又到一年一度的腾讯云+未来峰会,笔者有幸受邀参加安全论坛,来广州听赵伟、TK、Killer等顶尖大佬同场PK。都说羊城热情似火,本人作证此言非虚,一下飞机就被35°的“热情”给包围了。不过为了大佬们,再热都得挺着,保利博览中心,出发。
我下了飞机是一路顺着海报摸到酒店的(白云机场都挂满了),果然是大手笔,图为主会场广州保利世博展览馆
遥想一年前的五月份,WannaCry横空出世,网络世界一时间风声鹤唳,草木皆兵;今年一月份,处理器底层漏洞事件曝光,全球芯片厂商人人自危,还闹出漏洞补丁引发新的安全问题,令人哭笑不得;就在一个多月前,Facebook数据泄露事件喧嚣尘上,甚至在政治层面也引起不小的波澜……这些事儿都指向一个答案:当前网络空间与信息安全现状不容乐观,且有愈演愈烈之势。
腾讯安全大脑是个啥
就在一天前的主论坛上,Pony刚刚提出“三张网”战略,即人联网、物联网和智联网,其中智联网被定义为腾讯的“超级大脑”。所谓超级大脑,可以理解为一个让人工智能无处不在的智能操作系统,集团旗下强大的AI能力将依托超级大脑随时随地被灵活调用。而腾讯推出超级大脑的初衷,正是助力企业和政府完成数字化转型,统称的说法一般叫赋能,但小马哥以其独有的谦逊,称其为助力企业和政府的“智能助手”。
这是我离Pony最近的一次,好想上去摸一摸
说了这么多,其实只为引出一个概念,这个超级大脑同时也担任着“安全大脑”的职能。腾讯安全副总裁方斌提到助力企业数字化转型中的安全问题,正是云时代安全最重要的工作。攻击面增加带来威胁升级,云上安全问题一旦爆发,可往往都不是小事儿。
攻击租户数据和业务的案例(复盘Memcached漏洞引发的核弹级DRDoS攻击)
滥用租户云上资源的案例(Uber 5700万用户数据数据泄露)
Uber曾向黑客支付10万美元“封口费”,可惜纸终究包不住火
在安全大脑的统筹下,数据趋于共享,效率成为了衡量安全能力的基准。事前如何更早的感知到新型威胁?事中如何更快的进行体系化防御?事后如何更高效的进行溯源和分析?
Memcached漏洞危害极大,攻击成本却很低
方斌是这么解释的:
安全大脑通过吸纳海量数据(包括互联网开放资料、第三方情报、每天数千亿条安全数据以及互联网DNS域名解析等),对未知威胁进行感知、情报图谱分析和安全态势预测,最终对客户输出风险预测、态势评估及溯源调查,形成完整而健康的安全生态体系。
他还列举了几个云管端协同捕捉云中黑客的案例,果不其然又见挖矿和勒索两大“明星业务”,这年头真是到哪儿都在挖矿,不服不行。
佛系大佬话安全
知道创宇创始人兼CEO赵伟,安全圈著名佛系大佬,业内讲段子能力可能仅次于TK(非官方统计)。赵伟去年年底在FIT 2018上大谈AI与神学的哲学思考,并从一个悲观主义者的视角想象了一个强人工智能出现后,人类被机器统治的世界。虽然大部分观众听得云里雾里,不过你还别说,仔细品味一番,说不定会有全新的认识。
悟性不够的话小心把自己绕进去
今天赵伟倒没讲佛,主要是分享了三件事。第一是他对当今安全市场的看法;第二是介绍知道创宇是如何在群雄逐鹿的时代生存下来,并越做越强;第三就是云防御生态平台与合作。
赵伟称,根据最新统计资料显示,知道创宇以49.77%的份额高居云防御市场榜首,用时髦的话来说就是占据了国内的半壁江山。“不过这可不是我们算的,我们光忙着埋头苦干了,这事儿要感谢FreeBuf”。能取得这样的成绩,也得益于知道创宇真正如量身定制盔甲一般,对云防御技术进行了深度打磨,而且在这么多年,几乎没有出过任何差错,保证安全是最最重要的。
感谢赵总!这波商业互吹我给满分!
至于成长经历,赵伟无不调侃地说道,当年没少遭到“友商”的嘲笑。知道创宇在云还没有普及的时候就做了云防御系统,别人怼他“云都没影子,还做个P的云防御啊?”其实说白了,就是这种商业模式当时还没有被大众接受。
别人笑我太疯癫,我笑他人看不穿
下面是赵伟分享的知道创宇逐渐蜕变的三个阶段。
第一阶段,我们的切入点是加速。当时我们的产品叫百度加速乐,因为我们是百度跟腾讯共同合作,我们观察到用户认为安全会影响速度,但其实速度是他们的第一要务,因为网站打开快,所以广告展示多,他们的收入就高,安全总是会往后挪一挪;
第二阶段,我们用加速切入做安全。让既加速又安全的思路切进去,我们发现用户逐渐多了以后,安全需求细分了,我们做了一个产品,抗D保,它是独立的安全云,用来配合公有云以外的一些业务,比如某些遭受到重大攻击但被“放弃治疗”的用户就特别需要我们;另一个是创宇盾。客户分很多类型,WAF在当时不是用户的刚需,它的刚需在防篡改、业务合规性、防数据爬取等业务安全方面,当时没有把WAF作为重点,当然现在WAF的防御效果也是很好的;
第三阶段,随着我们对行业和客户的需求更加明确的时候,自身又有了大步的演变,比如我们从去年开始真正进入安全服务行业。前不久我们整合了创宇的全安全产品线,推出了云安全2.0体系,新增了多款应对企业发展的安全产品及安全服务,这些迎合用户的细节也让我们又迎来了一次高速增长。
知道创宇发展至今,赵伟对腾讯是心怀感激的。不只是当年的关键投资,腾讯引入的海量数据也带来了量变到质变的升华,否则赵伟恐怕也会巧妇难为无米之炊吧。今天的知道创宇已经成功打造出百万级客户的云防御平台,慢慢的变成一个生态系统,这一切都是与“携手合作”是分不开的,赵伟也再次表达了愿意与业内同仁加强合作(去年笔者曾有幸对赵总进行过一次简单的专访,当时他就提到单打独斗非好汉),打造联合生态的愿景。
圆桌煮酒
终于到了大家喜闻乐见的侃大山时间,主持人是浅黑科技创始人史中,嘉宾分别是腾讯云副总裁黎巍、腾讯安全副总裁方斌、腾讯安全玄武实验室负责人于旸(TK)和腾讯安全云鼎实验室负责人董志强(Killer)。
我认真地思考了一下,这可能是安全圈最能聊的一帮人,还有最会讲故事的主持人坐镇,这场圆桌对谈肯定不会无聊。
思维推杯换盏,干货段子齐飞
鉴于大佬们的表达水平远超笔者,为了带给大家身临其境的体验,下面就以对话的形式还原这场轻松的圆桌交流。
史中:开始了开始了,下面的同学静一静!咳咳,其实我也不是技术出身,所以今天的讨论就轻松一点,大家以讲故事聊想法为主。刚才会上提到了英特尔出问题,Facebook也出问题,假如时间倒流,我们能做的更好吗?
黎巍:Facebook的事儿,其实早年各大公司多多少少都会遇到,甚至更严重。只是这次Facebook踩了政治的坑,所以会闹的比较严重,但其实回过头来想想,还是有一些办法可以应对的。
1、Facebook太相信美国的法律了,因此产生了松懈,基础数据防护出了大问题,漏洞的口子打开之后法律不是万能的;
2、QQ也好微信也好,之所以没出现Facebook这种等级的事故,主要得益于互联网分享的力量,当然如果Facebook用了数盾(腾讯刚刚发布的数据保护方案)也许也可以避免……
小扎:你们到底还要我怎样!要怎样!
TK:我来说说我的观点。这两件事儿呢,我们实验室都关注了,也都做了分析(干货开始,记笔记)。其实这两件事,可以聊回很老的话题,那就是安全和业务的关系。安全说白了是为了业务去服务的,为业务保驾护航,所以安全往往会屈从于业务,去做让步。今天我们要重新评估这个事。信息世界承载着越来越多的财富、荣誉和权力,这两者的平衡关系要重新看,要从复杂角度去看。
其实我五年前演讲就说过,从做安全的角度,看到“缓存”这两个字,我首先想到的是毒化,但业务层面的人看到的却是加速。处理器底层漏洞爆发,其实也是英特尔为了提高性能而导致的问题。从漏洞利用角度看,这些漏洞可以利用浏览器,导致最严重后果。说到浏览器,不得不提浏览器的新标准,也是为了提高性能。我查看了相关的会议记录,其实当时就有专家预见过,新浏览器标准可能会出问题。现在回头去看,果不其然,一语中的。
Meltdown和Spectre漏洞的修复过程中,接二连三冒出来各种新问题
业务好,安全就再说吧!但越来越多的经验表明,安全问题真的不好补,可能补丁也会导致新问题,所以还不如从根源方面来解决,开始的时候就想清楚,做好取舍。
Killer:大家说的比较全了,我就提一个观点吧。缓存可以用来加速,加速乐把握住了需求,这是很好的点。Facebook事件我最大的感受,就是安全是基于场景的。两年前,某家美国头部公司遭遇大量垃圾信息,腾讯曾帮忙处理过,国内外的安全场景有很大区别,有好的场景才好暴露风险,有经验才好解决问题。
史中:咳咳,感谢大家很精彩的发言,说回国内。现在业内有一个共识,就是国内的黑产比国外更奔放,更成熟。中国的黑色产业链到底达到了什么规模?现在的黑产有什么新的动向和技术?我们又应该怎么应付?
我们也在持续关注黑灰色产业链,黑镜调查系列报告薅羊毛篇及短视频篇均可免费查阅,博彩篇也即将正式发布
黎巍:我只想说这个数字很庞大,(我国黑产从业者)150万可能也不足以概括。要说国内黑产人员最典型的特点嘛,那就是生活压力太大了!就是冲着钱去的。作为安全从业者,面对百万大军,这种感觉很可怕。国内只要有电商大促,黑产一定来,他们的嗅觉很灵敏。
黑产人员的学历不一定高,但绝对非常聪明,即使是我们一线工作者,都不一定有他们紧跟时代的步伐。腾讯去年抓过一个黑产团伙,已经可以很好地活用AI和上云,用Google开源引擎,来爆破验证码,以他们的算力就是秒破,这些人对技术的拥抱很快,很敏感。物联网、云计算的发展,对黑产来说是同等的。 所以我们必须进行纠错,不能让黑产分子使用我们的平台。
方斌:国内黑产团伙就是一句话:奔着获益去的。而且这帮人有时候会非常出其不意,比如前两天那篇赌博网站的操作(墙裂建议阅读),绝对可以算骚操作了。
突如其来的骚,闪坏了我的腰
TK:黑产姿势确实比较风骚……恕我直言,在座的都是领工资的,无论公司多灵活,制定多强大的激励体系,都不可能实现真正的多劳多得。但是黑产真的多劳多得啊!正反馈带来的刺激,让他们睡觉都在想套路!
都是领工资的
我2005年的时候给公安部讲网络犯罪,讲产业链、技术源头、技术手段、变现链条,公安机关还是比较惊讶的。黑色产业形成了上中下游,可以转起来。我当时画了张图,两年后公开,还被各种转载。很多人当时不相信,今天不会有人问了,大家都懂了。我国黑产从业人数150多万,我们国家陆军才多少人?黑色产业链的金额特别大,很难精确统计,但我可以肯定,黑产规模比全中国信息安全产业的产值高,黑产肯定比白产大。从对抗的角度来说,小偷肯定抓不完,从古至今也没有。这将是一个长期对抗的过程,我们需要做的是把损失控制到可接受的程度,要的是这个效果。
至于说我们防御方的优势是什么?黑产确实激励强,但相对分散。大企业的优势是可以在特定的点集中资源。比如说腾讯,业务这么多,在某个点发展出的能量也可以在其他点运用,这就很厉害了。
Killer:对,我很赞同。传统安全的定义很狭隘,是一个个的细分行业。另外,在传统认知上,一般认为黑客和黑产是两拨人,2003年之前就有一些黑产团伙,专门发钓鱼邮件,从专业人员的角度来看来很傻,没技术含量,黑客圈子是不屑于做的。最近这两年,从云上的角度来看,黑产则主要集中在挖矿,主挖门罗币,有一次我说要不咱们也买点?后来还真有小伙子去买了。其次是DDoS和勒索。其实相应的对抗方法也比较简单,对挖矿地址进行告警、蜜罐侦测,公有云建立大数据运维系统,就可以检测到他们。
币圈无宁日
史中:黑产的分享很精彩,鼓掌!下面请大家分享一下自己安全生涯的里程碑时刻,或者是印象最深的事儿,最好是那种有趣的,嗯嗯。
黎巍:那我就讲讲腾讯首个安全团队成立的故事吧。很久以前,QQ推出等级概念,当时最流行的就挂星星挂太阳,甚至还衍生出来一大批网络带挂业务(暴露年龄的时间到了,当时可没有手机QQ,PC也不是一般毛头小子可以轻易摸的到的),你账号密码长期在人家手里,从而导致各种安全问题,这时候腾讯的第一个安全团队就正式成立了。
前几年还有一个趣事,有个黑客摸进了腾讯内网,给Pony发了一封邮件,秀了一波,虽然这人不是为了钱,也没搞什么破坏,不过给大家带来的震撼还是很大的,从此各种安全设施就应运而生。
对了,前面Killer提到钓鱼邮件,咱们应该算高智商公司吧,中招的也不少。你别看黑产手法简单,但人家有效。
方斌:我就来说说面向C端的安全产品团队吧,最早的QQ安全模块,专门保护QQ端上安全,当时叫QQ医生,主要处理类似盗号、假客户端这种问题。再后来就独立出来成为电脑管家、手机管家等产品。其实呀,腾讯最值得分享的故事,就是引入了安全圈的大牛们(指指左手边那两位),你们听他们讲,肯定更精彩!
21世纪什么最重要?
TK:那我就讲讲云吧。云安全跟传统安全有啥不同?其实技术上讲差异并不太大。可能虚拟化是一个一点,其他大多数技术都差不多。我觉得云的特点是把一切都放大了,通过放大来降低成本,但如果相应的安全风险没控制好,造成的危害也会比较大,案例就很多了。我记得去年美国有2亿选民个人资料泄露,还有征信巨头那个事儿,都是从云上泄露的。所以说如果云上出问题,问题会很大。这样的背景之下,云技术推动了大家对安全的重视,也推动了发展。
Killer:对,安全这一块其实有很多有趣的东西,对从业者来说,发现新型攻击就很有意思,就跟发现新大陆一样,对工作和研究思路很有帮助。但云安全有集中效应,并且会放到聚光灯下,现在的机房、数据库出问题,影响规模非常大,对我们来说,现在看到这类信息,完全没有兴奋和欣喜,只有沉重,如履薄冰。虽然云安全我们的安全能力有所提升,但聚光灯效应很麻烦。我们在漏洞、信息安全、云服务器管理等方面都做了很多,甲方的回溯需求也很大,云安全时代我们在实际工作中要更加努力。
史中:最后一个问题单独请教一下两位大牛,你们认为未来网络安全领域什么技术最重要?说说未来吧。
Killer:我先来吧,等会儿让TK总结。在安全行业来看,其实最大的问题还是人才稀缺,这几年热度上来了,但攻防人才还是很缺的。白帽子逐渐多起来了,但不能只会发现,还要会解决才行。白帽子这几年发展不错,但具备甲方安全解决能力的人却越来越少,所以我希望我们实验室的人一定要会攻防,不断探索。
TK:Killer说的对。安全技术会伴随着整个IT产业一起发展,AI、区块链往前走,相应的安全问题也会跟着发展,这是一个整体,所以我们也不会只押一个宝。另外黑产是不会跟着技术走的(虽然他们拥抱技术的嗅觉很敏锐),他们只跟着钱走,而我们跟着他们走。我们在规划未来的安全能力时,不会只着眼一两个点,必须要全面发展,德智体美劳嘛。但如果一定要说一个点的话,我认为黑产防御的自动化是一个很重要方向。
花絮
隔壁展区人气最旺T-DAY体验活动
端庄风小姐姐1
妩媚风小姐姐2
灵异风小姐姐3
最后自问自答一下,在现场听这几位顶尖大佬高谈阔论的体验……当然是一个字爽,这还用问吗!
*本文作者:Akane,FreeBuf官方报道,转载请注明来自FreeBuf.COM