对话腾讯安全杨勇:产业互联网带来哪些新的安全挑战

来源:TECHWEB  责任编辑:小易  

CEO马化腾 马化腾,腾讯公司执行董事、董事会主席兼本公司首席执行官(CEO),全面负责本集团的策略规划、定位和管理。是主要创办人之一,自一九九九年起受雇于本集团。1971年10月29日出生于广东潮汕.籍贯:广东潮阳.1984年随父母从海南迁至深圳。1989年-1993年,就读于深圳大学计算机专业。1993年深大毕业,进入润迅通信发展有限公司,从专注于寻呼软件开发的软件工程师一直做到开发部主管。1998年,创办腾讯计算机系统有限公司。出任现职前,在中国电信服务和产品供应商深圳润迅通讯发展有限公司主管互联网传呼系统的研究开发工作。一九九三年取得深圳大学理学士学位,主修计算机及应用,并在电信及互联网行业拥有逾十年经验。当选为深圳大学校友会副主席计算机系大学校友会主席。马化腾 马化腾是个崇尚共享、自由精神的人,不会单纯强调“我”的价值,他知道团队的意义。腾讯的几个创始人都曾在深圳电信、网络界有多年的从业经验,几乎是深圳第一批搞互联网的人,这无疑可以在技术和业务层面为腾讯提供很多帮助。“创业不是说着玩的事,腾讯也并非一帆风顺。一开始,我们的服务器都无处托管,创建一家公司可比写软件复杂多了。马化腾感觉创业初期还是有许多东西可以回味 对于如何将寻呼与网络联系起来发展业务马化腾早有自己的想法,但对于是否上马ICQ项目,当时腾讯的股东方的确存在过激烈的争论。“最后,对网络技术发展方向的认同感使大家求同存异,我们开始对ICQ技术倾注偏爱。ICQ是一种基于INTERNET的即时通信工具,它集寻呼、聊天、电子邮件和文件传输多种功能于一身。当用户将ICQ安装在个人电脑上,它就会嵌入Window系统,成为桌面上的图标,用户每打次打开计算机,它就是一个固定设备。互联网用户可借此知道朋友是否在上网并可进行直接交流。三个年轻人看到了用户对中文环境ICQ服务有极大的需求,自主开发了基于INTERNET的网上中文ICQ服务-OICQ,并成为全国在线人数最多的中文ICQ服务商。“我们曾险些把开发出的ICQ软件以60万元的价格卖给别人。现在有点庆幸当初没有贸然行事。要在互联网上掘金就不能只看到眼前利益。许多很有才华的网络人才往往没有注意这一点而失去了长远机会。马化腾经常这样告知同行。在新兴互联网市场中淘金,是一项艰苦的工作。当时,这家十几个人的小公司的主要业务是为深圳电信、深圳联通和一些寻呼台做项目,QQ只是公司的副产品。整个公司经常为了一个项目倾巢而出,还要时刻避免露出马脚。为了给客户留下很有实力的印象,那时马化腾的名片上从来不印“总经理”的字样,而只带“工程师”的头衔—在深圳,像腾讯这样的公司有上百家,马化腾当时的期望,只是公司能生存下来。CTO张志东 张志东 张志东,广东东莞人,现任腾讯执行董事兼首席技术官(CTO),全面负责专有技术的开发,包括即时通信平台和大型网上应用系统的开发。2009胡润百富榜第68名。张志东是腾讯主要创办人之一,于1993年取得深圳大学理学士学位,主修计算机及应用,并于1996年取得华南理工大学计算机应用及系统架构硕士学位,在电信及互联网行业拥有逾多年经验,自1999年起受雇于腾讯。张志东很值得尊敬,一是其技术上的炉火纯青,即便是他的政敌或是对手,都对这点佩服的五体投地。QQ的架构设计源于1998年,截止到2009年8月,QQ用户数从之前设计的百万级到现在的数以亿计,整个架构还在适用。身价数十亿www.zgxue.com防采集请勿采集本网。

【TechWeb】6月12日消息,在2019腾讯安全国际技术峰会上,腾讯安全平台部负责人、腾讯安全学院副院长杨勇向TechWeb等表示,产业互联网的发展给安全问题带来很多新的挑战,具体表现在三个方面。

QQ图片20190612150224

腾讯安全平台部负责人、腾讯安全学院副院长杨勇

第一,攻击面扩大,比如腾讯安全科恩实验室最新研究的汽车安全问题,实际上就是产业互联网带来的,是互联网跟汽车行业出行安全的结合。

第二,跨界,如果要解决安全问题,现在需要更多不同领域知识的结合。

第三,产业攻击场景的出现,现在攻击场景越来越产业化,比如,之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。

产业攻击场景则不同,比如电商行业,“可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。”

杨勇进一步解释说,攻击场景可以分为两类,一种是黑客不在乎你知不知道,另一种是黑客很在意你是否知道。而“跨界”黑产往往属于后者,“比如黑客能够控制汽车,但我们不能等汽车撞车了再进行防御。”

杨勇称,当前有黑产甚至可以“薅”出银行贷款。“目前有不少黑产具备了高素质的团队和跨界技术,例如我们发现有针对金融领域攻击的黑产可以做出加征信的操作,他们通过分析银行的软件,发现一些金融企业的校验逻辑都是放在本地的。此后他们直接通过改本地数据开出很多贷款的额度以及虚假的账户。”

攻击面扩大带来的危害是不同的,比如之前没有引入出行,更多的是电脑蓝屏或者机器手机数据丢失,但当你引入产业互联网,出行行业里就有可能造成人身安全问题。

但反过来看,最大的风险并不是这些安全问题,最大的风险在于不发展。“安全不仅仅是给大家阐明有哪些风险,安全的最大价值是告诉我们可以安心发展。”杨勇说到。

以下为部分QA摘录:

Q:随着产业互联网的发展,有没有一些新的安全问题出现,还有您认为安全的发展趋势以及新领域有哪些?

杨勇:万物互联和产业互联网带来的问题包括:第一,攻击面的扩大;第二,跨界。当解决安全问题,现在需要更多不同领域知识的结合;第三,产业攻击场景的出现。

攻击场景越来越产业化了,举个例子,之前的攻击是什么?之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。

什么叫产业攻击场景?比如你做电商,可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。

这种情况是什么?很多是产业攻击场景,汽车也是,楼宇也是。因为什么?因为现在这种万物互联以后,其实攻击场景不再是简单的偷数据和简单获取操作系统的权限。而是什么?而是越来越多样化,比如汽车其实可以威胁别人人身安全,一些不好的人,因为汽车就像你随身的东西一样,也可以窃取你很多隐私。那楼宇更是了。所以,我觉得应该从产业互联网的变化重新审视安全。

Q:攻击面扩大之后,过去的黑客现在变成黑客大军了,黑产已经出现了涉及物联网安全的,比如像摄像头窃取、窃听,甚至可能是智能门锁等,目前有没有成规模的案例?

杨勇:际上这个问题我们可以分析一下这个问题的本源。什么叫攻击场景?攻击场景从您的问题出发实际可以分两类:第一类,黑客不在乎你知不知道了。第二类,黑客很在意你知不知道了,比如窃听、偷窃、行凶,他是会做自我隐藏的。

所以,如果我们做这方面的防御,比如汽车的安全,实际上我们是不能指望攻击场景切切实实发生在我们身边我们才去防的。那如果真的等飞机掉下来,等汽车撞车了我们再防其实来不及了。比如WannaCry 那个问题出了以后,我不知道大家有没有想过,当时很多机场停飞了。如果我们还不以此为警醒等飞机掉下来的时候,那时候可能就是几百架飞机一起往下掉了,这个风险点在这里。这一类问题,我觉得更多是想到场景我们就上。

还有就是薅羊毛这件事。这一类事是我们通过我们的业务场景,还有帮助我们云上的客户就能发现的。这一类很多时候不是未卜先知,实际我们通过大数据、算法能力把这些东西找出来然后进行打击的。举一个例子,我们发现金融行业最近被很多羊毛党,大家都知道羊毛党实际会刷购物券、返利券、打折券,甚至你到一些电商网站上甚至能买到这些东西,这些明显是刷出来的。

但大家不知道吧,这些人还干什么呢?比如像矿泉水瓶子里面有获奖的标签,很多人会到废品收回站收,收完以后把瓶盖集中起来,然后通过一个机械化流水线,然后有一个摄像头人工智能识别上面的码,如果有的话把码提取出来然后集中兑奖。不是黑客已经IoT化了吗,他是明显的跨界,从废品收购产业到人工智能识别,到羊毛党薅羊毛,人家产业链已经非常高素质的团队了。

我们还看到的一个案例,这个可能很多人不知道,就是我们发现对金融领域的攻击,他们现在做到很多金融领域实际会给用户开账号进行征信的行为,我们发现的一些案例,我们发现有一些干这些事的团队,有一些就是之前薅羊毛那种,开始往金融领域走。

他们做的是什么?他们有一个专业化的团队,把传统分析漏洞的逆向技术、软件跟踪技术用在分析银行的软件,分析大家手机上金融产业公司的软件。然后发现他们的一些漏洞,我们发现的一些案例就是,有一些金融企业他们校验逻辑都是放在本地的。别人通过逆向他手机,发现他的校验逻辑没有放在企业的云端,而是放在本地。然后直接通过改本地数据可以开出很多贷款的额度,开出很多虚假的账户、虚假的身份,这种是不是跨界,是不是攻击面的扩大?

但这种产业上的风险是非常大的,因为以前的话我可能只是开出一个10几20元的会员卡看看电影。但这个可能就是成千上万甚至几十万的一笔贷款,这就是一个产业的变化。

所以,我觉得不管是咱们的出行领域还是风控领域,安全整个事不光是我们几个部门,甚至公司的事。实际是一个国家甚至全球的事,所以才会开国际技术交流峰会,因为这个东西一旦打通是大家共同面临的挑战。

Q:以前安全行业都是纯投入,现在科恩实验室有没有盈利?然后除了车这一块,其他方面有没有一些经验?

腾讯安全科恩实验室总监吕一平:要提这个的话就要提930变化,去年腾讯做了一个调整,由消费互联网转型产业互联网。当时调整比较大的是CSIG,就是云与智慧产业事业群,像我们跟杨勇他们分工还有一些区别,他们是保卫腾讯自有应用为主要任务,但他们现在也在扩展云能力包括云计算等。他们有很多干货现在也在向各方面输出。对于我们来讲,既然我们在CSIG的话,我们就需要对一些重点的行业做一些保驾护航的工作。

当然有一点,我们不希望这种合作是免费的,因为只有收费了客户才会谨慎的考虑我要不要用这个科恩的能力。这是一种双向的都是一种比较严谨的思考和选择,这样才能真的配合合作过程中,对方才会比较认真的对待这个事,然后我们一步步把这个事做好。的确,我们现在和行业合作是商业化的合作模式,是要收费来做。

第二个问题,现在除了汽车以外我们还在探索一些新场景。因为刚才杨勇也提,汽车只是一个很小的场景,万物物联场景太多了。比如我们今年还会有机器人的项目,机器人会分两类,一类服务机器人,会面向消费者。一类工业机器人,有点像做智慧制造、智能制造这块。

服务机器人比如现在在机场、广场、超市上看到有一些机器人,要么是警务用的巡逻机器人,要么就是看到超市里的导购机器人。那个机器人自重80公斤,最高时速60。所以如果它被恶意操控的话,如果在这边乱跑,是一个小坦克,它其实会引发一些公共安全问题。这就是为什么这块对物理世界会造成影响。

我们现在还在看智能电梯,现在电梯上有很多传感器,它有上通讯模块,也能通过远程方式控制电梯。因为这对电梯行业来讲,它的需求是原来电梯巡检靠人跑,一个人一个礼拜跑100个电梯,巡检工,成本很高的。现在上传感器以后,远程控制中心就能够监控,比如这个电梯部件已经老化了,我要调换,那个地方电梯可能有一些小故障需要去维修,甚至可以远程下发一些修复指令做修复。这样的话,它的运营成本可以减少90%,对电梯运营来讲是很大的好处。

但是,正是因为引入很多远程控制、远程下发功能,如果被恶意应用的话,也会造成控制电梯上上下下不停,对电梯里的惊吓度甚至安全都是有很大的影响。包括我们在电梯里还做过一个,电梯现在除了人控制以外还有一块媒体屏幕,要么是投影打点电梯门上,这里面放一些视频。我们也通过实际案例证明过,我可以替换掉里面的视频,如果这里面是一些敏感的,我放了一些不该放的东西,这对电梯运营商来讲影响会非常大,可能有一些政治不正确的方面会有一些问题。

还有摄像头,现在安防摄像头太普遍了,我们的研究也证明我们的在摄像头上能做到什么呢?大家电影里看到的效果。一个人走过去,摄像头上面显示人走过去。昨天晚上不停重放没有人在的图像,昨天我回家打开电视正好是《生死时速》,《生死时速》里有一段,坏人用摄像头监控大巴上的场景,就录了一段视频,那个视频不断的播放欺骗那个坏蛋,其实我们做的也是类似的场景。但安防场景下,它本身是安全属性的东西,这个问题就很难被接受,这种安全性失效。

还有智能门锁,我们其实也做过研究,一个远程可以打开一个地区几千把门锁,这个是可以做得到的。包括我们现在还在看一个工控控制器,比如和电力、能源、化工等一些重要行业,比如化工化学反应、控制,电力变电站的控制,包括智能电表。

你会看到杨勇刚刚提到的万物物联刚刚开始,刚刚拉开一个序幕,能做的事情非常非常多,需要关注的领域也很多。关键问题是说,其实安全光靠科恩或者是腾讯都不够,可能也是需要大家一起来努力,来做好这个,才能够真正保护好我们新的技术应用时代的安全。(周小白)

随着互联2113网的快速发展,我国涌现出一大批5261优秀的互联网企业,其中最让4102人津津1653乐道的莫过于BAT三巨头,分别是百度、阿里巴巴、腾讯。这三家互联网公司实力极强,成为中国互联网行业的标杆企业。中国互联网行业的第一梯队是“BAT”,第二梯队还有京东、网易、拼多多、美团、小米等企业,他们上市之后估值都在三百亿美金到五百亿美金不等。除了上面的互联网公司之外,还有三位隐形的互联网巨头实力强大,一旦上市或许将会直接和阿里巴巴和腾讯平起平坐。他们分别是滴滴出行、字节跳动、蚂蚁金服。滴滴出行大家都知道,是中国最大的网约车服务商,占据中国网约车的半壁江山。如今人们的出行很大部分都十分依赖网约车。网约车的出现弥补了一些乘客打不到车或者出租车司机乱收费的问题,近年来越来越受到人们的欢迎。如今滴滴已经开始进军海外,在日本大阪上线了网约车服务,发展势头强劲。字节跳动这家公司很多人都很陌生,但是他的创始人大家都应该知道—张一鸣,今日头条的创始人。字节跳动现在旗下有今日头条、抖音短视频等巨大的流量平台。目前估值在750亿美金,可以想象上市之后的场景。还有一家是马云创立的“蚂蚁金服”,大家最常使用的支付宝,以及里面的蚂蚁花呗、借呗等服务都是它提供的。目前蚂蚁金服的估值已经达到1500亿美金。一旦上市是铁定和阿里腾讯并驾齐驱的存在。这三家公司都被誉为中国互联网行业的“独角兽”,日后上市后会引起行业的巨大变革内容来自www.zgxue.com请勿采集。


  • 本文相关:
  • 腾讯、阿里、字节跳动这三家比较厉害的互联网公司,到底有什么区别?
  • 腾讯老板是谁
  • 关于腾讯公司的一些信息,想了解腾讯,也是政治作业~万分感谢
  • 有关建立互联网安全产业链,享受智能生活,腾讯提出了那些概念?
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved