在 2019 腾讯安全国际技术峰会上,腾讯安全平台部负责人、腾讯安全学院副院长杨勇向TechWeb等表示,产业互联网的发展给安全问题带来很多新的挑战,具体表现在三个方面。
第一,攻击面扩大,比如腾讯安全科恩实验室最新研究的汽车安全问题,实际上就是产业互联网带来的,是互联网跟汽车行业出行安全的结合。
第二,跨界,如果要解决安全问题,现在需要更多不同领域知识的结合。
第三,产业攻击场景的出现,现在攻击场景越来越产业化,比如,之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。
产业攻击场景则不同,比如电商行业,“可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。”
杨勇进一步解释说,攻击场景可以分为两类,一种是黑客不在乎你知不知道,另一种是黑客很在意你是否知道。而“跨界”黑产往往属于后者,“比如黑客能够控制汽车,但我们不能等汽车撞车了再进行防御。”
杨勇称,当前有黑产甚至可以“薅”出银行贷款。“目前有不少黑产具备了高素质的团队和跨界技术,例如我们发现有针对金融领域攻击的黑产可以做出加征信的操作,他们通过分析银行的软件,发现一些金融企业的校验逻辑都是放在本地的。此后他们直接通过改本地数据开出很多贷款的额度以及虚假的账户。”
攻击面扩大带来的危害是不同的,比如之前没有引入出行,更多的是电脑蓝屏或者机器手机数据丢失,但当你引入产业互联网,出行行业里就有可能造成人身安全问题。
但反过来看,最大的风险并不是这些安全问题,最大的风险在于不发展。“安全不仅仅是给大家阐明有哪些风险,安全的最大价值是告诉我们可以安心发展。”杨勇说到。
以下为部分QA摘录:
Q:随着产业互联网的发展,有没有一些新的安全问题出现,还有您认为安全的发展趋势以及新领域有哪些?
杨勇:万物互联和产业互联网带来的问题包括:第一,攻击面的扩大;第二,跨界。当解决安全问题,现在需要更多不同领域知识的结合;第三,产业攻击场景的出现。
攻击场景越来越产业化了,举个例子,之前的攻击是什么?之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。
什么叫产业攻击场景?比如你做电商,可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。
这种情况是什么?很多是产业攻击场景,汽车也是,楼宇也是。因为什么?因为现在这种万物互联以后,其实攻击场景不再是简单的偷数据和简单获取操作系统的权限。而是什么?而是越来越多样化,比如汽车其实可以威胁别人人身安全,一些不好的人,因为汽车就像你随身的东西一样,也可以窃取你很多隐私。那楼宇更是了。所以,我觉得应该从产业互联网的变化重新审视安全。
Q:攻击面扩大之后,过去的黑客现在变成黑客大军了,黑产已经出现了涉及物联网安全的,比如像摄像头窃取、窃听,甚至可能是智能门锁等,目前有没有成规模的案例?
杨勇:际上这个问题我们可以分析一下这个问题的本源。什么叫攻击场景?攻击场景从您的问题出发实际可以分两类:第一类,黑客不在乎你知不知道了。第二类,黑客很在意你知不知道了,比如窃听、偷窃、行凶,他是会做自我隐藏的。
所以,如果我们做这方面的防御,比如汽车的安全,实际上我们是不能指望攻击场景切切实实发生在我们身边我们才去防的。那如果真的等飞机掉下来,等汽车撞车了我们再防其实来不及了。比如WannaCry 那个问题出了以后,我不知道大家有没有想过,当时很多机场停飞了。如果我们还不以此为警醒等飞机掉下来的时候,那时候可能就是几百架飞机一起往下掉了,这个风险点在这里。这一类问题,我觉得更多是想到场景我们就上。
还有就是薅羊毛这件事。这一类事是我们通过我们的业务场景,还有帮助我们云上的客户就能发现的。这一类很多时候不是未卜先知,实际我们通过大数据、算法能力把这些东西找出来然后进行打击的。举一个例子,我们发现金融行业最近被很多羊毛党,大家都知道羊毛党实际会刷购物券、返利券、打折券,甚至你到一些电商网站上甚至能买到这些东西,这些明显是刷出来的。
但大家不知道吧,这些人还干什么呢?比如像矿泉水瓶子里面有获奖的标签,很多人会到废品收回站收,收完以后把瓶盖集中起来,然后通过一个机械化流水线,然后有一个摄像头人工智能识别上面的码,如果有的话把码提取出来然后集中兑奖。不是黑客已经IoT化了吗,他是明显的跨界,从废品收购产业到人工智能识别,到羊毛党薅羊毛,人家产业链已经非常高素质的团队了。
我们还看到的一个案例,这个可能很多人不知道,就是我们发现对金融领域的攻击,他们现在做到很多金融领域实际会给用户开账号进行征信的行为,我们发现的一些案例,我们发现有一些干这些事的团队,有一些就是之前薅羊毛那种,开始往金融领域走。
他们做的是什么?他们有一个专业化的团队,把传统分析漏洞的逆向技术、软件跟踪技术用在分析银行的软件,分析大家手机上金融产业公司的软件。然后发现他们的一些漏洞,我们发现的一些案例就是,有一些金融企业他们校验逻辑都是放在本地的。别人通过逆向他手机,发现他的校验逻辑没有放在企业的云端,而是放在本地。然后直接通过改本地数据可以开出很多贷款的额度,开出很多虚假的账户、虚假的身份,这种是不是跨界,是不是攻击面的扩大?
但这种产业上的风险是非常大的,因为以前的话我可能只是开出一个 10 几 20 元的会员卡看看电影。但这个可能就是成千上万甚至几十万的一笔贷款,这就是一个产业的变化。
所以,我觉得不管是咱们的出行领域还是风控领域,安全整个事不光是我们几个部门,甚至公司的事。实际是一个国家甚至全球的事,所以才会开国际技术交流峰会,因为这个东西一旦打通是大家共同面临的挑战。
Q:以前安全行业都是纯投入,现在科恩实验室有没有盈利?然后除了车这一块,其他方面有没有一些经验?
腾讯安全科恩实验室总监吕一平:要提这个的话就要提 930 变化,去年腾讯做了一个调整,由消费互联网转型产业互联网。当时调整比较大的是CSIG,就是云与智慧产业事业群,像我们跟杨勇他们分工还有一些区别,他们是保卫腾讯自有应用为主要任务,但他们现在也在扩展云能力包括云计算等。他们有很多干货现在也在向各方面输出。对于我们来讲,既然我们在CSIG的话,我们就需要对一些重点的行业做一些保驾护航的工作。
当然有一点,我们不希望这种合作是免费的,因为只有收费了客户才会谨慎的考虑我要不要用这个科恩的能力。这是一种双向的都是一种比较严谨的思考和选择,这样才能真的配合合作过程中,对方才会比较认真的对待这个事,然后我们一步步把这个事做好。的确,我们现在和行业合作是商业化的合作模式,是要收费来做。
第二个问题,现在除了汽车以外我们还在探索一些新场景。因为刚才杨勇也提,汽车只是一个很小的场景,万物物联场景太多了。比如我们今年还会有机器人的项目,机器人会分两类,一类服务机器人,会面向消费者。一类工业机器人,有点像做智慧制造、智能制造这块。
服务机器人比如现在在机场、广场、超市上看到有一些机器人,要么是警务用的巡逻机器人,要么就是看到超市里的导购机器人。那个机器人自重 80 公斤,最高时速60。所以如果它被恶意操控的话,如果在这边乱跑,是一个小坦克,它其实会引发一些公共安全问题。这就是为什么这块对物理世界会造成影响。
我们现在还在看智能电梯,现在电梯上有很多传感器,它有上通讯模块,也能通过远程方式控制电梯。因为这对电梯行业来讲,它的需求是原来电梯巡检靠人跑,一个人一个礼拜跑 100 个电梯,巡检工,成本很高的。现在上传感器以后,远程控制中心就能够监控,比如这个电梯部件已经老化了,我要调换,那个地方电梯可能有一些小故障需要去维修,甚至可以远程下发一些修复指令做修复。这样的话,它的运营成本可以减少90%,对电梯运营来讲是很大的好处。
但是,正是因为引入很多远程控制、远程下发功能,如果被恶意应用的话,也会造成控制电梯上上下下不停,对电梯里的惊吓度甚至安全都是有很大的影响。包括我们在电梯里还做过一个,电梯现在除了人控制以外还有一块媒体屏幕,要么是投影打点电梯门上,这里面放一些视频。我们也通过实际案例证明过,我可以替换掉里面的视频,如果这里面是一些敏感的,我放了一些不该放的东西,这对电梯运营商来讲影响会非常大,可能有一些政治不正确的方面会有一些问题。
还有摄像头,现在安防摄像头太普遍了,我们的研究也证明我们的在摄像头上能做到什么呢?大家电影里看到的效果。一个人走过去,摄像头上面显示人走过去。昨天晚上不停重放没有人在的图像,昨天我回家打开电视正好是《生死时速》,《生死时速》里有一段,坏人用摄像头监控大巴上的场景,就录了一段视频,那个视频不断的播放欺骗那个坏蛋,其实我们做的也是类似的场景。但安防场景下,它本身是安全属性的东西,这个问题就很难被接受,这种安全性失效。
还有智能门锁,我们其实也做过研究,一个远程可以打开一个地区几千把门锁,这个是可以做得到的。包括我们现在还在看一个工控控制器,比如和电力、能源、化工等一些重要行业,比如化工化学反应、控制,电力变电站的控制,包括智能电表。
你会看到杨勇刚刚提到的万物物联刚刚开始,刚刚拉开一个序幕,能做的事情非常非常多,需要关注的领域也很多。关键问题是说,其实安全光靠科恩或者是腾讯都不够,可能也是需要大家一起来努力,来做好这个,才能够真正保护好我们新的技术应用时代的安全。