00:29
其实这个问题我们可以从就是切换成我们攻击者思想,我们不从防护端来看这种,那第一个就是说从意愿的角度来看,我们这种从动结的角度来看,其实二零年的这种突发的新冠疫情,其实对于我们的很多的生活方式其实带来的很大的一个改变,比如说我们的购物、娱乐、社交这种比较传统的,那另外块境,比如说我们的教育、医疗,甚至于说我们平时的那种民生政务办事情,那都从呃线下去切换到我们的线上,那这里面其实也会带来一互联网的服务也是快速的发展,那这个业务的发展其实就会带来是说我们的黑产的攻击者,他对于这块的寄遇其实也会加强,也就说他这里面的获利的空间变大了,那第二个方面其实在于说他的能力,也就是说资源,近几年我们的LT,或者说我们的5G,其实这种基础设施已经在快速的发展,那其实在快速发展的同时,我们的安全问题其实也会伴随产生,那比如说这些大量的这种摄像头啊,还有设备啊,呃,或者这种从家用中。
01:30
这设备啊,那伴随着就会大家比如说热口令或者一些漏洞的问题,很容易被我们这种黑客攻击,沦为这种肉击,然后从而去发起这样的一个地攻击,而且现在就是说地拓攻击,还有一个趋势是说他的这种攻击的变成一种工具化,我们现在叫做攻具的攻击的这种SS化的这种服务,那攻击者的门槛就变得很低,我在网页上去注册个账号,我就得点一下鼠标就可以发现这种攻击,甚至于说可能专业点,我可能会用一些API接口去调用一下,我就能发现这样的攻击,所以这从这个攻击动机跟攻击资源两个角度,其实能发现说这两个因素影响是说在二零年我们发现估击确实其实一个很大的一个增长一种势能,就是使他的这种动机会变得更强,资源是属于一个,就是它是一个持续的一个增长过程,正好这个持续的增长的资源,在这个动机的强烈驱动下,其实能够让他资源能够更好的去使用。
02:25
其实我们从就是从数据里面也能发现这样的一个关联程度,关联度其实就是在于说,呃,如果他这个疫情很严重对吧,对于我们的大家的管控,或者说这种居家隔离的管控会更严,那严了之后大家在家里面,那要不玩游戏对吧,要么就比如说平常购物可能都是线上,那这里面线上的业务都会有个爆发,那业务爆发之后,对于黑产商来说,我能够在你的业务爆发期,或者你的业务的一个上升期,比你在一个业务低峰期,或者说你平常业务没人用的时候说,可能他的获利会更大,或者他作用效果会更明显,所以他会去。挑选这种时候更简单的一个例,就是比如说游戏可能凌晨或者半夜,其实游戏是很少人去玩的,对吧,还是说在这种时间你去攻击去之肉,其实你他是没有多大动力去做这个事情,因为他没有完全去玩,所以他没有带来多大火力的,一些游戏的高峰期,比如说晚上七八点或者动力的时间,那这会攻击,其实他会起来,因为在这个这个时间点玩家在线,那如果这个时候还去攻击,其实对我的玩家是能造成这种调的影响,然后也能去说对我的这种游戏会带来影响,就是他的获利会会更明显。
03:36
其实游戏行业一直都是经落者这种威胁的一个重灾区啊,历年的的一个大盘情况,就可能游戏行业占50%,但是到二零年其实我们发现这个比例其实很大的是大概占到了我们的监控数据是占了78%的,这个比例也上升了很大的一个空间,这里面其实就在于说我们的受害的区域,包括国内全球的,跟这种游戏行业的高度发展其实比较契合的,比如说像日常欧美或者是说呃,欧洲这块,或者北美那边,南美其实都会有这里面的,其实它的影响就会比较大,就是游戏行业对于地座者影响是感受是最明显的,就我一个游戏玩家正在玩,然后你可能攻击我一下玩家,可能要么就是可能简单就是卡顿一下,就大家玩游戏,玩手游时可能卡顿一下OK就没事了,那可能比较严重一点,就是我直接掉线了,然后我再重连可能连不上了,那这个时候对于呃,玩家的体验,或者说对于产品的这个体验,口碑其实都会带来很大的影响,包括今天我们看到是说中国的游戏企业才去出海也会遇到。
04:37
这样的这样的问题,而且在海外会遇到一个更加恶劣的环境,一个是说你会遇到海外的黑产的这种团伙,可能他们的能力又会有不一样的地方。第二个层面,在海外的,比如说我们想去做一些溯源,或者做一些形式搭建,其实这在海外可能会更加困难。所以说像这种他对于中国的游戏在出海这种过程中,其实它带来的影响会更加大,就是说悄悄多索,其实近几年是非常常见的,还包括比如说我们的一些不正当的竞争,甚至于说我的一些玩家去做一些恶意行恶意的获利,这都会去驱使对于游戏行业这个影响低落,这块目前还是说黑客或者黑产特别想用的这种这种手段。
05:22
其实UDB的反射其实是比较一个就是就是已经很多年了,就是它是一个很很老的这种供应手法,但是去年我们看到udp反射这块发现还是有一新东西出来,可能有一个其中一个原因啊,就是有一个小差距,在去年的七月份,有研究者去发现有几种利用新的这种it设备去发起这样的一个一律反射手法,然后美国的FBI就把这个事情做一个安全威胁通报给了美国企业。那其实这另外一方面就是会导致说那我黑产业我就知道了,那黑产就会他会就会去大众的去使用这种手法,这是我们看到那几种手法在七月份之后占比会偏高,那这是因率反射的些工击式手法的一个变化,为什么还是游戏,那其实这里面会有几个原因,第一个我易般玩游戏或者说手游,或者他为了很好的这种用户体验,它的延迟需要保持在很低的一个延迟,所以说在网络协议开发上面永远都会采用UB协议,那U反射正好也是用UC协议,那其实两个协议其实是相等的。那第二个层面是这几种新的这种udp反射的利用手法,跟以往的udp的反射不太一样,就是说以往的UD反射,它可能会有一个反射,比我发个14G的包里,可能我希望是说反射一个100,形成一个流量放大,但这几种udp手法,其实它的包其实也不算特别大,就它的包的包长,其实跟我们正常游戏的协议的这种行为,包长大小是差不多的,包括我们所使用的这种工具源也是这种。
06:50
比如说家里面的路由器,或者一些这种其他的智能设备,从我们的服务端来看,这些IP其实就是我正常用户的IP,因为就是从家庭网络出来的这几个层面,就是导致有些行业,或者说从我们的防护端来看,我们很难去防御这样的一些,或者他对于我们的防御系统的挑战就会变大,因为就是以假乱真的这种效果,工益者他也喜欢这种,用这种东西,所以他就会更加变本加厉的,一旦发现法突破你这个一点,那我就会变本加厉去铺开,或者说去大致去使用这种手法。
07:26
就是披露安全报告的话,我们我们可能更多是说站在防守者的视角,或者说就是正向的这种视角去去披露这个事情,就这个事情可能我不知不能披露你说做坏事用什么手法,而是要告诉你,你做做坏事这个手法我现在是掌握的,或者我防护端是能解决你这个问题,但是我作为防守的我去做说这个事情,并不是代表着说这个手法你可以去乱用,而是在于你这种手法是在我的可控之内,可能安全报可能要突出,这种突出是说我们对于整个大盘,对于威胁情报,对于防攻击端,对于防守任务大家都能都能掌握住的,这也是体现我们自己的专业能力的地方。
08:07
其TC反射是近两三年才出现的一个新的手法,非常其他也整天会去想办法怎么去突破你,所以说他会去找很多的这种,不管是漏洞也好,或者利用方式也好,然后其实反射在前一两年,可能他更多的是说我利用网上的这种开源的这种服务,Workb服务,比如说我们通用的这种CDN,我用CD的这种基础设施去发现这种反射,然后在去年我们就发现慢慢开始变化,就通用的这种CDN已经不能满足了,他可能已经开始用,就刚刚说的LT设,还包括一些这种DN设备或者智能设备来发起,那这里面跟up反射就会有一些差别,就是UD反射,它可能更多是说希望去反射发起流量放大,希望达到一个这种四两波千金的效果,发出一兆流量,然后通过这些不安全的这种协议,我能反射出100兆的流量,达到一个放大那种效果,那TCP反射其实它更多的是说达到一个包量越大,就它可能不能带造成这种放大流量放大底。
09:08
但是它能造成包量越大,其实包量这个参数,或者PPPPS的这个参数,对于我们的网络设备也好,或者这种防护设备,其实它对于他的性能体验挑战是比较大的,就是为什么他会比较严重的一个点,这原因在于或者他比udp反射可能更难去解决的一个点,一个原因就在这,就他的它所造成的这种PPS光量的吞吐量是会比较大的,这里面对于我们的设备的性能其实是很大考验,然后另外就是说TCP反射,他其实使用的是一个正常通信的协议站,还是像这种以假反整,就你正常的协议站我很难去区别对待,你倒是一个正常用户,还是一说就是一个攻击者,就是他的利用点,会对我们的防护体系或防护策略带来更高的挑战,或什么黑会去用它,或者说黑会更加愿意去用一些简单的什么生涯,然后慢慢开始用UD反射,然后到最后他可能会用有T反射,一步步给你加强,一步步四度突破。
10:10
就这里面我们可以重点讲,去年我们在现网捕获到一例接近300万的这样的一个QPS的加密流量的攻击,这个是我们之前不说的可能最大的一个几万,这个其实是一个几十倍的增长,然后这里面就发现将流量的威胁一下有变大,应用层的威胁一下就突增,然后再增,当我们去深入发现,还发现一个有趣点在于这些工具员都是使用的秒播IP,就是秒播代理IP,那秒播的代言戏,可能如果大家做业务安全,可能比较清楚是说在业务安全领域,比如说像这种鸡杂啊,黄牛啊,薅羊毛啊这种场景,可能秒全用的比较多,因为他不停切换,必须绕过我们的这种封控策略,然后发现秒不IP已经用了我们传统的这种安全对抗的院,然后如果我们还是以IP的角度去做这样的一个拦截防护,其实就会有很多弊端,因为它秒不开就是特性,就是不停的变,如果你在用导的这种对抗方法去对抗它,就会发现说你永远都是在落后于这种攻击攻击者。
11:10
永远都是别人打了一波,然后你再去落后的去去分析一波。他这个这个僵尸网络其实是比较经典的一个僵尸网络,差不多已经十多年了,就是它这个僵尸网络感染利论是服务器通过这种密码爆破啊,或者这种入口令的方式去感染,然之后然后在上面种植的这种木马,后门那边会种止一个底落式的攻击工具,这个攻击工具会被类似这种肉鸡加入到坏人的这样整个僵尸网络,然后去发起对外攻击,然后这个攻击手法它是最经典的手法,其实就是S,而且是这种S大包攻击,然后一般规单个网络的规模应该是在100到300G左右,今年下半年是由于FT的这个FT这种设备的发展,这里加速网络活跃度,在下半年也是变大,在去年12月份,在一个开源的软件供应链里面,发现有这个僵尸网络,通过这种投毒的方式去进行传播,这个其实是相对来说是一个还是比较大的一个新的一个趋势,就以往可能大家的这种传播木马,还是说我通过黑肉机对吧,然后我可以过去黑新肉机,然后控制手机,然后上传木马上传和我们上传。
12:20
攻击,然后发起攻击,去年12月份我们就发现是在我们的软件源的这种安全监控里面发现他通过呃,伪造某一个软件供应链的一个软件,然后在这个软件里面去捆绑的这样的一个后门,那现在大家可能都是用开源软件去发现自己的这种业务体系,那如果你一旦去用这样的一个开源软件,然后发现这个软件是被投毒的,那你机器可能也就被。这种重伤的这样的一个木啊,也就被容易这样的一个逻辑。202年我觉得可能我们腾讯安全的抗低技术层面提升会有几个点,第一个项目的增效,我们不断的去研发我们的这种高性能的这种防护设备,防护方案,然后去降低设备的投入成本,比如说我们以往可能更多是这种,呃,单台设备我们可能就是能防于实际的流量,那到去年可能我们已经开始买入到100G甚至400G这样的一个区段,那这样带来就是说我们的投入成本会有下降,然后下降之后我们的运维运营效率也会更加提高。第二个是说我们也是通过去跟一些我们的合作伙伴去共同去合建一些安全能力,然后把这种安全能力我们也能够去开放给我们的客户去使用,所以这是嗯,降本提效,在算法层面的一个,呃,持续的升级吧,就是我们以往的对抗,可能还是就是跟比较传统的对抗,就是安全领域,传统对抗就是写规则对吧,写特征,那这是比较传统的,但是。
13:53
在这种工击手法复杂化,或者说这种强对抗的背景下,其实这种就解决的问题就就会越来越呃局限,所以说我们也是在不停的通过大数据也好,或者这种机器学习算法也好,去提升我们这种策略的这种适配性,或者说灵活性,我们希望能够呃很智更加智能的,更加智能化的去处理一些高级别的这种工艺手法,好处就是付费的,就是它的成本可能会下降,或者说相同成本上面他能买到更多的这种高防能力,这是一个就是成本,因为成本是客户很去考量的一个点,就高防使用高安全服务完。第二个就是说,因为安全攻防一定是一个持续的过程,就是他永远是一个持续对抗过程,那技术的升级就在于说我们对于对抗的这种效率效果会更加好,比如说以往出现一个攻击手法,一个变化的攻击手法,我可能要花上三五天,我才能帮你帮客户解决,那现在可能我需要一天或者半天,或者我用户只需要去调一个什么配置,我就能解决这个问题,那效率是。
14:53
会提升,那对于客户,就是他的受影响时间会大大缩减。
15:01
呃,之前我们推出的叫在在高防能力上,就是叫做AI防护,以前没有这个东西的时候,当一个攻击手法变化的时候,那通常的模式是业务说哎呦客户说我的业务受损了,业务掉线了,然你们安全团队能不能帮我分析一下,尽快调整一下策略,之后我们的安全同学会去抓工分析,会去更新这样的策略,那这样一来一回可能是会有几个小时这这种时间,那当我们去推出AI智能防护这个高级功能之后,客户只需要在页面上点一下,点一下是我们后端,其实我们刚说的这种人工操作的东西,可能就就全部都只由机器来做,它自动去分析,人面的攻击手无法变化,自动去调整策略,设备策略可能也就几分钟时间,大业务的就能恢复,那这这是一个点,就是我们之前推出这样一个类似种AI的防护这种。功能配置。第一个就是我们的威胁情报能力,是希望是说我们能把很多事情做到事前,就你不要就是被动挨打,而是说主动去控盘,所以说我们对于业界的这种微信电化会有一个呃及时的捕获感知,那第二个就是说基于我们在腾讯,一个是我们自有业务,有是游戏是自有的游戏业务其实也是会存在这种,而且这种威胁性很大啊,包括我们腾讯云的客户,我们对于这块的长期的运营,比如说在A客户发现了一些问题,那我能及时感知到,那我们同时就能把这个问题放到整个大盘上去考虑,那如果在B客户出现时候,我就不能很被动去去去处理这个事情,那这是我们的威胁情况能力,还是说带于对于我们后端的技术的能力方,当一个新的问题出现,这问你的技术迭代能很快去迭代去适配这个事情,嗯,那正好就是我们很多做台系统,其实所有后台系统其实都是自研的,自研的代的个好处就是说你的可控性或者定制化的效率也会很高。
16:53
当你有一个什么需求,或者有个什么攻击兑换来之后,你能很快的去实现迭代升级,然后这里面效率就会很高,在这里面也是依赖于我们后台的技术的模型,你要去支持这么快的一个迭代效果。
17:12
我觉得我们核心能力会有几个,第一个是我们也是在这块做了很多年了,多年的一个算是一个技术的沉淀积累,因为安全这个东西还是它不是一个很通用性东西,它还是会有一些专业门槛,或者是专业的积累,他可能不存在很快的捷径。第二个层面是比如说腾讯自己这么多业务,海量的这种全限的这种互联网的业务模型,还包括像什么腾讯用户上面的叫做实战的一个积累,你真正要放到实现嘛,实战你跟跟坏人去这种肉搏之后,你才能知道是说你这个战应该怎么去打,就这是我们第一个就是说我们觉得我们的技术上面的一些优势啊,第二个就是我们的资源的优势,因为第落是很大,就是获得很大部分是在于资源的回套,那腾讯安全所就是获得我们安全产品所拥有的后端的这种资源储备,有我们的带宽资源储备,我们的BP网络的一个储备,然包括我们的三网,其实各个业务的形态都能。
18:12
为用户去提供到很高的一个防护带宽访问能力,那这是资源的,那第三个其实在于说我觉得我们的呃安全服务吧,就是当客户出现问题的时候,需要我们去帮你解决的时候,我们能够快速的去支持,快速的去响应啊,去帮业务去客户去处理好这个这面的问题。理论上的话,所有的就是你在互联网上的业务,他都会存在利落式工具的可能,因为他不像是比如说漏洞,或者是其他入径,漏洞跟入径是说你自身存在弱点,对吧,你存在这个这个口子,你才能让坏人进来,但DS你只要你在网上,你就存在这种可能,因为你网络可哪你就会存在这种问题,然后而且低S效果是最明显的,我就是让你断网,让你业务用不了,那可能未来的时在新进的一些行业,比如说线上教育,线上医疗,可能都会出现这种安全威胁,因为对于攻击者的,他达成效果是特别明显,比如在线教育,我一下断了,我的学生就没法上网课了,在线医疗哪怕就是真正的跟生命有关了,对。
19:15
那这里面其实他会有很大的威险存在,那对于就是行业的客户或者企主来说,就是我们建议的一个最佳时间,是说第一个你自身的业务的抗攻击能力,你得具备一点,就就像我们普通人,我们感冒对吧,你可能不能是说你全全靠吃药去解决这个问题,你可能首先你身体要具备一定的这种,你身体要增强的,要具备给你力抗能力,这就是说你首先你的业务要具备一定的抗菌攻击能力,你比如你的程序上面,或者你的代码看发上,开发上面,你可能就架构上面要考虑这个东西,那第二个是当真正出现这个问题的时候,你能有快速的这种。调度也好,或者热备切换也好,这是就是你的容灾的能力,或者说你的快速的这种恢复业务的能力,这个可能更多是说你的架构层面要去做的这个事情,那第三个其实就是我们推荐就是说专业的干专业的事,当这块东西很很严重,或者说真正影响到你的企业的生存发展的时候,还是要找专业的这种安全服务公司来去帮忙去解决这个问题。
我来说两句