7月30-31日，第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(CSS)在北京舉行，以“產(chǎn)業(yè)升級，安全升維”為主題，對安全行業(yè)的發(fā)展空間與未來方向進(jìn)行了深入探討。

騰訊安全平臺部云安全團隊負(fù)責(zé)人羅喜軍在云安全專場上分享了騰訊自研安全的建設(shè)之路，揭秘了騰訊自研安全能力對外輸出的新動向。安全平臺部旗下前沿技術(shù)安全研究團隊Tencent Blade Team則首次發(fā)表了關(guān)于語法解析器規(guī)則漏洞的前沿研究成果，并正在籌備相關(guān)漏洞檢查工具的開源。

騰訊安全平臺部總監(jiān)兼Tencent Blade Team負(fù)責(zé)人胡珀表示：“產(chǎn)業(yè)互聯(lián)網(wǎng)時代，企業(yè)面臨的安全問題更加嚴(yán)峻，安全能力已成公司核心競爭力之一。騰訊正積極將多年自研安全能力沉淀輸出，全力支撐云上互聯(lián)網(wǎng)安全能力升級。”

多維度發(fā)力 鑄造安全攻防“堡壘”

如何提升企業(yè)自身安全能力，有效應(yīng)對新時代下安全新挑戰(zhàn)，是擺在企業(yè)面前的一個大問題。

羅喜軍對騰訊自研安全的建設(shè)歷程進(jìn)行了介紹。在應(yīng)用運維安全領(lǐng)域，騰訊安全平臺部圍繞DDoS防護、數(shù)據(jù)保護、漏洞收斂等多個領(lǐng)域集中發(fā)力，通過各產(chǎn)品、專項支撐起騰訊基礎(chǔ)安全完整的安全體系，保障公司產(chǎn)品及業(yè)務(wù)和核心數(shù)據(jù)在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層面的安全。

在上述框架內(nèi)，安全平臺部通過網(wǎng)絡(luò)層的宙斯盾、主機層的洋蔥、鐵將軍、應(yīng)用層的洞犀、門神、金剛及用于反向驗證的騰訊藍(lán)軍、Tencent Blade Team等四個維度的產(chǎn)品組合，合力打造騰訊更為堅實的安全攻防堡壘。

擁抱產(chǎn)業(yè)互聯(lián) 做數(shù)字化時代安全助手

如果說在消費互聯(lián)網(wǎng)時代“安全是所有0前面的1”，那么在產(chǎn)業(yè)互聯(lián)網(wǎng)時代，安全已成為企業(yè)數(shù)字化轉(zhuǎn)型的原生需求，這對企業(yè)來說是挑戰(zhàn)也是機遇。

“將安全能力對外輸出，也要求團隊將安全嵌入到業(yè)務(wù)流程中，從主觀意識到客觀實現(xiàn)、從需求設(shè)計到編碼測試，再到最后的上線迭代，打透業(yè)務(wù)安全的每個環(huán)節(jié)。”羅喜軍表示。未來，騰訊還將繼續(xù)夯實自身安全能力，在支撐好騰訊自研業(yè)務(wù)之余，積極對外賦能，并逐步把安全能力向騰訊云上開放，助力于互聯(lián)網(wǎng)安全生態(tài)的提升。

前沿研究 安全防護未雨綢繆

安全平臺部旗下前沿技術(shù)安全研究團隊Tencent Blade Team成員錢文祥及李宇翔，則在CSS 騰訊安全探索論壇(TSec)上進(jìn)行了議題分享，和與會者共同討論了如何挖掘語法解析器規(guī)則漏洞。

[[272547]]

大量基礎(chǔ)軟件中都能看到語法解析器的身影，如SQLite、Chrome、PHP等。在這些軟件中，語法解析器充當(dāng)著類似于“檢察官”加“翻譯官”的角色，檢查輸入的命令，判斷是否合法，并把它翻譯成軟件“能聽懂”的話，方便其執(zhí)行。因此，一旦出現(xiàn)規(guī)則漏洞，波及范圍十分廣泛。

與之形成對比的是，這塊領(lǐng)域的安全研究相對較為缺乏，此次Tencent Blade Team對如何挖掘語法解析器規(guī)則漏洞做了從理論到實戰(zhàn)的詳細(xì)分析，介紹了人工挖掘和結(jié)構(gòu)化模糊測試挖掘兩種思路，并提出了針對性的安全規(guī)則編寫建議。未來Tencent Blade Team將會開源漏洞檢查工具，進(jìn)一步加深與業(yè)界的聯(lián)動，并推動安全生態(tài)建設(shè)。

Tencent Blade Team在對Google Home智能音箱進(jìn)行研究的時候，對語法解析的漏洞利用還幫助他們發(fā)現(xiàn)了Magellan系列漏洞，并最終首次遠(yuǎn)程攻破Google Home智能音箱。據(jù)了解，Tencent Blade Team的相關(guān)安全議題也入選了本年度的Blackhat和DEFCON。

截至目前，Tencent Blade Team團隊目前已發(fā)現(xiàn)了谷歌、蘋果、亞馬遜、微軟、Adobe等多個國際知名廠商100多個安全漏洞，聚焦IoT安全、虛擬化安全、AI安全、區(qū)塊鏈安全等領(lǐng)域，團隊多次受邀參加Blackhat、DEFCON、CanSecWest、HITB等多個國際安全峰會進(jìn)行議題分享，得到互聯(lián)網(wǎng)行業(yè)、廠商以及國際安全社區(qū)的廣泛認(rèn)可。

騰訊安全平臺部通過體系化的前沿研究，助力騰訊內(nèi)部業(yè)務(wù)做好安全防護能力儲備，同時也助力行業(yè)安全意識與能力的提升，為企業(yè)安全戰(zhàn)略的提前布局提供參考。