<small id="ywpfw"><dl id="ywpfw"><dfn id="ywpfw"></dfn></dl></small>
  • <b id="ywpfw"><small id="ywpfw"><dl id="ywpfw"></dl></small></b>
    1. <input id="ywpfw"><big id="ywpfw"><i id="ywpfw"></i></big></input>

    2. <b id="ywpfw"><address id="ywpfw"></address></b>

      <wbr id="ywpfw"><ins id="ywpfw"></ins></wbr>

      En

      Blade:企業安全研究團隊建設運營思考

      作者:lake2公布時間:2019-08-28閱讀次數:5519評論:0

      分享

      作者:騰訊安全平臺部 lake2

      【前言】


      新的技術應用、新的業務形態可能帶來新的安全問題,這些潛在的風險值得企業安全團隊預先研究預防,對這部分新型安全問題進行研究,是一份充滿激情充滿挑戰的工作,也能讓每個熱愛安全技術的同學興奮,但是研究工作往往有一定前瞻性,很容易脫離企業實際情況進入自娛自樂的境地,有時候又會陷入困境甚至很久都沒有產出。那么,如何讓企業的安全研究工作既能仰望星空又能腳踏實地呢?

      本文是筆者在實際工作中對研究團隊Tencent Blade Team的建設和運營過程中一些想法、思考、實踐和經驗的總結,歡迎大家一起來探討。


      【他山之石】


      我們就以著名的騰訊安全科恩實驗室為樣例,試著剖析一下它的發展。之所以選科恩,一是因為它的聲望和地位完全符合業界一流安全研究團隊的要求,實至名歸;二來我們很早就和它的掌門人wushi建立了深厚的友誼(wushi十多年前給我們報告的嚴重漏洞直接推動了騰訊安全公告機制的建立),對科恩實驗室很熟悉。

      科恩實驗室的前身是KEEN Team,一直專注于客戶端漏洞挖掘,發現過包括微軟、谷歌、蘋果在內的大廠商的漏洞。KEEN Team聲名鵲起是在ZDI舉辦的國際漏洞比賽Pwn2Own:從2013年開始,KEEN Team都是Pwn2Own的絕對主力,更是一度蟬聯“Master of Pwn”的稱號。后來KEEN Team中的一部分成員加入騰訊安全成立科恩實驗室(科恩即KEEN的音譯),wushi擔任負責人(技術級別T5,是騰訊技術通道中為數不多的T5大神之一),另一部分則由大牛蛙繼續帶領發展,國內著名的黑客大賽GeekPwn即是KEEN Team舉辦。

      wushi曾經說過,科恩實驗室研究方向的選擇基于三個“能不能”原則:能不能持續提高核心能力;能不能影響一個產業或業務;能不能對目前的業務有所幫助。這三個原則也就是讓研究工作與實際相結合做到學以致用,指導著科恩實驗室走向勝利。

      那么,我們來看看科恩實驗室做了哪些工作:

      參與國際黑客大賽Pwn2Own、黑客大會BlackHat、各類CTF比賽(騰訊eee戰隊了解下)及主辦騰訊國際安全技術峰會TenSec、舉辦TCTF等,持續為公司業務提升品牌影響力; 


      在移動安全領域的研究主要是iOS越獄及Android root,奠定了移動安全領域的核心競爭力并反哺業務(KingRoot); 


      研究和破解特斯拉、寶馬,探索車聯網的安全風險進而開拓車聯網安全業務,助力騰訊的產業互聯網布局; 


      與內部安全團隊展開深度合作,比如將移動安全能力支持內部安全系統(騰訊內部的金剛終端安全審計系統即整合了科恩的這部分能力)、聯合實施產業互聯網安全項目、聯合舉辦會議/內部CTF比賽等; 


      ……

      我們可以看到,科恩實驗室的研究工作都遵循了三個“能不能”指導方針,也是保證實驗室的研究既能跳出當前視角布局未來又能結合業務需求輸出績效。當然,筆者管中窺豹,不及wushi大神思想之萬一,只因當下筆在我手,各位讀者權且聽之。

      當然,騰訊安全旗下還有另一位T5大神tombkeeper(人稱tk教主)領銜的玄武實驗室、頂級漏洞挖掘專家yuange(袁哥)領銜的湛盧實驗室以及反病毒專家超級巡警創始人killer領銜的云鼎實驗室等,都是非常值得學習的,請恕筆者掛一漏萬。


      【思路探討】


      學習完了先進案例,現在我們回過頭來總結一下思路。

      首先我們要想清楚安全研究團隊的目標是什么。

      安全研究團隊肯定是需要結合業務實際情況對新技術新趨勢進行預先研究,提前發現安全風險并且輸出解決方案。這里的“結合業務實際情況”非常重要,作為企業的安全研究團隊,我們要緊跟企業業務的實際需求才能讓研究工作是有用的。一些研究項目太不切實際(或者說太超前),即使有成果但最終成果卻在幾年內都沒法落地也只能束之高閣。基礎研究自然另當別論。

      因為研究團隊往往會脫離工程團隊的目標甚至本身就沒有KPI,很容易走偏進入自娛自樂的境地,就像脫韁的野馬,最終與企業實際需求脫節,這個時候就需要類似科恩的三個“能不能”原則來判斷研究方向是否值得投入。

      舉個例子。

      現在行業約定俗成的展現安全實力的方法是比較大廠商(如微軟、谷歌、蘋果)的漏洞致謝數量和國際安全會議(如BlackHat、DEFCON)演講數量、發表技術文章以及安全工具。展現安全實力的目標是提升影響力,表面上看各個廠商只是刷個致謝榜,深層次各個團隊還是會通過各種渠道把產生的影響力變現,這里的最終目標需要思考。

      一個階段做一個階段的事情,筆者見過一個小企業的安全團隊在自身的安全建設還有很多盲點的情況下,還不斷的對外去發文章發工具刷影響力,明顯屬于東施效顰。

      對于研究團隊,工作職責本身是對新領域的探索,很難有量化指標,故采用傳統的KPI方法進行績效考核是不太合適的,不設KPI又似乎太天馬行空了,可以采用OKR方法來制定和分解目標,實踐證明OKR更能激發團隊的創造力。對OKR方法感興趣的讀者自行搜索,在此不贅述。

      其次是想清楚研究團隊的組織結構。

      筆者認為安全研究團隊要脫離工程團隊的日常運營,結合業務實際發展需求,能夠輕裝上陣比較純粹快速的對某個新領域進行學習和研究,通過研究成果指導工程團隊布局新領域。簡單說就是研究團隊負責發現新的安全風險并提出解決思路和概念證明,然后交由工程團隊落地執行。

      為什么要脫離工程團隊呢,這樣研究團隊的目標能夠更純粹,不會受累于其他事務,所以能夠專注去做研究有更多的產出,同時也能輕松進入新領域。

      接下來就是人才了。

      專業能力和興趣缺一不可。專業的人很重要,特別對于攻堅突破的安全研究團隊,可以說人的專業能力直接決定了事情的成敗。所以我們要根據待研究領域的專業能力分類,招募具備或者有潛力具備這部分能力的人才。同時大部分時候研究工作又是很枯燥的,興趣是能夠長期堅持下去的主要因素。

      天時地利人和之后,剩下的一切就交給時間了。要尊重客觀規律,研究工作不是簡單加大人力投入就能提速的。比如我們做的智能音箱安全研究,足足花了一年時間,也就是說一年時間內大部分時間里可能沒有任何輸出,團隊心態要好,既要坐得了冷板凳又要抗得住聚光燈。


      【Blade前世】


      騰訊安全中心(現安全平臺部)很早就有開展安全研究工作,只是當時部門成立之初,人員較少,主要工作還是在應急救火,所以安全研究工作都是兼職或者個人興趣。

      即使條件如此之艱苦,但是大家對安全的執著和興趣是不變的(這就是信念)。當年涌現出一批不錯的研究成果:熾天使的無文件無進程無端口的“三無”vbs木馬、apple的虛擬解析執行JavaScript的網馬檢測技術、mango的主機配置安全基線以及lake2的flash CSRF(請允許我吹噓和自我吹噓)……最終這些成果都轉化為了新的系統和策略,有的現在仍然在運行著。

      接下來中心升級為部門后,重點工作是建設基礎安全體系,安全研究工作仍然是兼職或者個人興趣,安全人員的數量得到了提升,這一時期的研究成果比較豐富。

      研究涉及安卓、iOS、GSM、偽基站、RFID、USB、NFC、BYOD安全等等,完成了終端安全審計系統“金剛”的原型,還找華強北的商家定制了具有自主知識產權的防盜刷錢包和安全USB數據線。當然少不了當時背后的一幫高手:firewings(CCG成員,騰訊游戲移動安全負責人)、職業欠錢(美團基礎安全負責人)、cradmin、xti9er(與ayazreo合著有《互聯網企業安全高級指南》)、riusksk(泉哥,著有《漏洞戰爭:軟件漏洞分析精要》)、gmxp、nicky(TSRC著名白帽子)、blast(《白帽子講瀏覽器安全》作者)、Peter、龔老板、Xbalien、monster、popey、dragonltx、asky、樊少、do9yg、kimyok、wolf、zhuliang……


      (防盜刷錢包) 

      除了以上,2014年大家當時明顯感覺智能設備會爆發,所以最開始大家也對智能設備安全多有研究。稍微知名一些的智能設備都被我們一一破解,我們所在大樓的各種車禁門禁攝像頭統統破解如入無人之境,飯卡里面的錢多得溢出(作為白帽子自然嚴格遵循法律只測試)。另外還組團參加了14、15年的黑客破解大賽GeekPwn,現場演示破解一系列智能設備,包括無人機、智能插座、智能烤箱、移動POS機、藍牙門鎖、智能攝像頭。

      團隊在這些研究成果之上提煉出智能設備的安全開發經驗并且制訂了公司的《智能設備安全開發規范》,也對當時騰訊正在探索的如騰訊路寶、糖大夫、小Q機器人、微信相冊、智能音箱等智能設備進行安全評測,及時修復了安全漏洞。


      【Blade今生】


      幾經輾轉,部門終于成立了一個專職的安全研究團隊,可以真正脫離工程潛心搞研究了。研究團隊不設KPI,采用全新的OKR管理方法,也結合業務實際需求重點對AIoT、移動終端、區塊鏈、虛擬化安全、可信計算等幾個新領域的安全問題進行探索,一般是進行預計半年到兩年內能看到產出的研究項目。

      經過一段時間的積累,年輕人們不負眾望,威力爆發出來了,Blade已經具備量產大廠商漏洞的能力(如谷歌、蘋果、亞馬遜、高通),也在BlackHat、DEFCON、HITB、CanSecWest這樣的國際安全會議中嶄露頭角。在不久前結束的BlackHat & DEFCON上就有Blade的5個議題,與兄弟團隊科恩、玄武一起包攬了11個議題,不僅是本屆議題入圍最多的國內企業,也創下國內議題入圍數量的歷史記錄。

      騰訊安全十一大議題亮相2019年Black Hat & DEF CON
      以演講時間排序

      對于物聯網安全的研究,其實就是之前我們對智能設備安全研究的延續,也就是智能設備本身加上端和云構成的網絡。越來越多的智能設備接入互聯網,特別是涉及到物理接觸的設備,危害也從以前的虛擬財產損失到物理損害乃至人身安全,可以預計未來IPv6、5G、邊緣計算等新技術普及后物聯網設備安全漏洞的危害將會更大,黑產也會蔓延到這一塊來。

      物聯網安全的問題主要來自四個方面:終端、控制端(比如手機APP)、通信協議、云端,萬變不離其宗,其中大部分是傳統安全工程師可以搞定的,比較新的是對硬件的分析,還有引入的新的通信協議(類似ZigBee、LoRa、NB-IoT這些),我們的安全工程師們也要不斷的學習努力做到全棧(nicky同學為了拆芯片提固件,專門去著名的深圳華強北找老師傅學習焊接)。針對這四個方面去找問題就能發現實現上的漏洞,同樣針對這四個方面去做安全防范,也可以解決絕大部分漏洞。



      基于這個思路,團隊發現了谷歌、亞馬遜智能音箱的漏洞,我們都分別提交給了廠商的安全團隊,均已修復。同時小米安全中心、華為PSIRT也主動邀請Blade參與安全眾測。可以看到,大廠商都非常重視自身產品的安全,對用戶來講這是個好事。順帶提一下,小米華為的安全獎勵計劃大家可以去體驗下,我們的體驗的結論是還不錯。行文至此,騰訊安全應急響應中心及漏洞獎勵計劃也必須提一下。

      同時在泛物聯網安全上,我們選擇的是智能樓宇。近水樓臺先得月,號稱滿滿黑科技的騰訊全球總部深圳騰訊濱海大廈成為我們的測試對象,同樣發現的安全風險已經讓供應商修復。我們在物聯網安全領域的一些技術積累也依托騰訊云進行輸出,助力產業互聯網。



      近幾年AI比較火,其應用也比較廣泛,它的安全問題同樣值得關注。AI安全問題主要分兩類:一個是自身算法的問題,這個是新技術引入的新問題,常見的如給圖像覆蓋一個圖層或加入某些干擾點導致AI識別錯誤;另一個是來自傳統安全的問題,比如圖像識別系統對異常圖像處理時出現內存型安全問題;另外還有一類算是新的趨勢,即AI技術被黑產利用,現在看到的有利用CNN破解圖片驗證碼以及通過照片模擬生成3D動畫繞過活體認證。



      谷歌的TensorFlow框架是一款使用廣泛的機器學習框架,因為其使用廣泛,Blade對它進行過深入研究,團隊成員cradmin(當時剛從服務器安全系統“洋蔥”運營轉到blade做研究,后成為技術負責人)發現了TensorFlow處理模型文件的一個缺陷 —— 只要系統使用了黑客惡意修改的模型就會導致系統被直接控制。我們想把漏洞報告給官方的時候才發現TensorFlow還沒有漏洞響應流程,于是還幫助官方建立了這個流程,并包攬了它的前8個CVE。

      新華社記者聽說團隊發現了人工智能框架的漏洞,就想要來采訪,于是團隊得有個名字。筆者與gmxp(前技術負責人、現華為云安全專家)、juju(運營負責人)商量了許久,最后由老板coolc選定了名字“blade”。blade的中文就是刀鋒的意思,就是希望研究團隊能夠像鋒利的刀一樣去發現問題。由是知名。《古劍銘》里有云:輕用其芒,動即有傷,是為兇器;深藏若拙,臨機取決,是為利器。

      區塊鏈是新的領域,我們對區塊鏈業務本身進行安全研究(騰訊的區塊鏈電子發票了解一下),還開發了一個智能合約安全審計系統。

      隨著云平臺的普及,虛擬化安全必然會成為攻防必爭之地,Blade也迅速對該領域開展研究,不僅快速發現和修復了自有云平臺的漏洞,還發現廣泛使用的開源虛擬平臺QEMU/KVM的虛擬機逃逸漏洞。這部分還在深入研究中,預計不久你將看到這里的成果。

      在新的業務發展中,我們也享受到了過去的紅利 —— 評估很多新業務的時候發現都是已經具備的知識,比如智能音箱、人臉支付智能硬件設備、基于NFC的微信乘車卡小程序……當然,更多的技術挑戰還在前方。

      作為騰訊的安全團隊,Blade是非常理解廠商被外部發現漏洞的心情(簡直是感同身受),所以我們是堅決秉承負責任的漏洞報告流程的,發現的漏洞全部報告官方并協助修復,無數像Magellan、CVE-2018-20506、ColumbusXCodeGhostQualPwn這些引起互聯網腥風血雨的基礎設施漏洞都被Blade無聲的化解了 —— 向無數的這樣默默守衛著互聯網的白帽子英雄致敬!

      除了在網絡世界默默守護,Blade也走到臺前給非專業技術人員以及普通用戶展示安全風險,提升大家的安全意識,為企業社會責任和科技向善盡一份綿薄之力(比如參與騰訊技術周、T-Day、Code大賽等活動),這部分工作還要感謝公關、人力資源及行政團隊的支持。

      【后記】


      致敬每一位正義的執著的安全技術追求者。


      【附錄】


      Lake2的企業安全九部曲之前四部:

       
      軍備競賽:DDoS攻擊防護體系構建
      自研之路:騰訊漏洞掃描系統的十年歷程
      企業安全應急響應中心建設理論與實踐
      捻亂止于河防——淺談企業入侵防御體系建設 


      未完待續,敬請期待……

      評論留言

      提交評論 您輸入的漏洞名稱有誤,請重新輸入
      放荡的寡妇