騰訊于旸：知患于未然，防患于將然——基于知識驅動的安全實踐

來源：手機之家

2022 年 11 月 30 日，騰訊全球數字生態大會在深圳啟幕。此次大會以 " 數實創新，產業共進 " 為主題，聚焦數字技術與實體經濟創新發展，旨在匯聚全球智慧洞察產業發展新機遇，描繪云、AI、大數據、安全等關鍵技術的發展藍圖，展示騰訊最新的研究成果、戰略規劃、前沿技術、核心產品、解決方案。

在 Techo 前沿技術論壇上，騰訊安全玄武實驗室負責人于旸帶來了題為《知患于未然，防患于將然》的主題分享。于旸認為，解決安全問題很多時候需要多點能力同時起作用，因此玄武一直主張要建設包括軟件靜態自動化分析、基于虛擬化的動態自動化分析能力以及包括網絡實戰攻防能力、供應鏈大數據安全能力等在內的全棧安全能力，并將這些能力輸出給安全產品，為產品提供賦能?；谶@個思路，玄武實驗室做了很多產研結合的嘗試，例如，將實驗室在內網滲透的知識和技能的積累輸出給騰訊安全 SOC+ 產品，顯著增強了其在域滲透防御場景和 Java 反序列化場景的安全能力。

同時于旸也認為，" 防患于未然 " 雖然很理想，但其實施成本過高，而 " 知患于未然，防患于將然 " 或許是平衡業務發展效率和安全的更好的思路。通過對安全威脅的充分感知和了解，在可能的攻擊面和攻擊渠道上預先布點，可以實現在平常的時候不干擾業務，但是在攻擊威脅即將要出現、快要出現的時候，又可以快速地去啟動安全防御措施。

以下是實錄全文。

我是騰訊安全玄武實驗室的于旸，今天給大家分享的主題叫《知患于未然，防患于將然》。在這里和大家分享我們玄武實驗室，基于知識驅動的安全實踐。

首先向大家介紹一下玄武實驗室。玄武實驗室是 2014 年成立，從成立之初一直在貫徹一個理念：要構建全棧的復合安全能力?；谶@樣一個能力，對內支持公司的業務，對外服務社會和行業的需求。

我們認為安全是一項非常特殊的能力，安全能力是由多個點組成的。在解決很多問題的時候，往往這一個問題是需要多點能力去同時起作用。只是一個點上的能力，哪怕再強，在面對很多復雜的安全問題的時候，也會覺得很笨拙。這就是為什么我們一直在主張，要建設一個全棧的安全能力?；谶@樣一個全棧安全能力，我們打造了多種不同的業務的安全能力，包括軟件的靜態自動化分析，還有基于虛擬化的動態自動化分析能力，也包括網絡實戰攻防能力、包括供應鏈大數據安全能力等。在這一層的業務安全能力之上，對公司內部的各種重要的業務，又進行了安全能力的輸出。包括公司內部各項產品的安全檢測需求，也包括公司對外的網絡安全產品的防御能力的增強。

同時我們還和公司內部不同的業務部門，聯合開發了包括智能合約安全檢測系統，移動應用的隱私合規檢測系統等。公司的青少年守護和反黑產相關的業務，其中也有我們實驗室能力在里面。這個地方講的是我們對公司內部的一些業務的支持，接下來跟大家簡單介紹一下對公司外部，也就是行業和社會的一些安全能力的輸出。

我們實驗室從 2014 年成立之后，經歷了幾個不同的發展階段。但是無論在哪個發展階段，我們始終堅持有一部分的精力，去從事面向外部、面向行業、面向社會的安全研究。在實驗室 8 年的歷史當中，我們發現了上千個外部的安全問題，通過向行業、向社會對這些安全問題進行通報進行分享，以及幫助行業去解決和修復這些安全問題，我們也收獲了在行業里面的一些很好的效果。接下來選取三個比較典型的例子和大家分享一下，過去幾年中對外輸出的一些安全研究。

在 2015 年玄武實驗室發現了一種非常特殊的安全問題，這個安全問題影響全世界幾乎所有的條碼閱讀器廠商的大部分安全產品。據統計大概超過 80% 的條碼閱讀器產品，無論是掃一維條碼的，還是掃二維條碼的產品，全部都受影響。

利用安全問題，攻擊者甚至只需要通過掃描一個條碼就可以實現入侵條碼閱讀器所連接的系統。在更極端的情況下，甚至可以通過發射一束激光，就可以入侵在很遠地方的條碼閱讀器所連接的系統。由于條碼閱讀器是一個應用非常廣泛的設備，不只是在掃碼支付這樣一個場景下，實際上在醫療制造交通物流等等，非常多的場景下都會得到應用。所以安全問題實際上影響非常廣泛。

從 2016 年開始玄武實驗室和微信支付合作，對國內的主流掃碼器廠商的大部分產品都進行了檢測，并且幫助這些廠商進行安全的修復。更重要的是幫助這些廠商認識了掃碼器其實也是會存在安全問題的，而且會很嚴重，幫助他們理解了這樣一點，所以確實是花了不少時間，但是也很自豪，我們幫助中國的掃碼器行業，大大的提高了整個行業的安全水平。

還有一個案例，是發生在 2017 年的年底。在這個時候正好是手機行業剛剛引入屏下指紋識別技術，在這個時候我們對屏下指紋識別技術這樣一個新技術做了研究。我們發現這個技術實際上它存在一個非常嚴重的安全缺陷。攻擊者僅僅只需要一片塑料，甚至是一張紙，就可以繞過屏下指紋識別瞬間解鎖手機，甚至可以完成后續的支付等各種各樣的指紋驗證操作。由于這個問題其實是存在于屏下指紋識別技術的原始設計思想當中，所以無論哪個廠商生產的屏下指紋識別芯片，無論它應用到了哪一部手機上，全部都會存在這樣的問題。我們發現這個問題之后，差不多花了接近一年的時間，逐一地對各手機廠商的產品進行檢測。并且通過手機廠商進一步地去影響供應鏈上游的芯片制造商，最終為整個手機行業消減了非常嚴重的安全隱患。今天無論你使用的是哪個品牌的手機，只要有屏下指紋這樣的功能，其中都有我們實驗室的工作成果在里面。

在 2019 年底的時候，玄武實驗室對當時剛剛開始火起來的快速充電技術進行了研究，在快充設備里面又發現了一系列的安全問題。在此之前，可能大家聽說過手機和筆記本電腦是可以被入侵的，但是我們發現其實連充電器都是可以被入侵的。我們在研究當中，在當時的數百款快速充電產品當中抽樣了 35 款，在這 35 款當中發現其中 18 款都存在各種各樣的可以被入侵的安全問題。攻擊者可以通過一個已經被入侵的手機，或者是已經被入侵的筆記本電腦，去入侵它所連接的快速充電設備。也就是如果你的手機或者筆記本電腦已經被入侵了，那么攻擊者可以控制它進一步地入侵你的充電器，反過來再通過被入侵的充電器向被充電設備提供異常的電壓和電流，最終可以導致被充電設備的燒毀。

這是非常罕見的，可以通過網絡攻擊，最終在我們的物理世界中造成損害的安全問題。我們通過向行業主管單位的報告、向相關企業的輸出，最終也是幫助整個行業對這樣一個問題進行了消除，因為這確實是一個非常嚴重的安全隱患。

剛才介紹了三個我們面向社會，和行業輸出的安全研究。最近兩年實驗室又有了一個新的使命，就是要把我們基于多年全棧安全研究上的積累，以知識和數據驅動的思路通過最大化利用我們作為防守方的優勢，來緩解傳統的防患于未然思路下的業務需求和安全需求的矛盾。

因為以前我們講安全，首先我們希望能夠 " 御敵于國門之外 "，能夠防患于未然。但是慢慢的發現，防患于未然的成本太高了，而且防患于未然這樣的目標和訴求，會加大做安全和業務之間的矛盾。但是如果能夠對攻擊者的技術，對于攻擊者的信息有一個充分的了解，甚至你比攻擊者還要更加的了解，在這樣一個前提之下，實際上是可以把可能的攻擊面攻擊渠道實現一個預先的布點，預先埋設一些探針。利用這樣的一種思路，可以實現在平常的時候不干擾業務，但是在攻擊威脅即將要出現、快要出現的時候，又可以快速地去啟動安全防御措施，當攻擊出現的時候可以及時的發現攻擊。

基于這樣的思想我們實驗室也已經有了一些安全實踐，接下來跟大家分享其中一個典型的案例。

SOC+ 是騰訊安全的一款內網防御產品。我們知道做內網防御和做外網防御有一個很大的不一樣，就是外網防御有一個清晰的邊界，但是內網防御往往會面臨內網的資產眾多、用戶數量非常多、內網的結構很復雜、內網的業務很多，最重要的是內網的邊界內部缺乏一個清晰的防御邊界，所以內網安全防御一直是一個比較難解決的問題。入侵者往往只要有辦法進入到內網之后，接下來幾乎就可以橫行無忌。

玄武實驗室在歷史上對把內網滲透相關的問題，做過長期的研究。在實驗室歷史上個入選國際安全會議的研究中有 6 項都是和內網滲透相關的?；谖覀儗染W滲透的知識和技能的一個積累，那么向騰訊安全的 SOC+ 產品輸出了域滲透防御場景增強和 Java 反序列化場景增強兩個點，最終拿著增強之后的產品在用戶那測試發現，僅僅是在一個月的時間里，在單個用戶的域滲透防御增強這樣一個方案，就發現了 6 起真實發生的內網環境里的滲透。我們的 Java 反序列化防御增強方案也是在單個用戶僅僅是一個月的時間里，就發現了 14 起真實發生的外部攻擊。

接下來玄武實驗室還會進一步的去實踐 " 知患于未然，防患于將然 " 的這樣一個思路，把更多的這些年積累下來的安全能力、安全知識安全技術去輸出到騰訊的安全產品當中，幫助更多的客戶去做好安全。