首页 未分类正文

黑产业互联网正面临新的信息安全挑战

admin 未分类 2019-06-14 1057 0


今年 1 月,拼多多因为出现系统 BUG,被黑灰产团队通过过期优惠券漏洞盗取数千万元平台优惠券,进行不正当牟利。有报道称,拼多多因为此次事件损失达到数千万元。

而那次事件还只是近年涌现的黑灰产攻击的一个典型案例而已。如今,这些黑灰产团队已经形成了产业链上下游,上游负责提供信息和数据,下游负责利用这些信息和数据变现。


图丨拼多多薅羊毛事件(来源:拼多多)

“他们会有专业化的团队,把传统分析漏洞的逆向技术、软件跟踪技术用在分析银行、金融产业的软件,发现其中漏洞。”在近日于上海举办的腾讯安全国际技术峰会上,腾讯安全平台负责人、腾讯安全学院副院长杨勇和 DeepTech 分享了近期出现的一种针对金融领域的新攻击。

他举例称,有一些金融企业会将校验逻辑放在手机本地,犯罪团伙发现后,就可以直接通过改本地数据,开出更多贷款的额度,或者使用虚假的账户、虚假的身份等。这些黑灰产攻击团队已经初步具备规模化的能力,正在扩大攻击面。
 
“这对整个产业的风险是非常大的,因为以前只是开出一个几十元的会员卡看看电影,但现在可能是成千上万甚至几十万的一笔贷款,这是产业内发生一个新的变化”,杨勇说。

(来源:DeepTech)

在过去,传统意义上的信息安全攻击,往往表现为一段代码或者操作系统有漏洞,然后攻击方研究这个漏洞后黑进去把数据偷出来。但到了具体的产业攻防场景,比如电商,可能攻击方也利用了相同的漏洞,但他们的目的变成了薅羊毛,把红包、营销费用全偷走。

根据第三方监测机构威胁猎人的统计,国内的《网络安全法》实施以来,明显触犯法律的黑产工具,如盗号木马、远控木马等,做的人越来越少的。现在他们可以通过各种各样的方法,比如在互联网金融领域通过漏洞、风控的缺陷去攻击,进而盗用金融身份去贷款等等。

也正因为这些新的变化的出现,
产业攻防场景,成为 2019 年腾讯安全技术国际峰会的关键词。



信息安全挑战:攻击面和危害程度都在扩大
 


去年腾讯宣布进军产业互联网,为配合这一战略,腾讯还进行了一次组织架构的大型调整,宣布成立两个新事业群:云与智慧产业事业群(CSIG)、平台与内容事业群(PCG)。其中,腾讯量子实验室、优图实验室、科恩实验室等腾讯内部探索前沿科技的实验室,都划到了 CSIG,这也使得 GSCI 成为腾讯拥有最多 T5 科学家的事业群(腾讯要求,T5 科学家不仅要是各自领域公认的资深专家,还要有足够的战略眼光)。


而在归属 CSIG 之后,这些由科学家主导的实验室,其使命和任务有了微妙的变化,主要体现在和产业互联网更深地结合上。
 
以腾讯安全科恩实验室为例,这个集结了业内诸多国际信息安全顶尖专家的信息安全团队,现正在密切关注新出现的产业攻防场景。今年 4 月,科恩实验室就成功攻击了特斯拉 Autopilot 系统,当时这个研究工作也获得了马斯克点赞。科恩实验室早在 2016 年的时候就开始研究特斯拉的网联安全,2018 年扩展到了宝马车型的安全问题,现在,智能网联汽车安全上,科恩实验室也在和国内的几十个厂家合作进行研究。


 
不难看出,万物互联之后,信息安全的攻击场景不再是简单的偷数据和简单获取操作系统的权限,而是走向多样化,现在,是时候从产业互联网的出发点来重新审视信息安全。
 
杨勇认为,具体到产业互联网背景下,新的信息安全问题和挑战可以概括为以下两点:
 
首先在于
不同行业的交叉带来的攻击面的扩大。
 
例如,科恩实验室关于网联汽车的信息安全,就是互联网与汽车行业、出行安全的交叉结合。再如手机最基础芯片存在一些安全问题,把 4G 或者 5G 的某些芯片应用在出行或金融上,也可能会带来信息安全的问题,这实际就是科技渗透带来的问题。

第二,
攻击面扩大带来不同程度的危害。
 
之前个人信息安全不涉及出行场景,风险更多体现在电脑蓝屏或者数据丢失等。但当产业互联网发展起来,出行的场景也被覆盖其中,这就会造成人身安全问题。金融领域也一样,可能会带来一些重大金融风险。




安全投入难量化成为产业关键问题


从具体的技术来看,除了软件层面的挑战以外,硬件安全的重要性也在产业互联网凸显。
 
新的产业攻防场景往往会跟企业的业务场景有着更深的结合。此前业内的信息安全团队更多关注是软件层、网络层的安全。但现在,新的场景下,硬件的安全已经不容忽视,甚至还会有多个硬件、多个场景协同的,跨界的信息安全需求,例如跨摄像头追踪物品这样的安防场景。这些都是新的产业和新的场景下所带来新的应用。而新的应用,也就带来了新的安全考虑。
 
今年的腾讯数字生态大会上,腾讯副总裁丁珂就提到,“
安全已成为制约企业发展的天花板”。

但是,回到企业的角度,如何量化其应该在安全上有多大的投入是一个关键的问题。所有人都知道安全很重要,但是永远不可能达到足够的安全。种种不安全又意味着多大的风险?企业又要投入多少?

这需要行业内的各方都理解这些风险的场景,特别是产业攻防场景,在对这些场景的了解不那么清晰的时候,对于安全的投入不好量化。

过去,行业内的一个说法是安全唯成本中心论。有数据调查显示,目前中国企业信息安全投入占整体 IT 投入仅为 2.3% 左右,该比例只有北美市场的一半。但这一情况现在也正在改变,尤其是在安全生产力的价值愈发被印证的情况下,传统企业拥抱互联网,渐渐意识到安全是一个投资问题。



“2014 年,我们在汽车行业呼吁大家关注智能网联汽车的安全问题,那个时候大家认为这很重要,但不会投入资源来做这个事。现在,到了 2019 年,上市的汽车可能 80% 以上都带联网功能,网联车的保有量上来了,信息安全问题的关注度也一并上来了。其他领域也一样,比如智能电梯,其实也是行业的发展在推着我们走”,腾讯安全科恩实验室总监吕一平对 DeepTech 表示。
 
智能网联汽车就是科恩实验室探索出来的一个产业方向。现在,配合腾讯整体的战略,两支信息安全技术队伍也在逐步寻找其他行业的机会。
 
杨勇所在的腾讯安全平台团队,在此前支撑腾讯的消费互联网保护了以亿计使用腾讯各种各样在线服务和在线产品的安全,这支团队的很多经验和能力现在也在向产业互联网输出。
 
他们目前在做的一件事情也是与更多的行业内的客户接触,了解行业在安全上的需求,并根据这些需求,探索把团队以往积累的核心能力工具化、产品化,寻求商业机会将能力赋给产业客户,双方共同探讨其中的价值。
 
吕一平则透露,腾讯合作的行业中,对他们认知度最高的是那些自己有比较强的安全团队的企业。

AI所带来的改变


未来,在解决产业攻防场景的问题上,一个重要的技术趋势是,这些问题的解决愈发需要不同领域知识的结合。
 
“信息安全的研究和应用,要求知识翻新速度,要对新技术的敏感度和接受度非常高”,吕一平说。人工智能的出现和应用就是一个典型的例子。
 
据介绍,目前科恩实验室正在从两个不同方向考量人工智能对信息安全产业的价值:
AI 算法本身的安全以及怎么样用 AI 来辅助安全研究。



 
在 AI 算法本身的安全上,视觉领域的对抗研究是一大重点。近年来,已经有越来越多的对抗样本的研究被证实可以干扰汽车的驾驶决策。未来这个方向很可能也会成为安全研究的一大方向。而安全研究本身的演进,目前还是一个以人的经验为主的领域,科恩实验室正在尝试将一些经验判断的问题转化为机器可以执行,例如把逆向的问题转化成搜索的问题。
 
“原来我们要对大量的二进制文件做逆向分析,把它还原成代码,然后读懂代码的逻辑,然后找安全问题。但是现在开源的库太多了,代码研发的很多工作就是开源组件工程化的拼接,就有很多安全性的问题。我们能不能保证每个二进制文件都能够还原成一个开源组件的代码,以自动化的方式、AI 的方式做一些匹配?原来是一个一个文件进行逆向,今后我们是不是有一个‘标尺’,通过二进制对应的代码,通过 AI 的能力就能够直接溯源到代码,这样就把大量逆向的方法转换成搜索二进制特征的过程,可以大大减少我们在研究上的工作量。我们现在在做这项工作,但目前来看效果还不是太好”,吕一平说。
 
而整个腾讯集团正在关注的 AI 信息安全研究,则有以下 3 个层面:AI 基础设施的安全性,例如数据集的数据污染、底层深度学习框架的缺陷;算力上的演进,在一些特定的攻防场景,双方比拼的其实就是 AI 算力,例如一些黑产团队对验证码的攻击就是通过人工智能算法实现的;在泛安全领域,可以关注的就更多、更宽广了,比如说把 AI 用在安防、IOT、出行、医疗设备等方面,这里的应用空间就已经不单单是传统的信息安全领域,而是信息安全和各个行业的结合与跨界。

“万物互联才刚刚开始,我们能做的事情非常多,需要关注的领域也很多。关键问题是,光靠科恩或者是腾讯都不够,需要行业共同努力,才能够真正保护好我们新的技术应用时代的安全”,吕一平说。


版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。

评论