當前位置:100EC>電商人物>騰訊安全楊勇:產業互聯網帶來哪些新的安全挑戰
騰訊安全楊勇:產業互聯網帶來哪些新的安全挑戰
發布時間:2019年06月17日 10:27:48

(網經社訊)在2019騰訊安全國際技術峰會上,騰訊安全平臺部負責人、騰訊安全學院副院長楊勇向TechWeb等表示,產業互聯網的發展給安全問題帶來很多新的挑戰,具體表現在三個方面。

騰訊安全平臺部負責人、騰訊安全學院副院長楊勇

第一,攻擊面擴大,比如騰訊安全科恩實驗室最新研究的汽車安全問題,實際上就是產業互聯網帶來的,是互聯網跟汽車行業出行安全的結合。

第二,跨界,如果要解決安全問題,現在需要更多不同領域知識的結合。

第三,產業攻擊場景的出現,現在攻擊場景越來越產業化,比如,之前的攻擊是你有一段代碼,操作系統有一個漏洞,然后我把這個漏洞研究好我黑進去了,然后把你的數據偷出來了,這是最主要的表現形式。

產業攻擊場景則不同,比如電商行業,“可能我也是用了這種漏洞,但我的目的是薅羊毛,把你的紅包、營銷費用全給偷走。之前可能我更多是眾多木馬,現在是通過各種各樣的方法去攻破比如互聯網金融的一些東西,通過漏洞、風控的缺陷去攻擊。攻擊完以后,我通過盜用你金融的身份,然后把貸款給你騙出來,然后我去偷,線下再把錢取出來進行消費。”

楊勇進一步解釋說,攻擊場景可以分為兩類,一種是黑客不在乎你知不知道,另一種是黑客很在意你是否知道。而“跨界”黑產往往屬于后者,“比如黑客能夠控制汽車,但我們不能等汽車撞車了再進行防御。”

楊勇稱,當前有黑產甚至可以“薅”出銀行貸款。“目前有不少黑產具備了高素質的團隊和跨界技術,例如我們發現有針對金融領域攻擊的黑產可以做出加征信的操作,他們通過分析銀行的軟件,發現一些金融企業的校驗邏輯都是放在本地的。此后他們直接通過改本地數據開出很多貸款的額度以及虛假的賬戶。”

攻擊面擴大帶來的危害是不同的,比如之前沒有引入出行,更多的是電腦藍屏或者機器手機數據丟失,但當你引入產業互聯網,出行行業里就有可能造成人身安全問題。

但反過來看,最大的風險并不是這些安全問題,最大的風險在于不發展。“安全不僅僅是給大家闡明有哪些風險,安全的最大價值是告訴我們可以安心發展。”楊勇說到。

以下為部分QA摘錄:

Q:隨著產業互聯網的發展,有沒有一些新的安全問題出現,還有您認為安全的發展趨勢以及新領域有哪些?

楊勇:萬物互聯和產業互聯網帶來的問題包括:第一,攻擊面的擴大;第二,跨界。當解決安全問題,現在需要更多不同領域知識的結合;第三,產業攻擊場景的出現。

攻擊場景越來越產業化了,舉個例子,之前的攻擊是什么?之前的攻擊是你有一段代碼,操作系統有一個漏洞,然后我把這個漏洞研究好我黑進去了,然后把你的數據偷出來了,這是最主要的表現形式。

什么叫產業攻擊場景?比如你做電商,可能我也是用了這種漏洞,但我的目的是薅羊毛,把你的紅包、營銷費用全給偷走。之前可能我更多是眾多木馬,現在是通過各種各樣的方法去攻破比如互聯網金融的一些東西,通過漏洞、風控的缺陷去攻擊。攻擊完以后,我通過盜用你金融的身份,然后把貸款給你騙出來,然后我去偷,線下再把錢取出來進行消費。

這種情況是什么?很多是產業攻擊場景,汽車也是,樓宇也是。因為什么?因為現在這種萬物互聯以后,其實攻擊場景不再是簡單的偷數據和簡單獲取操作系統的權限。而是什么?而是越來越多樣化,比如汽車其實可以威脅別人人身安全,一些不好的人,因為汽車就像你隨身的東西一樣,也可以竊取你很多隱私。那樓宇更是了。所以,我覺得應該從產業互聯網的變化重新審視安全。

Q:攻擊面擴大之后,過去的黑客現在變成黑客大軍了,黑產已經出現了涉及物聯網安全的,比如像攝像頭竊取、竊聽,甚至可能是智能門鎖等,目前有沒有成規模的案例

楊勇:際上這個問題我們可以分析一下這個問題的本源。什么叫攻擊場景?攻擊場景從您的問題出發實際可以分兩類:第一類,黑客不在乎你知不知道了。第二類,黑客很在意你知不知道了,比如竊聽、偷竊、行兇,他是會做自我隱藏的。

所以,如果我們做這方面的防御,比如汽車的安全,實際上我們是不能指望攻擊場景切切實實發生在我們身邊我們才去防的。那如果真的等飛機掉下來,等汽車撞車了我們再防其實來不及了。比如WannaCry那個問題出了以后,我不知道大家有沒有想過,當時很多機場停飛了。如果我們還不以此為警醒等飛機掉下來的時候,那時候可能就是幾百架飛機一起往下掉了,這個風險點在這里。這一類問題,我覺得更多是想到場景我們就上。

還有就是薅羊毛這件事。這一類事是我們通過我們的業務場景,還有幫助我們云上的客戶就能發現的。這一類很多時候不是未卜先知,實際我們通過大數據、算法能力把這些東西找出來然后進行打擊的。舉一個例子,我們發現金融行業最近被很多羊毛黨,大家都知道羊毛黨實際會刷購物券、返利券、打折券,甚至你到一些電商網站上甚至能買到這些東西,這些明顯是刷出來的。

但大家不知道吧,這些人還干什么呢?比如像礦泉水瓶子里面有獲獎的標簽,很多人會到廢品收回站收,收完以后把瓶蓋集中起來,然后通過一個機械化流水線,然后有一個攝像頭人工智能識別上面的碼,如果有的話把碼提取出來然后集中兌獎。不是黑客已經IoT化了嗎,他是明顯的跨界,從廢品收購產業到人工智能識別,到羊毛黨薅羊毛,人家產業鏈已經非常高素質的團隊了。

我們還看到的一個案例,這個可能很多人不知道,就是我們發現對金融領域的攻擊,他們現在做到很多金融領域實際會給用戶開賬號進行征信的行為,我們發現的一些案例,我們發現有一些干這些事的團隊,有一些就是之前薅羊毛那種,開始往金融領域走。

他們做的是什么?他們有一個專業化的團隊,把傳統分析漏洞的逆向技術、軟件跟蹤技術用在分析銀行的軟件,分析大家手機上金融產業公司的軟件。然后發現他們的一些漏洞,我們發現的一些案例就是,有一些金融企業他們校驗邏輯都是放在本地的。別人通過逆向他手機,發現他的校驗邏輯沒有放在企業的云端,而是放在本地。然后直接通過改本地數據可以開出很多貸款的額度,開出很多虛假的賬戶、虛假的身份,這種是不是跨界,是不是攻擊面的擴大?

但這種產業上的風險是非常大的,因為以前的話我可能只是開出一個10幾20元的會員卡看看電影。但這個可能就是成千上萬甚至幾十萬的一筆貸款,這就是一個產業的變化。

所以,我覺得不管是咱們的出行領域還是風控領域,安全整個事不光是我們幾個部門,甚至公司的事。實際是一個國家甚至全球的事,所以才會開國際技術交流峰會,因為這個東西一旦打通是大家共同面臨的挑戰。

Q:以前安全行業都是純投入,現在科恩實驗室有沒有盈利?然后除了車這一塊,其他方面有沒有一些經驗?

騰訊安全科恩實驗室總監呂一平:要提這個的話就要提930變化,去年騰訊做了一個調整,由消費互聯網轉型產業互聯網。當時調整比較大的是CSIG,就是云與智慧產業事業群,像我們跟楊勇他們分工還有一些區別,他們是保衛騰訊自有應用為主要任務,但他們現在也在擴展云能力包括云計算等。他們有很多干貨現在也在向各方面輸出。對于我們來講,既然我們在CSIG的話,我們就需要對一些重點的行業做一些保駕護航的工作。

當然有一點,我們不希望這種合作是免費的,因為只有收費了客戶才會謹慎的考慮我要不要用這個科恩的能力。這是一種雙向的都是一種比較嚴謹的思考和選擇,這樣才能真的配合合作過程中,對方才會比較認真的對待這個事,然后我們一步步把這個事做好。的確,我們現在和行業合作是商業化的合作模式,是要收費來做。

第二個問題,現在除了汽車以外我們還在探索一些新場景。因為剛才楊勇也提,汽車只是一個很小的場景,萬物物聯場景太多了。比如我們今年還會有機器人的項目,機器人會分兩類,一類服務機器人,會面向消費者。一類工業機器人,有點像做智慧制造、智能制造這塊。

服務機器人比如現在在機場、廣場、超市上看到有一些機器人,要么是警務用的巡邏機器人,要么就是看到超市里的導購機器人。那個機器人自重80公斤,最高時速60。所以如果它被惡意操控的話,如果在這邊亂跑,是一個小坦克,它其實會引發一些公共安全問題。這就是為什么這塊對物理世界會造成影響。

我們現在還在看智能電梯,現在電梯上有很多傳感器,它有上通訊模塊,也能通過遠程方式控制電梯。因為這對電梯行業來講,它的需求是原來電梯巡檢靠人跑,一個人一個禮拜跑100個電梯,巡檢工,成本很高的。現在上傳感器以后,遠程控制中心就能夠監控,比如這個電梯部件已經老化了,我要調換,那個地方電梯可能有一些小故障需要去維修,甚至可以遠程下發一些修復指令做修復。這樣的話,它的運營成本可以減少90%,對電梯運營來講是很大的好處。

但是,正是因為引入很多遠程控制、遠程下發功能,如果被惡意應用的話,也會造成控制電梯上上下下不停,對電梯里的驚嚇度甚至安全都是有很大的影響。包括我們在電梯里還做過一個,電梯現在除了人控制以外還有一塊媒體屏幕,要么是投影打點電梯門上,這里面放一些視頻。我們也通過實際案例證明過,我可以替換掉里面的視頻,如果這里面是一些敏感的,我放了一些不該放的東西,這對電梯運營商來講影響會非常大,可能有一些政治不正確的方面會有一些問題。

還有攝像頭,現在安防攝像頭太普遍了,我們的研究也證明我們的在攝像頭上能做到什么呢?大家電影里看到的效果。一個人走過去,攝像頭上面顯示人走過去。昨天晚上不停重放沒有人在的圖像,昨天我回家打開電視正好是《生死時速》,《生死時速》里有一段,壞人用攝像頭監控大巴上的場景,就錄了一段視頻,那個視頻不斷的播放欺騙那個壞蛋,其實我們做的也是類似的場景。但安防場景下,它本身是安全屬性的東西,這個問題就很難被接受,這種安全性失效。

還有智能門鎖,我們其實也做過研究,一個遠程可以打開一個地區幾千把門鎖,這個是可以做得到的。包括我們現在還在看一個工控控制器,比如和電力、能源、化工等一些重要行業,比如化工化學反應、控制,電力變電站的控制,包括智能電表。

你會看到楊勇剛剛提到的萬物物聯剛剛開始,剛剛拉開一個序幕,能做的事情非常非常多,需要關注的領域也很多。關鍵問題是說,其實安全光靠科恩或者是騰訊都不夠,可能也是需要大家一起來努力,來做好這個,才能夠真正保護好我們新的技術應用時代的安全。(來源:TechWeb 文/周小白)


“十一”黃金周落幕,在線旅游平臺消費投訴也隨之增加。據“電訴寶”(電子商務消費糾紛調解平臺)顯示,涉及投訴較多的平臺有途牛、同程旅游、藝龍、攜程、飛豬、去哪兒、馬蜂窩、走著瞧旅行、聯聯周邊游、世界邦旅行、俠侶親子游、騎驢游、小豬短租、旅劃算、微旅、igola騎鵝旅行、鉑濤旅行、驢媽媽旅游、青芒果旅行網、發現旅行、訂房易、周末酒店、愛彼迎、愛訂不訂等。如您有這方面侵權遭遇,請訪問“電訴寶”在線投訴維權。

【版權聲明】秉承互聯網開放、包容的精神,網經社歡迎各方(自)媒體、機構轉載、引用我們原創內容,但要嚴格注明來源網經社;同時,我們倡導尊重與保護知識產權,如發現本站文章存在版權問題,煩請將版權疑問、授權證明、版權證明、聯系方式等,發郵件至[email protected],我們將第一時間核實、處理。

平臺名稱
平臺回復率
回復時效性
用戶滿意度
中彩票500万交税交多少