“安全是所有0前面的1”,那麼在產業網際網路時代,安全已成為企業數字化轉型的原生需求,這對企業來說是挑戰也是機遇。
“將安全能力對外輸出,也要求團隊將安全嵌入到業務流程中,從主觀意識到客觀實現、從需求設計到編碼測試,再到最後的上線迭代,打透業務安全的每個環節。”羅喜軍表示。未來,騰訊還將繼續夯實自身安全能力,在支撐好騰訊自研業務之餘,積極對外賦能,並逐步把安全能力向騰訊雲上開放,助力於網際網路安全生態的提升。
前沿研究 安全防護未雨綢繆
安全平臺部旗下前沿技術安全研究團隊Tencent Blade Team成員錢文祥及李宇翔,則在CSS 騰訊安全探索論壇(TSec)上進行了議題分享,和與會者共同討論瞭如何挖掘語法解析器規則漏洞。
大量基礎軟體中都能看到語法解析器的身影,如SQLite、Chrome、PHP等。在這些軟體中,語法解析器充當著類似於“檢察官”加“翻譯官”的角色,檢查輸入的命令,判斷是否合法,並把它翻譯成軟體“能聽懂”的話,方便其執行。因此,一旦出現規則漏洞,波及範圍十分廣泛。
與之形成對比的是,這塊領域的安全研究相對較為缺乏,此次Tencent Blade Team對如何挖掘語法解析器規則漏洞做了從理論到實戰的詳細分析,介紹了人工挖掘和結構化模糊測試挖掘兩種思路,並提出了針對性的安全規則編寫建議。未來Tencent Blade Team將會開源漏洞檢查工具,進一步加深與業界的聯動,並推動安全生態建設。
Tencent Blade Team在對Google Home智慧音響進行研究的時候,對語法解析的漏洞利用還幫助他們發現了Magellan系列漏洞,並最終首次遠端攻破Google Home智慧音響。據瞭解,Tencent Blade Team的相關安全議題也入選了本年度的Blackhat和DEFCON。
截至目前,Tencent Blade Team團隊目前已發現了谷歌、蘋果、亞馬遜、微軟、Adobe等多個國際知名廠商100多個安全漏洞,聚焦IoT安全、虛擬化安全、AI安全、區塊鏈安全等領域,團隊多次受邀參加Blackhat、DEFCON、CanSecWest、HITB等多個國際頂級安全峰會進行議題分享,得到網際網路行業、廠商以及國際安全社群的廣泛認可。
騰訊安全平臺部通過體系化的前沿研究,助力騰訊內部業務做好安全防護能力儲備,同時也助力行業安全意識與能力的提升,為企業安全戰略的提前佈局提供參考。