知患于未然，防患于将然——基于知识驱动的安全实践

2022年11月30日，腾讯全球数字生态大会在深圳启幕。此次大会以“数实创新，产业共进”为主题，聚焦数字技术与实体经济创新发展，旨在汇聚全球智慧洞察产业发展新机遇，描绘云、AI、大数据、安全等关键技术的发展蓝图，展示腾讯最新的研究成果、战略规划、前沿技术、核心产品、解决方案。

在Techo前沿技术论坛上，腾讯安全玄武实验室负责人于旸带来了题为《知患于未然，防患于将然》的主题分享。于旸认为，解决安全问题很多时候需要多点能力同时起作用，因此玄武一直主张要建设包括软件静态自动化分析、基于虚拟化的动态自动化分析能力以及包括网络实战攻防能力、供应链大数据安全能力等在内的全栈安全能力，并将这些能力输出给安全产品，为产品提供赋能。基于这个思路，玄武实验室做了很多产研结合的尝试，例如，将实验室在内网渗透的知识和技能的积累输出给腾讯安全SOC+产品，显著增强了其在域渗透防御场景和Java反序列化场景的安全能力。

同时于旸也认为，“防患于未然”虽然很理想，但其实施成本过高，而“知患于未然，防患于将然”或许是平衡业务发展效率和安全的更好的思路。通过对安全威胁的充分感知和了解，在可能的攻击面和攻击渠道上预先布点，可以实现在平常的时候不干扰业务，但是在攻击威胁即将要出现、快要出现的时候，又可以快速地去启动安全防御措施。

以下是实录全文：

我是腾讯安全玄武实验室的于旸，今天给大家分享的主题叫《知患于未然，防患于将然》。在这里和大家分享我们玄武实验室，基于知识驱动的安全实践。

首先向大家介绍一下玄武实验室。玄武实验室是2014年成立，从成立之初一直在贯彻一个理念：要构建全栈的复合安全能力。基于这样一个能力，对内支持公司的业务，对外服务社会和行业的需求。

我们认为安全是一项非常特殊的能力，安全能力是由多个点组成的。在解决很多问题的时候，往往这一个问题是需要多点能力去同时起作用。只是一个点上的能力，哪怕再强，在面对很多复杂的安全问题的时候，也会觉得很笨拙。这就是为什么我们一直在主张，要建设一个全栈的安全能力。基于这样一个全栈安全能力，我们打造了多种不同的业务的安全能力，包括软件的静态自动化分析，还有基于虚拟化的动态自动化分析能力，也包括网络实战攻防能力、包括供应链大数据安全能力等。在这一层的业务安全能力之上，对公司内部的各种重要的业务，又进行了安全能力的输出。包括公司内部各项产品的安全检测需求，也包括公司对外的网络安全产品的防御能力的增强。

同时我们还和公司内部不同的业务部门，联合开发了包括智能合约安全检测系统，移动应用的隐私合规检测系统等。公司的青少年守护和反黑产相关的业务，其中也有我们实验室能力在里面。这个地方讲的是我们对公司内部的一些业务的支持，接下来跟大家简单介绍一下对公司外部，也就是行业和社会的一些安全能力的输出。

我们实验室从2014年成立之后，经历了几个不同的发展阶段。但是无论在哪个发展阶段，我们始终坚持有一部分的精力，去从事面向外部、面向行业、面向社会的安全研究。在实验室8年的历史当中，我们发现了上千个外部的安全问题，通过向行业、向社会对这些安全问题进行通报进行分享，以及帮助行业去解决和修复这些安全问题，我们也收获了在行业里面的一些很好的效果。接下来选取三个比较典型的例子和大家分享一下，过去几年中对外输出的一些安全研究。

在2015年玄武实验室发现了一种非常特殊的安全问题，这个安全问题影响全世界几乎所有的条码阅读器厂商的大部分安全产品。据统计大概超过80%的条码阅读器产品，无论是扫一维条码的，还是扫二维条码的产品，全部都受影响。

利用安全问题，攻击者甚至只需要通过扫描一个条码就可以实现入侵条码阅读器所连接的系统。在更极端的情况下，甚至可以通过发射一束激光，就可以入侵在很远地方的条码阅读器所连接的系统。由于条码阅读器是一个应用非常广泛的设备，不只是在扫码支付这样一个场景下，实际上在医疗制造交通物流等等，非常多的场景下都会得到应用。所以安全问题实际上影响非常广泛。

从2016年开始玄武实验室和微信支付合作，对国内的主流扫码器厂商的大部分产品都进行了检测，并且帮助这些厂商进行安全的修复。更重要的是帮助这些厂商认识了扫码器其实也是会存在安全问题的，而且会很严重，帮助他们理解了这样一点，所以确实是花了不少时间，但是也很自豪，我们帮助中国的扫码器行业，大大的提高了整个行业的安全水平。

还有一个案例，是发生在2017年的年底。在这个时候正好是手机行业刚刚引入屏下指纹识别技术，在这个时候我们对屏下指纹识别技术这样一个新技术做了研究。我们发现这个技术实际上它存在一个非常严重的安全缺陷。攻击者仅仅只需要一片塑料，甚至是一张纸，就可以绕过屏下指纹识别瞬间解锁手机，甚至可以完成后续的支付等各种各样的指纹验证操作。由于这个问题其实是存在于屏下指纹识别技术的原始设计思想当中，所以无论哪个厂商生产的屏下指纹识别芯片，无论它应用到了哪一部手机上，全部都会存在这样的问题。我们发现这个问题之后，差不多花了接近一年的时间，逐一地对各手机厂商的产品进行检测。并且通过手机厂商进一步地去影响供应链上游的芯片制造商，最终为整个手机行业消减了非常严重的安全隐患。今天无论你使用的是哪个品牌的手机，只要有屏下指纹这样的功能，其中都有我们实验室的工作成果在里面。

在2019年底的时候，玄武实验室对当时刚刚开始火起来的快速充电技术进行了研究，在快充设备里面又发现了一系列的安全问题。在此之前，可能大家听说过手机和笔记本电脑是可以被入侵的，但是我们发现其实连充电器都是可以被入侵的。我们在研究当中，在当时的数百款快速充电产品当中抽样了35款，在这35款当中发现其中18款都存在各种各样的可以被入侵的安全问题。攻击者可以通过一个已经被入侵的手机，或者是已经被入侵的笔记本电脑，去入侵它所连接的快速充电设备。也就是如果你的手机或者笔记本电脑已经被入侵了，那么攻击者可以控制它进一步地入侵你的充电器，反过来再通过被入侵的充电器向被充电设备提供异常的电压和电流，最终可以导致被充电设备的烧毁。

这是非常罕见的，可以通过网络攻击，最终在我们的物理世界中造成损害的安全问题。我们通过向行业主管单位的报告、向相关企业的输出，最终也是帮助整个行业对这样一个问题进行了消除，因为这确实是一个非常严重的安全隐患。

刚才介绍了三个我们面向社会，和行业输出的安全研究。最近两年实验室又有了一个新的使命，就是要把我们基于多年全栈安全研究上的积累，以知识和数据驱动的思路通过最大化利用我们作为防守方的优势，来缓解传统的防患于未然思路下的业务需求和安全需求的矛盾。

因为以前我们讲安全，首先我们希望能够“御敌于国门之外”，能够防患于未然。但是慢慢的发现，防患于未然的成本太高了，而且防患于未然这样的目标和诉求，会加大做安全和业务之间的矛盾。但是如果能够对攻击者的技术，对于攻击者的信息有一个充分的了解，甚至你比攻击者还要更加的了解，在这样一个前提之下，实际上是可以把可能的攻击面攻击渠道实现一个预先的布点，预先埋设一些探针。利用这样的一种思路，可以实现在平常的时候不干扰业务，但是在攻击威胁即将要出现、快要出现的时候，又可以快速地去启动安全防御措施，当攻击出现的时候可以及时的发现攻击。

基于这样的思想我们实验室也已经有了一些安全实践，接下来跟大家分享其中一个典型的案例。

SOC+是腾讯安全的一款内网防御产品。我们知道做内网防御和做外网防御有一个很大的不一样，就是外网防御有一个清晰的边界，但是内网防御往往会面临内网的资产众多、用户数量非常多、内网的结构很复杂、内网的业务很多，最重要的是内网的边界内部缺乏一个清晰的防御边界，所以内网安全防御一直是一个比较难解决的问题。入侵者往往只要有办法进入到内网之后，接下来几乎就可以横行无忌。

玄武实验室在历史上对把内网渗透相关的问题，做过长期的研究。在实验室历史上个入选国际安全会议的研究中有6项都是和内网渗透相关的。基于我们对内网渗透的知识和技能的一个积累，那么向腾讯安全的SOC+产品输出了域渗透防御场景增强和Java反序列化场景增强两个点，最终拿着增强之后的产品在用户那测试发现，仅仅是在一个月的时间里，在单个用户的域渗透防御增强这样一个方案，就发现了6起真实发生的内网环境里的渗透。我们的Java反序列化防御增强方案也是在单个用户仅仅是一个月的时间里，就发现了14起真实发生的外部攻击。

接下来玄武实验室还会进一步的去实践“知患于未然，防患于将然”的这样一个思路，把更多的这些年积累下来的安全能力、安全知识安全技术去输出到腾讯的安全产品当中，帮助更多的客户去做好安全。

原创文章，作者：lishengli，如若转载，请注明出处：https://www.lishengli.com/lee/861.html