近年來，伴隨著更多ICT新技術(shù)進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng)，TenSec主辦方騰訊安全科恩實(shí)驗(yàn)室一方面持續(xù)保持領(lǐng)先的技術(shù)研究水平，向智能網(wǎng)聯(lián)汽車、安卓應(yīng)用生態(tài)、IoT等行業(yè)開放核心技術(shù)能力，另一方面也通過TenSec的國際化平臺(tái)屬性，匯聚全球安全智慧為產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展獻(xiàn)計(jì)獻(xiàn)策。


騰訊安全科恩實(shí)驗(yàn)室總監(jiān)呂一平表示，本次選擇在上海舉辦TenSec的目的，就是想借助上海國際化大都市的符號(hào)，進(jìn)一步強(qiáng)化國內(nèi)外頂尖安全從業(yè)人員之間的技術(shù)交流。同時(shí)也希望基于TenSec的平臺(tái)，助力上海產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展和當(dāng)?shù)仄髽I(yè)的數(shù)字化轉(zhuǎn)型升級(jí)，為全國更多地區(qū)的安全發(fā)展提供可復(fù)制的樣本。

2019騰訊安全國際技術(shù)峰會(huì)（TenSec 2019）現(xiàn)場(chǎng)，騰訊安全平臺(tái)部負(fù)責(zé)人楊勇和騰訊安全科恩實(shí)驗(yàn)室總監(jiān)呂一平接受媒體采訪所談及的內(nèi)容如下:

問題一：騰訊安全對(duì)智能汽車的研究，廣為人知的一個(gè)案例就是特斯拉Model X，為什么要做這類研究？

呂一平：對(duì)一些新的萬物互聯(lián)的安全研究，騰訊許多安全團(tuán)隊(duì)都在做。我們研究智能網(wǎng)聯(lián)安全已有三年，包括2016年、2017年特斯拉的網(wǎng)聯(lián)安全，2018年寶馬車型的安全。

               作為一個(gè)技術(shù)研究團(tuán)隊(duì)，應(yīng)該提前布局一些能力。國家剛剛發(fā)了5G牌照，馬上5G自動(dòng)駕駛技術(shù)，包括車路協(xié)同、車車協(xié)同等更豐富的智慧交通場(chǎng)景都會(huì)落地。我們需要為未來技術(shù)的安全保障做一些能力儲(chǔ)備。


問題二：各行各業(yè)轉(zhuǎn)型做產(chǎn)業(yè)互聯(lián)網(wǎng)，將可能會(huì)遭遇哪些新型安全問題？

楊勇：首先，攻擊面會(huì)擴(kuò)大。像科恩實(shí)驗(yàn)室最新研究汽車安全，一直研究了很多年，實(shí)際就是產(chǎn)業(yè)互聯(lián)網(wǎng)帶來的，即互聯(lián)網(wǎng)跟汽車行業(yè)出行安全的結(jié)合。

            前陣子我們發(fā)現(xiàn)手機(jī)最基礎(chǔ)芯片的一些安全問題，只要你用了4G或5G的一些芯片，不管你用在哪些方面，不管是出行還是金融，都會(huì)有信息安全問題，這實(shí)際上是科技滲透帶來的問題。

           其次，攻擊面的擴(kuò)大危害是不同的。因?yàn)橐郧鞍踩嗟氖请娔X藍(lán)屏或數(shù)據(jù)丟失。但引入了產(chǎn)業(yè)互聯(lián)網(wǎng)，出行領(lǐng)域引入就有人身安全問題，金融領(lǐng)域引入可能會(huì)造成一些重大金融風(fēng)險(xiǎn)，航空器上引入，那有可能引發(fā)空難，所以這是一個(gè)很大的挑戰(zhàn)。

           但反過來看，人類的進(jìn)步從來不是因?yàn)楸Ｊ?，最大的風(fēng)險(xiǎn)并不是這些安全問題，而是在于不發(fā)展。安全的價(jià)值就是可以讓我們安心發(fā)展。所以，我們的焦點(diǎn)是希望給各行各業(yè)帶來可以安心發(fā)展業(yè)務(wù)，安全的問題交給科恩、交給城市安全。

           第三，產(chǎn)業(yè)攻擊場(chǎng)景的出現(xiàn)。攻擊場(chǎng)景越來越產(chǎn)業(yè)化，舉個(gè)例子，之前的攻擊是你有一段代碼，操作系統(tǒng)有個(gè)漏洞，然后黑進(jìn)去，把數(shù)據(jù)偷出來。

           什么叫產(chǎn)業(yè)攻擊場(chǎng)景？比如你做電商，可能我也是用了這種漏洞，但我的目的是薅羊毛，把你的紅包、營銷費(fèi)用全給偷走。攻擊完以后，我通過盜用你金融身份，把貸款騙出來，線下再把錢取出來。

           產(chǎn)業(yè)攻擊場(chǎng)景，汽車也是，樓宇也是?，F(xiàn)在萬物互聯(lián)以后，攻擊場(chǎng)景不再是簡單偷數(shù)據(jù)和獲取操作系統(tǒng)權(quán)限，而是越來越多樣化。比如汽車可以威脅人身安全，也可以竊取你很多隱私，智能那樓宇更是如此。

           所以，我覺得應(yīng)該從產(chǎn)業(yè)互聯(lián)網(wǎng)的變化重新審視安全，安全要應(yīng)對(duì)這些變化和擁抱這些變化，而不是因?yàn)橛羞@些變化和風(fēng)險(xiǎn)，我們就不發(fā)展。


問題三：騰訊新總部也在做智能樓宇，對(duì)于智能樓宇安全，你們有何想法？

楊勇：我們確實(shí)研究過自家新總部大樓智能樓宇安全。新總部完全是智能化的燈光、空調(diào)等，有很多新技術(shù)在里面。其實(shí)很多是研究員出于自身興趣而研究，因?yàn)轵v訊有一個(gè)企業(yè)文化，很多事都是自下而上，所以給了研究員很大的研究空間。

           智能樓宇蘊(yùn)含大量的高科技，很多小區(qū)和國外酒店已經(jīng)在用。我們也會(huì)思考，如此高科技的系統(tǒng)，會(huì)有怎樣的安全風(fēng)險(xiǎn)？

           比如智能樓宇的電話系統(tǒng)，可能會(huì)變成竊聽器；電話系統(tǒng)、會(huì)議系統(tǒng)可能會(huì)通過人工智能，偽造老板發(fā)一個(gè)虛假的電話或虛假消息給員工，可能會(huì)導(dǎo)致巨額的商業(yè)詐騙。

           我們想到很多產(chǎn)業(yè)的攻擊場(chǎng)景，比如住酒店，個(gè)人數(shù)據(jù)會(huì)不會(huì)被偷走，電梯會(huì)不會(huì)被別人操控？黑客已能控制操作系統(tǒng)和業(yè)務(wù)系統(tǒng)，那他會(huì)不會(huì)進(jìn)一步控制樓宇系統(tǒng)？

           還有安防，人工智能技術(shù)其實(shí)最成熟的技術(shù)，如視覺技術(shù)，視覺和圖像處理技術(shù)，用于傳統(tǒng)安防效果應(yīng)該很好。

           對(duì)于安防，我們抱著一些開放的態(tài)度，比如我們的算法、技術(shù)，其他安防廠商、硬件廠商想和我們合作或想用我們的算法，我們可以給他提供，并不是排他性的。

           我們跟傳統(tǒng)特征算法不同的是，第一可以通過大數(shù)據(jù)和云數(shù)據(jù)，把各個(gè)攝像頭所有數(shù)據(jù)匯聚在一起進(jìn)行聯(lián)動(dòng)分析，這需要兩個(gè)技能：

           傳統(tǒng)安防，壞人作案逃逸，可能8到12小時(shí)以后才知道，需要人去拖動(dòng)視頻時(shí)間軸查看監(jiān)控。如果是一個(gè)攝像頭還好，若是多個(gè)，就意味著需要很多人查看幾十G甚至幾百幾千G的數(shù)據(jù)，萬一不小心看漏，所有工作重來。

           但如果我們有算法，比如我們用摘要算法，可以很短時(shí)間內(nèi)把視頻濃縮在一起看，可能幾分鐘就能看到，這就是科技研究帶來的一些產(chǎn)業(yè)變化，也是一個(gè)產(chǎn)業(yè)的機(jī)會(huì)。


問題四：目前針對(duì)物聯(lián)網(wǎng)，黑產(chǎn)有沒有形成規(guī)模的案例？

楊勇：案例有很多。舉個(gè)例子，我們發(fā)現(xiàn)金融行業(yè)最近被很多羊毛黨薅羊毛，大家都知道，羊毛黨會(huì)刷購物券、返利券、打折券，但大家可能不知道，他們能干的遠(yuǎn)不止這些。

           比如像礦泉水瓶里有獲獎(jiǎng)標(biāo)簽，黑灰產(chǎn)會(huì)到廢品收回站收，把瓶蓋集中起來，通過一個(gè)機(jī)械化流水線，利用攝像頭智能識(shí)別上面的碼，如果有中獎(jiǎng)，就把碼提取出來集中兌獎(jiǎng)。

           事實(shí)上，如今黑客已經(jīng)IoT化，并且已經(jīng)明顯跨界，從廢品收購產(chǎn)業(yè)到人工智能識(shí)別，再到羊毛黨薅羊毛，黑灰產(chǎn)的產(chǎn)業(yè)鏈已經(jīng)擁有相當(dāng)高素質(zhì)的團(tuán)隊(duì)。

           我們還看到一個(gè)獨(dú)家案例，可能很多人不知道。就是我們發(fā)現(xiàn)黑灰產(chǎn)對(duì)金融領(lǐng)域的攻擊，他們有一個(gè)專業(yè)化的團(tuán)隊(duì)，把傳統(tǒng)分析漏洞的逆向技術(shù)、軟件跟蹤技術(shù)用在分析銀行的軟件上，分析大家手機(jī)上金融APP，然后找出一些漏洞。

           其中一些案例就是，黑灰產(chǎn)通過逆向手機(jī)，發(fā)現(xiàn)有些金融企業(yè)APP校驗(yàn)邏輯沒有放在企業(yè)云端，而是放在手機(jī)本地。然后直接通過改本地?cái)?shù)據(jù)，可以開出很多貸款額度，還開出很多虛假的賬戶、虛假的身份。

           對(duì)于用戶而言，風(fēng)險(xiǎn)極大。以前黑灰產(chǎn)可能只是開出一個(gè)10元20元的會(huì)員卡，但現(xiàn)在可能會(huì)詐取成千上萬甚至幾十萬的貸款。

           所以安全不光是幾個(gè)部門、幾家公司的事，而是一個(gè)國家甚至全球的事，所以才開國際技術(shù)交流峰會(huì)，應(yīng)對(duì)大家共同面臨的挑戰(zhàn)。


問題五：騰訊目前還在探索哪些新場(chǎng)景的安全？

呂一平：萬物互聯(lián)場(chǎng)景太多了，智能汽車只是一個(gè)很小的場(chǎng)景。比如我們今年還會(huì)有機(jī)器人項(xiàng)目。機(jī)器人會(huì)分兩類，一類服務(wù)機(jī)器人，會(huì)面向消費(fèi)者。一類工業(yè)機(jī)器人，有點(diǎn)像做智慧制造、智能制造這塊。

           服務(wù)機(jī)器人，比如現(xiàn)在在機(jī)場(chǎng)、廣場(chǎng)、超市里看到有一些機(jī)器人，要么是警務(wù)用的巡邏機(jī)器人，或者超市里的導(dǎo)購機(jī)器人。那種機(jī)器人一般自重80公斤，最高時(shí)速60公里。如果它被惡意操控，哪怕只是隨意亂跑，也是一個(gè)小坦克，會(huì)引發(fā)一些公共安全問題。

           現(xiàn)在智能電梯，電梯上有很多傳感器，有裝備通訊模塊，能通過遠(yuǎn)程方式控制電梯。原來電梯巡檢靠人跑，成本很高。現(xiàn)在上傳感器后，遠(yuǎn)程控制中心就能監(jiān)控，比如電梯部件老化，或哪里可能有一些小故障，甚至可以遠(yuǎn)程下發(fā)一些修復(fù)指令做修復(fù)。這樣的話，運(yùn)營成本可以減少90%。

           但正是引入很多遠(yuǎn)程控制、遠(yuǎn)程下發(fā)命令功能，如果被惡意操控的話，也會(huì)造成電梯上上下下不停，對(duì)電梯里的人驚嚇過度，甚至影響生命安全。

           此外，電梯通常還有一塊媒體屏幕。我們也通過實(shí)際案例證明，我可以替換掉里面的視頻。如果被惡意操控，播放了一些不該放的東西，負(fù)面影響將會(huì)非常大。

           還有攝像頭，現(xiàn)在安防攝像頭太普遍了。比如影視劇《生死時(shí)速》中，壞人用攝像頭監(jiān)控大巴上的場(chǎng)景，就錄了一段視頻，視頻循環(huán)播放就能達(dá)到欺騙性。

           另有智能門鎖，我們也做過研究，一個(gè)遠(yuǎn)程就可以打開一個(gè)地區(qū)幾千把門鎖。

           我們現(xiàn)在還在研究工控控制器，比如電力、能源、化工等一些重要行業(yè)，比如化工化學(xué)反應(yīng)、控制，電力變電站的控制，包括智能電表等。

           萬物互聯(lián)能做的事非常多，其實(shí)安全光靠科恩或者騰訊都不夠，需要大家一起來努力，才能夠真正保護(hù)好我們新的技術(shù)應(yīng)用時(shí)代的安全。


問題六：現(xiàn)在跨界AI是不是一個(gè)重要研究方向，在安全問題上，AI技術(shù)到底到了怎樣的程度？

呂一平：去年方濱興院士講過一句話，說國家希望我們做一個(gè)信息安全，到2035年或是到2050年一個(gè)二十、三十年的規(guī)劃，就是信息安全怎么做。方院士回答說這個(gè)東西做不了，因?yàn)樗疾恢?035年、2050年的時(shí)候，我們有什么樣的新技術(shù)、應(yīng)用場(chǎng)景，怎么判斷安全該怎么做，因?yàn)榘踩旧硎前樯畔⒓夹g(shù)發(fā)展的。

           AI算法本身的安全性，從科恩角度來講，目前分兩個(gè)方向在看：

           1、AI算法本身的安全。
                比如關(guān)于智能汽車視覺、AI的對(duì)抗，不管是車道線的變換，研究算法，還是制造AI、視覺的對(duì)抗樣本，最后都干擾了汽車的駕駛決策。AI現(xiàn)在在各行各業(yè)應(yīng)用場(chǎng)景較多，未來的確會(huì)有一個(gè)新的對(duì)AI算法對(duì)抗的研究，可能也會(huì)成為一個(gè)安全研究方向。
           2、怎么樣用AI的能力來輔助安全研究？
                 目前來看，安全研究還是一個(gè)以人為主的領(lǐng)域，靠人的經(jīng)驗(yàn)和突發(fā)奇想的創(chuàng)造力。
                 我們現(xiàn)在也在做一些嘗試，舉個(gè)例子，我們能不能把一個(gè)逆向問題轉(zhuǎn)化成一個(gè)搜索問題？比如說，原來我們要對(duì)大量的二進(jìn)制文件做逆向，去分析，把它還原成代碼，然后讀懂代碼的邏輯，然后找安全問題。

           但是，現(xiàn)在開源的庫太多了，代碼研發(fā)的很多工作，就是開源組件工程化的拼接，有很多安全性的問題。

           我們能不能保證每個(gè)二進(jìn)制文件，都能夠還原成一個(gè)開源組件的代碼，就是以自動(dòng)化的方式、AI的方式，這樣做一些匹配？原來是一個(gè)個(gè)文件逆向，今后是有一個(gè)唯一標(biāo)尺，通過二進(jìn)制對(duì)應(yīng)的代碼，通過AI能力，就能夠直接溯源到代碼，這樣就把大量逆向的方法轉(zhuǎn)換成搜索二進(jìn)制特征的東西。

           這樣的話，就能大大減少研究上的工作量，但現(xiàn)在效果還不是太好。我們也找了公司內(nèi)的AI專家，配合我們看，就是把搜索的正確率，包括判斷的準(zhǔn)確率能夠提高上去。

楊勇：我個(gè)人覺得，跨界AI談不上重要，但卻是一個(gè)新戰(zhàn)場(chǎng)。因?yàn)橹罢麄€(gè)產(chǎn)業(yè)沒有特別大規(guī)模的引入。你一旦引入一個(gè)新技術(shù)，就必然產(chǎn)生一些新的業(yè)務(wù)場(chǎng)景，就會(huì)同時(shí)引發(fā)很多攻防場(chǎng)景。

           所以，AI的很多問題，一個(gè)是它引入產(chǎn)生的很多新場(chǎng)景，另一個(gè)是它包含很多國計(jì)民生的東西，現(xiàn)在越來越會(huì)用到AI算法和技術(shù)，所以以后會(huì)有更多的聚焦在這上面。

           我講一下集團(tuán)內(nèi)研究的一些理解，我覺得AI安全應(yīng)該分幾個(gè)層面：

           1、基礎(chǔ)設(shè)施。AI本身有AI的基礎(chǔ)設(shè)施。

           舉個(gè)例子，汽車怎么保證不撞小孩、不撞樹？其實(shí)有很多訓(xùn)練集，訓(xùn)練它這個(gè)是樹，只要看到差不多像這個(gè)樣子的，就不要去撞。這里面基礎(chǔ)設(shè)施的工具就包括，比如說我攻擊你的訓(xùn)練集，比如說數(shù)據(jù)污染，我讓你看到人就覺得像棵樹，在這里攻擊。

           2、AI給我們帶來了什么？

           有句玩笑話說，人工智能有多少智能，就有多少人工。就是說AI其實(shí)在靈活性和創(chuàng)意性上，還不足以到產(chǎn)業(yè)化。但AI也有很好的例子，比如在圍棋上的應(yīng)用，已經(jīng)很成熟，說明算力方面在某些特定領(lǐng)域是可以超越人腦的。

           在這里，算力方面會(huì)帶來什么？比如說在安全的防御、DDoS惡意流量的識(shí)別，需要大量的算力。只要你在后臺(tái)技術(shù)、算法技術(shù)、大數(shù)據(jù)技術(shù)模型構(gòu)建得好，這個(gè)算力是能解決很多以前配簡單規(guī)則的問題。

           比如說黑客發(fā)起攻擊，以前人家會(huì)開我們團(tuán)隊(duì)的玩笑，就是一夜七次郎。什么意思？就是以前黑客發(fā)起攻擊，改改特征，我們就可以做特征對(duì)抗，所以導(dǎo)致我們的值守同學(xué)一晚上要起來七次進(jìn)行對(duì)抗，這是非常辛苦的。現(xiàn)在我們可以用特征算法，用算力跟他對(duì)抗。

           AI在風(fēng)控領(lǐng)域也特別有效，比如那么頻繁的交易，洗黑錢怎么發(fā)現(xiàn)？如果這個(gè)人涉槍、涉暴、涉恐、販毒怎么發(fā)現(xiàn)？

           其實(shí)這里有大量的經(jīng)濟(jì)學(xué)意義、社會(huì)價(jià)值，我們能夠把那些壞人集中地圖譜出來，把他們抓住，讓他們不要傷害別人，這是防御方面。

           攻擊領(lǐng)域，比如說對(duì)驗(yàn)證碼的攻擊，我們發(fā)現(xiàn)他們其實(shí)就用人工智能算法來對(duì)抗，如果你也用人工智能，就看誰的算力強(qiáng)。

           最后一個(gè)領(lǐng)域是泛安全領(lǐng)域，其實(shí)更寬廣。比如把AI這種成熟技術(shù)用在安防領(lǐng)域、IOT領(lǐng)域、出行領(lǐng)域，醫(yī)療設(shè)備里。這個(gè)領(lǐng)域不是傳統(tǒng)的信息安全領(lǐng)域，但是又跟信息安全結(jié)合、跨界。

   
以上內(nèi)容由四川無國界(warmw001.com.cn) 整理編輯——專業(yè)從事網(wǎng)絡(luò)信息安全培訓(xùn)與IT風(fēng)險(xiǎn)管理咨詢服務(wù)。