CSS峰會(huì)騰訊于旸：多維攻擊時(shí)代 網(wǎng)絡(luò)安防協(xié)同為王

“無論是攻擊還是防御技術(shù)，都已經(jīng)進(jìn)入綜合、融合、協(xié)同、多維度的發(fā)展階段，縱深防御、多維協(xié)同、全時(shí)對(duì)抗成為三大安全趨勢(shì)�！�11月3日，為期兩天的首屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)在北京國(guó)家會(huì)議中心召開，騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人、知名白帽黑客于旸(網(wǎng)名TK教主)發(fā)表題為《內(nèi)存戰(zhàn)爭(zhēng)20年》的演講，講述了在“內(nèi)存”戰(zhàn)場(chǎng)上，20年間發(fā)生的漏洞攻擊與防御的故事。于旸希望當(dāng)代的安全從業(yè)人員能以史為鑒，去思考未來20年的網(wǎng)絡(luò)安全何去何從。

漏洞防御需多維協(xié)同對(duì)抗

“漏洞挖掘在早期是靠個(gè)人動(dòng)手，逐步發(fā)展開始有一些自動(dòng)化和工程化，到了今天已經(jīng)發(fā)展成非常成熟的工業(yè)體系。攻擊也是這樣，到今天發(fā)展為在內(nèi)存中進(jìn)行字節(jié)級(jí)的控制。相應(yīng)的防御領(lǐng)域已經(jīng)發(fā)展到“縱深防御”的階段，最典型的廠商就是微軟�！庇跁D從1986年前蘇聯(lián)克格勃人員入侵美國(guó)勞倫斯伯克利國(guó)家實(shí)驗(yàn)室主機(jī)，獲取有關(guān)核信息的故事講起，一直講到當(dāng)前以微軟為代表的“縱深防御”式的漏洞防御方法，縱深防御從之前的“御敵與國(guó)門之外”發(fā)展到了“論持久戰(zhàn)”階段。

于旸解釋，“20年”是指1995年至今的20年。雖然在95年之前，IT史上也發(fā)生過漏洞攻擊事件，但直到1995年P(guān)eter Zatko發(fā)表《How to Write Buffer Overflows》，人們開始關(guān)注緩沖區(qū)溢出漏洞的攻防，內(nèi)存才真正的成為一個(gè)“你攻我守”的戰(zhàn)場(chǎng)。

通過這二十年間的故事，他得出結(jié)論：漏洞防御已經(jīng)從早期的單點(diǎn)發(fā)展到“全時(shí)對(duì)抗”時(shí)代，從設(shè)計(jì)時(shí)、到開發(fā)時(shí)、到編譯時(shí)、到運(yùn)行時(shí)，每一時(shí)都有相應(yīng)的技術(shù)體系和方法去保障。他以業(yè)界合作舉例，微軟與上游是英特爾，下游以Adobe為代表的開展業(yè)界合作，聯(lián)合防御漏洞。于旸表示，既然出現(xiàn)多維攻擊，漏洞也應(yīng)采取“多維協(xié)同”方式防御，即在技術(shù)對(duì)抗之時(shí)，國(guó)內(nèi)國(guó)外、上下游等企業(yè)開展合作，并展開安全社區(qū)建設(shè)，培養(yǎng)安全人才。

玄武兼顧攻防曾獲微軟聯(lián)想致謝

于旸所負(fù)責(zé)的“玄武實(shí)驗(yàn)室”是騰訊2014年6月新成立的信息安全研究部門，被業(yè)界普遍認(rèn)可為國(guó)內(nèi)挖掘漏洞能力最強(qiáng)的實(shí)驗(yàn)室�！靶�武”是中國(guó)傳統(tǒng)文化四象之一，“青龍、白虎、朱雀、玄武”，前三象都是由一種動(dòng)物組成的，只有“玄武”是由龜和蛇兩種動(dòng)物組成。“龜和蛇恰好可以象征著網(wǎng)絡(luò)安全兩個(gè)方面——攻擊和防御，攻擊和防御又是做網(wǎng)絡(luò)安全必不可缺的一體兩面，此名字可以恰到好處地表明對(duì)網(wǎng)絡(luò)安全研究的一種象征。”于旸說。

騰訊玄武實(shí)驗(yàn)室目前除了配合其他安全部門工作外，也著手一些項(xiàng)目研究，大概分為以下三個(gè)方向——研究傳統(tǒng)基礎(chǔ)網(wǎng)絡(luò)如Windows、linux等相關(guān)信息;研究智能手機(jī)安全;研究各種智能硬件的網(wǎng)絡(luò)安全。

在今年7月，騰訊玄武實(shí)驗(yàn)室挑戰(zhàn)微軟“漏洞緩解繞過”項(xiàng)目成功，獲得對(duì)方4.5萬美元高額獎(jiǎng)金，同時(shí)也幫助微軟產(chǎn)品提高防御能力。隨后的10月16日，玄武實(shí)驗(yàn)室又獲得聯(lián)想集團(tuán)公開致謝，后者感謝該實(shí)驗(yàn)室提交的Think系列產(chǎn)品四大漏洞幫助幫助聯(lián)想守護(hù)了億萬用戶的安全。

據(jù)了解，本屆峰會(huì)有來自BAT以及IBM、寶馬(中國(guó))、華為、京東、聯(lián)想、滴滴等互聯(lián)網(wǎng)產(chǎn)業(yè)鏈優(yōu)秀企業(yè)及知道創(chuàng)宇、綠盟科技、啟明星辰、天融信等互聯(lián)網(wǎng)安全企業(yè)的百余位技術(shù)領(lǐng)袖系數(shù)出席。騰訊副總裁丁珂在大會(huì)開幕式致辭時(shí)總結(jié)了“構(gòu)建安全新生態(tài)的三個(gè)趨勢(shì)”，引起業(yè)界巨大方向。