騰訊藍(lán)軍:捍衛(wèi)網(wǎng)絡(luò)安全之軍
原創(chuàng)【51CTO.com原創(chuàng)稿件】維多利亞州政府3萬名雇員個(gè)人信息外泄;萬豪酒店5億客戶數(shù)據(jù)泄漏;10多款ios應(yīng)用被發(fā)現(xiàn)與安全惡意軟件有染; TLS 1.2 協(xié)議現(xiàn)漏洞,近3000網(wǎng)站受影響;英特爾CPU再現(xiàn)高危漏洞,得到官方證實(shí)可泄漏私密數(shù)據(jù)……2019年以來,網(wǎng)絡(luò)安全事件頻發(fā)。3月份召開的十三屆全國人大二次會議上,政府工作的報(bào)告中三提“信息”,涉及到信息技術(shù)發(fā)展、信息基礎(chǔ)設(shè)施建設(shè)和個(gè)人信息保護(hù)。的確,網(wǎng)絡(luò)安全態(tài)勢變得越來越復(fù)雜,數(shù)據(jù)泄露、DDoS等事件愈演愈烈,而即將到來的5G/IPv6/IoT時(shí)代也將對互聯(lián)網(wǎng)安全格局帶來深刻的影響。
于此同時(shí),為了維護(hù)網(wǎng)絡(luò)安全,一款款強(qiáng)大的安全工具應(yīng)運(yùn)而生,但并不是所有漏洞都能通過自動(dòng)化工具檢測發(fā)現(xiàn)。因此,國內(nèi)外都在如火如荼地開展網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練。成立藍(lán)軍開展人工滲透測試和紅藍(lán)對抗實(shí)戰(zhàn)演練,以攻促防,提前發(fā)現(xiàn)潛在風(fēng)險(xiǎn),協(xié)助提升業(yè)務(wù)系統(tǒng)安全性和完善安全系統(tǒng)能力,則可以更有效抵御黑客。在這樣的背景下,騰訊藍(lán)軍誕生了。
騰訊藍(lán)軍(Tencent Force)由騰訊TEG安全平臺部于2006年組建,十余年來專注于前沿安全攻防技術(shù)研究、騰訊網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練、騰訊業(yè)務(wù)系統(tǒng)安全評估等方面,站在APT黑客的視角去(在內(nèi)部)模擬攻擊,全方位檢驗(yàn)安全防護(hù)策略、響應(yīng)機(jī)制的充分性與有效性,發(fā)現(xiàn)業(yè)務(wù)系統(tǒng)的潛在風(fēng)險(xiǎn),提出解決方案及協(xié)助改進(jìn)。
近日,記者采訪了TSRC技術(shù)負(fù)責(zé)人、騰訊藍(lán)軍負(fù)責(zé)人鐘武強(qiáng),講述了騰訊藍(lán)軍這些年的故事。
鐘武強(qiáng),id小五,TSRC技術(shù)負(fù)責(zé)人、騰訊藍(lán)軍負(fù)責(zé)人,2003年開始接觸黑客攻防技術(shù),從業(yè)以來主要負(fù)責(zé)應(yīng)急響應(yīng)、滲透測試、安全評估等工作。
六大措施解決人力不足的困難
用人工滲透測試和紅藍(lán)對抗實(shí)戰(zhàn)演練,以攻促防,聽起來很美妙,但是剛過了20歲生日的騰訊,擁有豐富的產(chǎn)品線,業(yè)務(wù)變化非常大,代碼迭代非常快,如果每次發(fā)布或者更新都施展人工滲透測試的話,藍(lán)軍人力肯定是難以支撐。據(jù)鐘武強(qiáng)介紹,騰訊藍(lán)軍主要通過六個(gè)方面來克服這個(gè)困難:
首先是排優(yōu)先級,優(yōu)先對重點(diǎn)業(yè)務(wù)、緊急業(yè)務(wù)開展?jié)B透,保障重點(diǎn)業(yè)務(wù)和廣大用戶安全。
第二,讓業(yè)務(wù)同事詳細(xì)梳理和提供項(xiàng)目背景、業(yè)務(wù)架構(gòu)、業(yè)務(wù)已有的安全措施、業(yè)務(wù)重點(diǎn)關(guān)注的風(fēng)險(xiǎn)點(diǎn)等等,有利于藍(lán)軍快速全面熟悉業(yè)務(wù),以便針對性的制定安全檢查項(xiàng),或者高效開展?jié)B透。
第三,指導(dǎo)業(yè)務(wù)同事使用公司自主研發(fā)的漏洞掃描器(代號“洞犀”,經(jīng)過多年優(yōu)化,漏洞檢測能力很成熟)進(jìn)行自動(dòng)化掃描,以及按照安全檢查項(xiàng)進(jìn)行自檢,讓業(yè)務(wù)同事一起積極參與進(jìn)來,在這過程中能夠逐步提升業(yè)務(wù)同事的安全開發(fā)意識,也從根本上有效減少后續(xù)漏洞的產(chǎn)生。
第四,借助公司其他兄弟安全團(tuán)隊(duì)的力量,比如說Tencent Blade Team(國際知名安全團(tuán)隊(duì),專注前沿領(lǐng)域的前瞻安全技術(shù)研究),與騰訊藍(lán)軍聯(lián)手一起滲透業(yè)務(wù)。而騰訊紅軍少部分成員有時(shí)也會臨時(shí)轉(zhuǎn)變角色,和藍(lán)軍一起研究如何攻破自己研發(fā)的防御(代號“洋蔥”,經(jīng)過多年優(yōu)化,檢測能力很全面),紅藍(lán)軍相互學(xué)習(xí),共同快速提升。
第五,引進(jìn)或培養(yǎng)安全人才,鐘武強(qiáng)表示,目前騰訊藍(lán)軍一直在持續(xù)招聘志同道合的人才。
第六,借助外部安全研究員、情報(bào)員的力量,鼓勵(lì)在安全可靠的前提下和騰訊藍(lán)軍并肩作戰(zhàn),一起發(fā)現(xiàn)騰訊外網(wǎng)業(yè)務(wù)安全隱患和防護(hù)缺陷。鐘武強(qiáng)表示,至今已經(jīng)有國內(nèi)外數(shù)萬名安全技術(shù)人員參與進(jìn)來。
實(shí)戰(zhàn)演練中的難忘故事
從成立至今的13年里,從理論到實(shí)踐,騰訊藍(lán)軍經(jīng)歷了無數(shù)次的攻防實(shí)戰(zhàn)演練,對QQ、QQ空間、微信、支付、小程序、騰訊云、游戲等重要業(yè)務(wù)都開展過滲透測試,發(fā)現(xiàn)并消除了大量潛在安全風(fēng)險(xiǎn)。讓鐘武強(qiáng)記憶猶新的是在微信小程序即將正式上線前,微信團(tuán)隊(duì)邀請藍(lán)軍從騰訊深圳總部去微信廣州總部駐場,開展特訓(xùn)營,十多天里,大家吃住在一起,通力合作,對小程序開展全面的滲透測試,提前發(fā)現(xiàn)安全隱患并完成修復(fù),保障了小程序平臺的安全性,為小程序正式發(fā)布保駕護(hù)航。
一直以來藍(lán)軍和紅軍的對抗都非常激烈,有某一段時(shí)間可以說是天天都在進(jìn)行高強(qiáng)度的對抗,比如說上午藍(lán)軍成功繞過紅軍監(jiān)測,中午紅軍優(yōu)化了監(jiān)測策略,成功發(fā)現(xiàn)藍(lán)軍,下午藍(lán)軍又想到辦法繼續(xù)突破紅軍。紅藍(lán)雙方你追我趕,相互切磋,努力提升公司安全防護(hù)體系,這在騰訊人的眼里是一件非常刺激和有意義的事。
與白帽子一起捍衛(wèi)網(wǎng)絡(luò)安全
做為騰訊藍(lán)軍的擴(kuò)展延伸,2012年5月31日,騰訊正式推出了TSRC(安全應(yīng)急響應(yīng)中心),這是國內(nèi)企業(yè)自建的安全應(yīng)急響應(yīng)平臺,主要負(fù)責(zé)騰訊相關(guān)的漏洞或應(yīng)急處置,包括收集漏洞與攻擊情報(bào),評估安全風(fēng)險(xiǎn),以及推動(dòng)止損、修復(fù)等工作。TSRC平臺一經(jīng)推出,就吸引了白帽子們的積極參與,上線首月,就有38位白帽子報(bào)告了上百個(gè)漏洞。這些擁有強(qiáng)大技術(shù)實(shí)力的白帽子可以說是騰訊外部藍(lán)軍。
TSRC一直倡導(dǎo)漏洞發(fā)現(xiàn)者直接向官方提交漏洞,鼓勵(lì)那些崇尚黑客精神的技術(shù)極客轉(zhuǎn)變?yōu)榘踩鷳B(tài)的建設(shè)者。六年多時(shí)間里,大量白帽子與騰訊攜手,共同捍衛(wèi)了全球億萬用戶的信息、財(cái)產(chǎn)安全。同時(shí),為了吸引更多海外白帽子共同加入網(wǎng)絡(luò)安全事業(yè),騰訊TSRC于2018年7月5日對國際版進(jìn)行了全新改版。據(jù)鐘武強(qiáng)透露,后續(xù)TSRC將和白帽子展開更深入的合作,不限于邀請TSRC核心白帽子參與業(yè)務(wù)正式上線前的安全眾測,規(guī)避上線后的安全風(fēng)險(xiǎn);開展安全系統(tǒng)對抗賽,進(jìn)一步測試紅藍(lán)對抗情況。TSRC還將參加數(shù)個(gè)國際安全會議,以實(shí)力吸引更多的海外白帽子加入,共同守護(hù)世界網(wǎng)絡(luò)安全。
【51CTO原創(chuàng)稿件,合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】
