7月30-31日,第五届互联网安全领袖峰会(CSS)在北京举行,以“产业升级,安全升维”为主题,对安全行业的发展空间与未来方向进行了深入探讨。
腾讯安全平台部云安全团队负责人罗喜军在云安全专场上分享了腾讯自研安全的建设之路,揭秘了腾讯自研安全能力对外输出的新动向。安全平台部旗下前沿技术安全研究团队Tencent Blade Team则首次发表了关于语法解析器规则漏洞的前沿研究成果,并正在筹备相关漏洞检查工具的开源。
腾讯安全平台部总监兼Tencent Blade Team负责人胡珀表示:“产业互联网时代,企业面临的安全问题更加严峻,安全能力已成公司核心竞争力之一。腾讯正积极将多年自研安全能力沉淀输出,全力支撑云上互联网安全能力升级。”
多维度发力 铸造安全攻防“堡垒”
如何提升企业自身安全能力,有效应对新时代下安全新挑战,是摆在企业面前的一个大问题。
罗喜军对腾讯自研安全的建设历程进行了介绍。在应用运维安全领域,腾讯安全平台部围绕DDoS防护、数据保护、漏洞收敛等多个领域集中发力,通过各产品、专项支撑起腾讯基础安全完整的安全体系,保障公司产品及业务和核心数据在网络、系统、应用等层面的安全。
在上述框架内,安全平台部通过网络层的宙斯盾、主机层的洋葱、铁将军、应用层的洞犀、门神、金刚及用于反向验证的腾讯蓝军、Tencent Blade Team等四个维度的产品组合,合力打造腾讯更为坚实的安全攻防堡垒。
拥抱产业互联 做数字化时代安全助手
如果说在消费互联网时代“安全是所有0前面的1”,那么在产业互联网时代,安全已成为企业数字化转型的原生需求,这对企业来说是挑战也是机遇。
“将安全能力对外输出,也要求团队将安全嵌入到业务流程中,从主观意识到客观实现、从需求设计到编码测试,再到最后的上线迭代,打透业务安全的每个环节。”罗喜军表示。未来,腾讯还将继续夯实自身安全能力,在支撑好腾讯自研业务之余,积极对外赋能,并逐步把安全能力向腾讯云上开放,助力于互联网安全生态的提升。
前沿研究 安全防护未雨绸缪
安全平台部旗下前沿技术安全研究团队Tencent Blade Team成员钱文祥及李宇翔,则在CSS 腾讯安全探索论坛(TSec)上进行了议题分享,和与会者共同讨论了如何挖掘语法解析器规则漏洞。
大量基础软件中都能看到语法解析器的身影,如SQLite、Chrome、PHP等。在这些软件中,语法解析器充当着类似于“检察官”加“翻译官”的角色,检查输入的命令,判断是否合法,并把它翻译成软件“能听懂”的话,方便其执行。因此,一旦出现规则漏洞,波及范围十分广泛。
与之形成对比的是,这块领域的安全研究相对较为缺乏,此次Tencent Blade Team对如何挖掘语法解析器规则漏洞做了从理论到实战的详细分析,介绍了人工挖掘和结构化模糊测试挖掘两种思路,并提出了针对性的安全规则编写建议。未来Tencent Blade Team将会开源漏洞检查工具,进一步加深与业界的联动,并推动安全生态建设。
Tencent Blade Team在对Google Home智能音箱进行研究的时候,对语法解析的漏洞利用还帮助他们发现了Magellan系列漏洞,并最终首次远程攻破Google Home智能音箱。据了解,Tencent Blade Team的相关安全议题也入选了本年度的Blackhat和DEFCON。
截至目前,Tencent Blade Team团队目前已发现了谷歌、苹果、亚马逊、微软、Adobe等多个国际知名厂商100多个安全漏洞,聚焦IoT安全、虚拟化安全、AI安全、区块链安全等领域,团队多次受邀参加Blackhat、DEFCON、CanSecWest、HITB等多个国际安全峰会进行议题分享,得到互联网行业、厂商以及国际安全社区的广泛认可。
腾讯安全平台部通过体系化的前沿研究,助力腾讯内部业务做好安全防护能力储备,同时也助力行业安全意识与能力的提升,为企业安全战略的提前布局提供参考。