【51CTO.com原创稿件】维多利亚州政府3万名雇员个人信息外泄;万豪酒店5亿客户数据泄漏;10多款ios应用被发现与安全恶意软件有染; TLS 1.2 协议现漏洞,近3000网站受影响;英特尔CPU再现高危漏洞,得到官方证实可泄漏私密数据……2019年以来,网络安全事件频发。3月份召开的十三届全国人大二次会议上,政府工作的报告中三提“信息”,涉及到信息技术发展、信息基础设施建设和个人信息保护。的确,网络安全态势变得越来越复杂,数据泄露、DDoS等事件愈演愈烈,而即将到来的5G/IPv6/IoT时代也将对互联网安全格局带来深刻的影响。
于此同时,为了维护网络安全,一款款强大的安全工具应运而生,但并不是所有漏洞都能通过自动化工具检测发现。因此,国内外都在如火如荼地开展网络安全实战演练。成立蓝军开展人工渗透测试和红蓝对抗实战演练,以攻促防,提前发现潜在风险,协助提升业务系统安全性和完善安全系统能力,则可以更有效抵御黑客。在这样的背景下,腾讯蓝军诞生了。
腾讯蓝军(Tencent Force)由腾讯TEG安全平台部于2006年组建,十余年来专注于前沿安全攻防技术研究、腾讯网络安全实战演练、腾讯业务系统安全评估等方面,站在APT黑客的视角去(在内部)模拟攻击,全方位检验安全防护策略、响应机制的充分性与有效性,发现业务系统的潜在风险,提出解决方案及协助改进。
近日,记者采访了TSRC技术负责人、腾讯蓝军负责人钟武强,讲述了腾讯蓝军这些年的故事。
钟武强,id小五,TSRC技术负责人、腾讯蓝军负责人,2003年开始接触黑客攻防技术,从业以来主要负责应急响应、渗透测试、安全评估等工作。
六大措施解决人力不足的困难
用人工渗透测试和红蓝对抗实战演练,以攻促防,听起来很美妙,但是刚过了20岁生日的腾讯,拥有丰富的产品线,业务变化非常大,代码迭代非常快,如果每次发布或者更新都施展人工渗透测试的话,蓝军人力肯定是难以支撑。据钟武强介绍,腾讯蓝军主要通过六个方面来克服这个困难:
首先是排优先级,优先对重点业务、紧急业务开展渗透,保障重点业务和广大用户安全。
第二,让业务同事详细梳理和提供项目背景、业务架构、业务已有的安全措施、业务重点关注的风险点等等,有利于蓝军快速全面熟悉业务,以便针对性的制定安全检查项,或者高效开展渗透。
第三,指导业务同事使用公司自主研发的漏洞扫描器(代号“洞犀”,经过多年优化,漏洞检测能力很成熟)进行自动化扫描,以及按照安全检查项进行自检,让业务同事一起积极参与进来,在这过程中能够逐步提升业务同事的安全开发意识,也从根本上有效减少后续漏洞的产生。
第四,借助公司其他兄弟安全团队的力量,比如说Tencent Blade Team(国际知名安全团队,专注前沿领域的前瞻安全技术研究),与腾讯蓝军联手一起渗透业务。而腾讯红军少部分成员有时也会临时转变角色,和蓝军一起研究如何攻破自己研发的防御(代号“洋葱”,经过多年优化,检测能力很全面),红蓝军相互学习,共同快速提升。
第五,引进或培养安全人才,钟武强表示,目前腾讯蓝军一直在持续招聘志同道合的人才。
第六,借助外部安全研究员、情报员的力量,鼓励在安全可靠的前提下和腾讯蓝军并肩作战,一起发现腾讯外网业务安全隐患和防护缺陷。钟武强表示,至今已经有国内外数万名安全技术人员参与进来。
实战演练中的难忘故事
从成立至今的13年里,从理论到实践,腾讯蓝军经历了无数次的攻防实战演练,对QQ、QQ空间、微信、支付、小程序、腾讯云、游戏等重要业务都开展过渗透测试,发现并消除了大量潜在安全风险。让钟武强记忆犹新的是在微信小程序即将正式上线前,微信团队邀请蓝军从腾讯深圳总部去微信广州总部驻场,开展特训营,十多天里,大家吃住在一起,通力合作,对小程序开展全面的渗透测试,提前发现安全隐患并完成修复,保障了小程序平台的安全性,为小程序正式发布保驾护航。
一直以来蓝军和红军的对抗都非常激烈,有某一段时间可以说是天天都在进行高强度的对抗,比如说上午蓝军成功绕过红军监测,中午红军优化了监测策略,成功发现蓝军,下午蓝军又想到办法继续突破红军。红蓝双方你追我赶,相互切磋,努力提升公司安全防护体系,这在腾讯人的眼里是一件非常刺激和有意义的事。
与白帽子一起捍卫网络安全
做为腾讯蓝军的扩展延伸,2012年5月31日,腾讯正式推出了TSRC(安全应急响应中心),这是国内企业自建的安全应急响应平台,主要负责腾讯相关的漏洞或应急处置,包括收集漏洞与攻击情报,评估安全风险,以及推动止损、修复等工作。TSRC平台一经推出,就吸引了白帽子们的积极参与,上线首月,就有38位白帽子报告了上百个漏洞。这些拥有强大技术实力的白帽子可以说是腾讯外部蓝军。
TSRC一直倡导漏洞发现者直接向官方提交漏洞,鼓励那些崇尚黑客精神的技术极客转变为安全生态的建设者。六年多时间里,大量白帽子与腾讯携手,共同捍卫了全球亿万用户的信息、财产安全。同时,为了吸引更多海外白帽子共同加入网络安全事业,腾讯TSRC于2018年7月5日对国际版进行了全新改版。据钟武强透露,后续TSRC将和白帽子展开更深入的合作,不限于邀请TSRC核心白帽子参与业务正式上线前的安全众测,规避上线后的安全风险;开展安全系统对抗赛,进一步测试红蓝对抗情况。TSRC还将参加数个国际安全会议,以实力吸引更多的海外白帽子加入,共同守护世界网络安全。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
