“無(wú)論是攻擊還是防御技術(shù),都已經(jīng)進(jìn)入綜合、融合、協(xié)同、多維度的發(fā)展階段,縱深防御、多維協(xié)同、全時(shí)對(duì)抗成為三大安全趨勢(shì)。”11月3日,為期兩天的首屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)在北京國(guó)家會(huì)議中心召開,騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人、知名白帽黑客于旸(網(wǎng)名TK教主)發(fā)表題為《內(nèi)存戰(zhàn)爭(zhēng)20年》的演講,講述了在“內(nèi)存”戰(zhàn)場(chǎng)上,20年間發(fā)生的漏洞攻擊與防御的故事。于旸希望當(dāng)代的安全從業(yè)人員能以史為鑒,去思考未來(lái)20年的網(wǎng)絡(luò)安全何去何從。
漏洞防御需多維協(xié)同對(duì)抗
“漏洞挖掘在早期是靠個(gè)人動(dòng)手,逐步發(fā)展開始有一些自動(dòng)化和工程化,到了今天已經(jīng)發(fā)展成非常成熟的工業(yè)體系。攻擊也是這樣,到今天發(fā)展為在內(nèi)存中進(jìn)行字節(jié)級(jí)的控制。相應(yīng)的防御領(lǐng)域已經(jīng)發(fā)展到“縱深防御”的階段,最典型的廠商就是微軟。”于旸從1986年前蘇聯(lián)克格勃人員入侵美國(guó)勞倫斯伯克利國(guó)家實(shí)驗(yàn)室主機(jī),獲取有關(guān)核信息的故事講起,一直講到當(dāng)前以微軟為代表的“縱深防御”式的漏洞防御方法,縱深防御從之前的“御敵與國(guó)門之外”發(fā)展到了“論持久戰(zhàn)”階段。
于旸解釋,“20年”是指1995年至今的20年。雖然在95年之前,IT史上也發(fā)生過漏洞攻擊事件,但直到1995年P(guān)eter Zatko發(fā)表《How to Write Buffer Overflows》,人們開始關(guān)注緩沖區(qū)溢出漏洞的攻防,內(nèi)存才真正的成為一個(gè)“你攻我守”的戰(zhàn)場(chǎng)。
通過這二十年間的故事,他得出結(jié)論:漏洞防御已經(jīng)從早期的單點(diǎn)發(fā)展到“全時(shí)對(duì)抗”時(shí)代,從設(shè)計(jì)時(shí)、到開發(fā)時(shí)、到編譯時(shí)、到運(yùn)行時(shí),每一時(shí)都有相應(yīng)的技術(shù)體系和方法去保障。他以業(yè)界合作舉例,微軟與上游是英特爾,下游以Adobe為代表的開展業(yè)界合作,聯(lián)合防御漏洞。于旸表示,既然出現(xiàn)多維攻擊,漏洞也應(yīng)采取“多維協(xié)同”方式防御,即在技術(shù)對(duì)抗之時(shí),國(guó)內(nèi)國(guó)外、上下游等企業(yè)開展合作,并展開安全社區(qū)建設(shè),培養(yǎng)安全人才。
玄武兼顧攻防曾獲微軟聯(lián)想致謝
于旸所負(fù)責(zé)的“玄武實(shí)驗(yàn)室”是騰訊2014年6月新成立的信息安全研究部門,被業(yè)界普遍認(rèn)可為國(guó)內(nèi)挖掘漏洞能力最強(qiáng)的實(shí)驗(yàn)室。“玄武”是中國(guó)傳統(tǒng)文化四象之一,“青龍、白虎、朱雀、玄武”,前三象都是由一種動(dòng)物組成的,只有“玄武”是由龜和蛇兩種動(dòng)物組成。“龜和蛇恰好可以象征著網(wǎng)絡(luò)安全兩個(gè)方面——攻擊和防御,攻擊和防御又是做網(wǎng)絡(luò)安全必不可缺的一體兩面,此名字可以恰到好處地表明對(duì)網(wǎng)絡(luò)安全研究的一種象征。”于旸說(shuō)。
騰訊玄武實(shí)驗(yàn)室目前除了配合其他安全部門工作外,也著手一些項(xiàng)目研究,大概分為以下三個(gè)方向——研究傳統(tǒng)基礎(chǔ)網(wǎng)絡(luò)如Windows、linux等相關(guān)信息;研究智能手機(jī)安全;研究各種智能硬件的網(wǎng)絡(luò)安全。
在今年7月,騰訊玄武實(shí)驗(yàn)室挑戰(zhàn)微軟“漏洞緩解繞過”項(xiàng)目成功,獲得對(duì)方4.5萬(wàn)美元高額獎(jiǎng)金,同時(shí)也幫助微軟產(chǎn)品提高防御能力。隨后的10月16日,玄武實(shí)驗(yàn)室又獲得聯(lián)想集團(tuán)公開致謝,后者感謝該實(shí)驗(yàn)室提交的Think系列產(chǎn)品四大漏洞幫助幫助聯(lián)想守護(hù)了億萬(wàn)用戶的安全。
據(jù)了解,本屆峰會(huì)有來(lái)自BAT以及IBM、寶馬(中國(guó))、華為、京東、聯(lián)想、滴滴等互聯(lián)網(wǎng)產(chǎn)業(yè)鏈優(yōu)秀企業(yè)及知道創(chuàng)宇、綠盟科技、啟明星辰、天融信等互聯(lián)網(wǎng)安全企業(yè)的百余位技術(shù)領(lǐng)袖系數(shù)出席。騰訊副總裁丁珂在大會(huì)開幕式致辭時(shí)總結(jié)了“構(gòu)建安全新生態(tài)的三個(gè)趨勢(shì)”,引起業(yè)界巨大方向。
17621123178