连老板都不放过的“黑客”技术军团,这一次瞄准了腾讯微校

时间:2019-08-29 01:33      

随着产业互联网时代的到来,安全问题越来越受到大众的关注。教育行业中频发的安全事故,腾讯微校在引以为戒的同时,在迭代中不断地为产品装上一把更牢固的锁。此次抱着以攻促防的目的,腾讯微校携手腾讯蓝军,通过模拟攻击来找寻系统和机具上可能存在的安全漏洞。

“不对啊,我明明收到了中奖信息。”腾讯安全平台部的小M盯着手机短信,百思不得其解。

前些天,小M在圣诞晚会期间收到了中奖信息:(腾讯科技)亲爱的XX,恭喜您在圣诞晚会中获得三等奖!请登录……验证您的员工信息,领取专属于您的圣诞大礼……

但是左等右等,奖品始终没有发放。他一通电话杀到了行政那,本来想问问奖品究竟什么时候发放,没想到却被告知,中奖名单里没有他的名字。

反复求证无果,小M再次点开中奖链接,这回,屏幕上赫然显示出几行单词:

YOU’VE BEEN HACKED!(你被黑了!)

“安全警惕性该提高了。”Lake(腾讯蓝军“头号指挥官”)端着枸杞水从他身后走过,意味深长地拍了拍他的肩膀。

所幸,“肇事者”不是真黑客,而是腾讯蓝军——腾讯安全平台部一支特殊的部队。他们自诩“碟中谍”,正儿八经地拿着腾讯安全平台部给的工资,心安理得地做着黑客的事儿,天天想方设法“搞破坏”,到处攻击腾讯内部的各个系统。

不仅时不时折磨一下亲爱的同事,疯起来时连老板都不放过。没错,连腾讯技术工程事业群总裁的门禁都被他们攻破过,从而反推全公司门禁系统进行了一轮升级和修复。

坑兄弟,我们真的很专业

2017年,腾讯微校(腾讯一个专门做数字校园的团队)找到了蓝军,请他们对微校系统进行防护加固。

J(蓝军成员)对这件事情印象深刻:“当时我们正在全公司范围内推广数据保护项目,微校不光大力配合,他们部门经理还主动找到我们,希望我们能帮他们做安全加固。很难得,安全这一块,是他们整个团队自上而下都在重视的事情。”

“所以,当时我们马上帮他们做了一轮安全加固方案,对信息篡改、用户信息泄露等方面的内容做了测试,出了一个专业报告,给出了建议。”双方就此结下了不解之缘。

近几年来,在教育领域,从《教育信息化2.0行动计划》到《中国教育现代化2035》,再到《2019年教育信息化和网络安全工作要点》,和教育信息化相关的政策不断出台,互联网深入教育行业,带来了整个行业的产业大变革。

随着产业互联网时代的到来,安全问题越来越受到大众的关注。

某大学,辅导员对大四毕业生进行资格审查的时候,发现一名学生的成绩明显不对,经过多方核查,才发现这个学生偷偷修改了自己的成绩。

根据学生辅导员的介绍,该学生有五门成绩不及格,因为担心影响毕业,所以动了歪脑筋,通过自己的技术,入侵学校数据库,在系统上把自己的成绩改到了及格线以上。

这只是一个很小的案例。实际上,不止高校,每个行业或多或少都会存在一些安全风险,并造成经济损失。俄罗斯储蓄银行发布报告称,2018年因网络犯罪导致世界经济损失1.5万亿美元,今年预计该损失将达到2.5万亿美元,增长60%。

面对业界频发的安全事故,腾讯微校在引以为戒的同时,在迭代中不断地为产品装上一把更牢固的锁。

2018年6月到2019年元旦期间,腾讯微校经过了一轮漫长的产品安全升级。从加密、高危服务隔离、自动化运维、最小化授权、登录态隔离、防批量拉取、数据泄漏可追查等十二个方面,对微校系统与硬件进行了多维度检测。产品研发团队花了大量时间盘点系统敏感信息,核查是否得到足够和合规的安全保护,并进行整改加固。

“通俗来讲,我们给微校的系统加了一个网。”微校安全负责人麦子解释,“这个网加了之后,相比之前来说效果怎么样?还会不会有其他问题呢?我们当时就想,不如采取最直接的方式,让蓝军来对我们进行一轮攻击,在真实环境里做渗透测试,也就是传说中的‘以攻促防’。”

为了尽快把测试提上日程,腾讯微校副总经理H亲自出马,来到蓝军的办公点堵人,大打感情牌:“大家同属于TEG,兄弟一样,论亲,谁也亲不过我们。好,就这么说定了,测试安排上。”

蓝军:“……”

“万万没想到的是。”J表示,“身为‘亲兄弟’,微校居然得寸进尺,聊完了软件测试,又要我们‘顺便’把硬件也测一测。”

由蓝军统筹,硬件的安全测试,交给了系腾讯内部,与蓝军一样同属于安平部门的Tencent Blade Team负责。说起来,这也是一支神奇的团队,在过去的两年时间里,已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了200多个安全漏洞。

图:腾讯微校消费机具

在智能设备安全研究方面,Tencent Blade Team更是战果累累,包括报告目前所有谷歌TensorFlow AI框架漏洞并协助其建立漏洞响应机制,发现Google Home智能音箱首个无接触漏洞,成功实现远程操控智能家居与商业楼宇,破解亚马逊智能音箱Echo等。现在,腾讯微校的消费机具等硬件也能享受到同等“待遇”。

安全是一座大厦的根基

没有锁屏的电脑,很容易成为黑客入侵公司的绝佳途径。作为披着安全专家外皮的“黑客”,蓝军当然不会手软,只要团队里有谁的电脑没有锁屏,大家立刻会乐此不疲地入侵他的电脑,发动“物理攻击”,在企业微信工作群中用他的账号发一句:“我请大家吃凯宾斯基(五星级酒店)。”还美名其曰:这是一场身体力行的安全教育。

被暗算多了,J聪明了,不仅电脑时刻锁屏:“他们发给我的链接,我都要仔细看三遍,确定没问题才点开。”

从源头就开始收敛潜在安全风险,在产品研发阶段就充分考虑安全设计,而不是等到事发之后才匆匆补救,这是产品最理想的安全状态。

在腾讯内部,以往主动来“勾搭”蓝军的,大多是类似金融支付、大型游戏、腾讯云或者数字广东这一类公司重点战略板块。

“像金融支付,国家监管非常严格,产品背负的压力也很大,所以他们特别注重安全,我们会不断帮他们测试、加固,提升安全防御能力。”

腾讯微校的外部压力没那么大。但即便如此,他们还是在产品没有进入市场前,就找蓝军做了一轮加固。如今升级,又找上了门,J笑着说:“从我们的角度来看,这是一件非常难得的事情。”

微校喜欢未雨绸缪,对他们来说,安全是一座大厦的根基。

“在产品研发阶段,我们就开始考虑安全。因为做产品时,初期为了快速预演,会使用一些开源的软件,它们可能存在着一定的缺陷,这些问题越早发现越好。好比建造城堡,一开始有问题,重建,总比建成规模后才发现问题好得多。”麦子解释,“还是需要做前瞻性规划的。毕竟根基决定整栋楼的承重,有缺陷的话就很难直接再一边往上叠,一边把根基换掉。”

没有绝对的安全,只有动态的安全

L是这次安全攻防测试的主要操作者,蓝军中的一员,传说中的码农。他爱看的书,不是计算机编程,而是《群居的艺术》。

《群居的艺术》是一本偏社会学的书籍,在L看来,认知一个社会怎么从单个人,到几个人,到一个种族,再到一个社会,是一件很有意思的事情。

“这一类书带来的不是技术,更多是想法。从一个人到两个人再到一个组织,可能是出于某种需要,比如我在围捕猎物的过程中发现人力不够,需要团队合作。而当我们的猎物受到攻击者的抢夺时,我们也会去考虑,形成一个整体,大家开始谈合作,以趋向于大家一起完成一个更大的目标。”

当然,对L来说,人一多,意味着能够完成更宏大的事情,同时也意味着错误也就越多。代码的编写,系统的组成,一个越复杂的软件,需要越多人合作,而两个或者一群人的合作,反而会暴露更多可能发生错漏的环节。“他开发了一部分代码,他开发了一部分代码,他们在把代码合并或者交界的过程中,一定会出现很多问题。”

不懂社会学的码农不是好黑客。L作为一名好黑客,见解独到:安全问题更多时候是出现在人身上。

“在模拟黑客寻找漏洞的过程中,当我们发现很多路走不通时,往往会走另一条路,以人为角度来审视整个系统,比任何都管用。透过人类合作的本质,倒推可能出现问题的点,我们习得这种思维,能够更快发现漏洞。”

从某种意义上来说,蓝军在寻找漏洞,也是在探寻“人”。

图:腾讯蓝军讨论会

2019Verizon数据泄露调查报告(DBIR)基于41686起安全事件和2013起数据泄露的真实数据,数据由全球86个国家的公共实体或私有实体的共计73个数据源提供。该报告指出,大部分行业中,由内部人员引起的安全事件,概率相当大。在教育行业,这个数字达到了45%。

网络世界里,物理层做得再安全,流程规范做得再安全,但有很多东西,都是不可控的。人是一方面,由“人”引出来的合作漏洞、机房看管疏漏等问题,都会造成各种意想不到的风险。

“在网络安全领域,很小的一个点,人的一个疏忽,就可能把很坚固的网络捅破。”J表示,“而且,技术在不断更新,环境在不断变化,我们现在加固的方案,适用于现在,拿到三年后来看,也许已经跟不上了。”

微校当然也知道这一点。他们不断去做的,就是在注重产品自安全设计的基础上,尽可能地去洞察“人”,并在每一次升级中扩大测试范围。麦子说:“做好安全要无数个点,一般人可能做到了一千个点,而微校会尽力去做到两千个、三千个、四千个……”

“学生在使用校园卡的时候经常有丢卡的情况,就会产生被盗刷和冒充身份的风险。为了防止丢卡的情况发生,我们最初设计了腾讯校园码的产品方案来解决。但手机也存在丢失或者校园码被人截屏的可能性。所以在迭代过程中,我们做了些应对,管理者也可以通过截屏冻结等措施为学生及时止损。近期,我们也提前预设了一整套的风控垫资策略,以防止学生恶意消费等情况的发生。”

微校和蓝军一样,都站在“人”的角度上去思考安全问题。面对日趋复杂的网络环境,个人敏感隐私数据与资产安全面临的威胁及挑战变得越来越大,因此,他们把安全评估的重点放在了学生个人敏感信息与资金流动的每个环节中。

图:腾讯校园码

“世界上没有绝对的安全,但我们努力守护‘动态的安全’。”麦子说,“就算它是一个黑洞,我们也会在过程中,不断进行加固。”

护航高校信息化生态安全

平日里,我们总是说黑客,攻击,听起来很“高大上”,说网络安全,听起来很“高科技”。但现实中,安全其实是由非常多很小、很不起眼的基础细节组成的。从员工日常行为,到服务器本身的安全策略,到业务写代码时保证代码不会出现漏洞,再到运维时不会出现一些风险,这些所有东西合在一起织成了一张网。

这张网,靠各方共同守护,除了产品自身的安全设计和业务发展过程中,把安全渗透产品每一层每一级中,腾讯微校更大程度地借助整个腾讯的开放能力,形成生态上的安全防护体系。

“如果学校愿意运用腾讯的系统能力,安全防护力会提升一些。打个比方,通过微信校园卡进行校内支付,借着微校可以依托腾讯计费的支付体系。腾讯计费支撑着公司内部千亿级交易流水规模,过去十几年为QQ、微信、王者荣耀、腾讯云提供了坚实的保障。此外,腾讯计费打造的奥丁风控平台,实现秒级实时监控和7*24小时容灾体系保障。腾讯微校携手腾讯计费,打造了一整套数字校园消费、对账、结算的智慧交互方案。通过微信就可以完成所有微校校园里面的支付流程,高安全也更便捷。”

除了支付,也包括身份认证能力、图像识别能力、物联管理能力等,微校的系统承载着腾讯这么多年在各个领域里的开发能力,背靠整个腾讯的安全防护体系。

蓝军之外,腾讯安全平台还自主研发了“宙斯盾”DDoS攻击防护系统,“门神”WEB防火墙、“洞犀”WEB漏洞扫描系统、“洋葱”反入侵系统等多款内部安全工具,建立国内首个企业自建应急响应中心Tsrc,构建了完备的数据安全内部体系。成立于2005年的腾讯安全平台,对内专注保障QQ、微信、游戏等腾讯全线产品、业务和核心数据的安全,能力涵盖网络保障、漏洞收敛、应用防护、入侵对抗、威胁情报、安全质量提升等多方面。

背靠腾讯安全生态,微校在产品上线不久之后,就取得了国家信息安全保护等级三级认证(简称“三级等保”)。三级等保是民营企业最高的安全认证等级,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格,对企业的硬件、软件、规章制度等都有严格要求。

据前瞻产业研究院发布的《中国网络安全行业发展前景预测与投资战略规划分析报告》统计数据显示,截止至2018年底,中国网络安全行业市场规模约达到了478亿元,同比增长4.57%。相关数据预计2019年我国网络安全市场规模将达到680亿,较上年增加25%,预计两年内,中国网络安全将形成千亿市场。

“事实上,安全是一件做了大家感知并不深刻,但是如果没做,可能就是负五百分,负五千分的事儿。”产业互联网拉开序幕,大家开始在浪潮里,意识到了安全的重要性。

“身处教育领域的我们早就意识到了。”麦子表示,“我们身上始终背负着一份责任感,这份责任感使我们从产品研发阶段的安全设计,到动态过程中的安全加固,再到生态安全,这一整张安全大网,哪一块也不敢遗漏。”

杏彩网页版