腾讯副总裁马斌:移动互联时代需具备网络安全新思维
1月9日,腾讯安全玄武实验室与知道创宇联合举办的技术研究成果发布会在京召开。继带来“应用克隆”攻击模型这一重大研究成果后,腾讯安全在本次会议上首次发布《腾讯安全联合实验室前沿技术研究白皮书》(以下简称白皮书),盘点了包含玄武实验室在内的腾讯安全联合实验室七大实验室,成立以来的十大前沿技术研究成果。
腾讯副总裁马斌主持了白皮书的发布仪式并指出, 互联网 +时代,安全形势正在发生新变化,传统安全防御已不适用于移动互联网时代,人们需要以全新的安全思维来看待新形势下的移动互联网威胁。基于这方面的探索,腾讯安全已形成一套有效的安全技术研究模式,可充分释放自身“人才+技术”优势,加速成果价值转化,推动网络安全新生态的发展。
(马斌表示腾讯安全联合实验室将进一步推动互联网安全生态的快速发展)
移动互联网时代网络安全亟需新思维
截止2017年6月,我国互联网用户规模达到7.5亿、移动互联网用户规模达7.24亿。在此背景下,“万物互联”“数字 经济 ”已成为显著趋势。
马斌表示,数字时代的来临,让数字生活与人们现实生活的边界越来越模糊,人们日常生活变得更加便捷,也使得用户财产甚至生命安全受到新的威胁影响;互联网与物联网的高速发展让信息网络规模愈发庞大,与此同时,黑色产业已经在2017年达到一千亿的产值。网络安全已经不再单指信息安全和信息系统安全,它的范围已经延伸至社会安全、基础设施安全、人身安全等各个方面。
马斌进一步指出,传统安全防御方式已不适用于移动互联时代。PC时代,互联网安全以防为主,漏洞防御只需及时更新补丁,黑客的攻击范围及攻击手段都相对有限。而到了移动互联时代,用户现实生活与数字生活边界被打通,生活、服务场景愈发融合,再小的安全隐患都有可能引发全新的用户、企业、社会安全的连锁反应,个人隐私与数据安全的保障需求相当紧迫。
马斌表示,移动互联时代,安全思维需要升级。安全防护需从全域打破空间的界限,从全时态打破时间的界限,要在时空间纬度做好安全内容的综合防护,构建全体系的安全。
腾讯安全技术研究模式卓有成效成果价值加速转化
全新的网络安全形势,无疑对安全厂商参与构建网络安全防线的能力提出了更高的要求。作为拥有19年网络安全防护经验的安全厂商,腾讯安全逐渐摸索出一套——以腾讯安全联合实验室人才优势为基础,驱动安全技术转化为成果价值的安全技术研究模式。马斌表示:“腾讯在搭建业务体系以及用户安全体系的同时,也在面向行业输出安全能力。通过打造社会共治模式,提升大众安全意识,这也是践行社会责任的表现。”
2016年,腾讯安全整合旗下资源成立国内首个互联网安全实验室矩阵,云集了吴石、于旸(TK教主)、袁仁广(yuange)、董志强、马劲松、李旭阳、李伟七位国际顶尖白帽黑客,吸引了国际众多顶尖安全人才加入,并提供研究资源、教育培训及技术价值转化等支持。为构建更完善的安全人才培养体系,腾讯安全在2017年打造了TCTF大赛(腾讯信息安全争霸赛),并联合发起GeekPwn极客大赛,以这些信息安全赛事为平台,不断吸引、选拔优秀网络安全人才。同时,腾讯安全联动企业同20多所高校打造“百人计划”,构建“挖掘—培养—输送”人才培养闭环,为安全人才提供培养机会及就业资源,进一步释放腾讯安全技术优势及生态势能。
TCTF大赛开展至今,吸引了上千支安全队伍参赛,并且在腾讯每年的招聘中,有70%的安全人才来自该赛事转化。另外,由TCTF新人赛冠军成员参与组建的联合战队,已连续两年进入被誉为黑客“世界杯”的DEF CON CTF大赛前三名,不断在国际顶尖白帽黑客的舞台上展露头角。
基于扎实的人才基础优势,腾讯安全联合实验室旗下科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域,且在每个领域都输出了极高水准的技术研究成果。
以腾讯安全玄武实验室刚刚披露的“应用克隆”漏洞利用方式为例,该攻击模型一旦被不法分子利用,可以轻松“克隆”获取用户账户权限,盗取用户账号及资金等。目前国内安卓应用市场至少十分之一的APP受此漏洞影响,支付宝、携程、饿了么等多个主流APP均存在漏洞,影响国内所有安卓用户。腾讯安全玄武实验室发现该漏洞及其利用方式后,第一时间通过CNCERT向厂商通报了相关信息,并给出了修复方案。
玄武实验室的漏洞发现能力及漏洞披露方式也受到了工信部网络安全管理局网络与数据安全处处长付景广的认可。他表示,腾讯做了大量的工作并把相关的情况公之于众,提醒大家给予高度的重视,并且加以针对性的防范,充分体现了移动安全领域的技术能力。同时,腾讯发现了问题及时提醒,及时帮助大家去解决问题、防范风险,这种高度的社会责任感非常值得肯定。
除此之外,腾讯安全联合实验室还自主研发出反诈骗智慧大脑、云镜、TAV杀毒引擎等领先安全技术产品,并联合中国科学院计算所大数据安全组共同研发“阿图因”项目;在物联网领域,联合无锡市政府成立了国内首个TUSI实验室;车联网领域,腾讯安全科恩实验室凭借“全球首次远程无物理接触方式入侵特斯拉 汽车 ”研究成果,获得特斯拉官方最高奖励及荣誉。
腾讯安全秉持开放、合作、共享驱动产业链进步发展
马斌表示,在人才建设与技术能力搭建逐渐完备的条件下,腾讯秉持开放、合作、共享的理念,持续深入社会多元产业链,通过与不同单位和机构的合作加速成果价值转化,持续促进网络安全生态建设。
在与第三方企业的合作过程中,腾讯安全的赋能作用凸显。2016年腾讯安全联合实验室七大实验室为 苹果 、微软、Adobe、谷歌等全球四大厂商贡献了269个漏洞报告,其中不乏影响重大的高危漏洞,协助厂商进一步提升安全性能;在移动互联网互联网方面,腾讯安全除了发现并提交iOS漏洞之外,还与苹果达成深度合作,iPhone系列 手机 首次接入腾讯手机管家的骚扰拦截功能,让亿万中国iPhone用户免受信息骚扰难题。
同时,腾讯于2016年4月联手警方和社会各界合作伙伴共同推出“守护者计划”,集各方力量共同抗击黑色产业。截止2017年9月,“守护者计划”共得到125家地方公安关注,75家企业主动加入联盟,超过1000万人参与到活动中,腾讯所倡议的联动社会多方的反诈模式已逐渐得到各方认同。
在与国家政府职能部门的合作中,腾讯安全更充分发挥人才技术优势,通过开展协同共治模式,帮助政府实现监管升级。在2017年底,腾讯相继与北京 金融 局、深圳金融办达成战略合作,共同开发金融安全大数据监管平台,协助其提升“打早打小”的事前预警处置能力,实现对金融风险的识别和监测预警,有效防范普惠金融走向普“恶”金融。
马斌表示,移动互联网时代,网络安全态势时刻都在发生变化。腾讯安全也将持续探索与政府、企业,以及社会各方在更多领域的合作模式,本着开放、合作、共享的理念,持续输出腾讯安全能力,以“人才+技术”的模式推动互联网安全新生态发展。