攻擊產業化，黑客IoT化，面對“生化危機”，騰訊峰會有何干貨？

6月已至，安全領域逐漸熱鬧了起來。各種安全峰會和高端論壇接踵而至，讓人目不暇接。

這大概與安全人低調嚴謹的性格有關，雖說一年之計在於春，但總覺得必須得踏踏實實準備小半年，到了入夏，才有底氣舉辦一場夠格的安全峰會。

6月11日至12日期間，作為安全領域鼎鼎有名的2019騰訊安全國際技術峰會（TenSec 2019）在上海西岸藝術中心召開並落下帷幕。

這場峰會，由騰訊安全發起，騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦，騰訊安全學院協辦，延續前三屆高標準、高規格，匯聚來自微軟、ARM、騰訊等的海內外頂級安全專家以及獨立信息安全研究者，圍繞雲計算、AI應用、IoT、虛擬化、大數據、OS等領域安全的最新研究成果展開探討交流。

2019騰訊安全國際技術峰會現場

如此高端的安全技術峰會，自然少不了權威研究的白皮書撐場。大會期間，騰訊安全科恩實驗室正式發佈《2018年Android應用安全白皮書》，通過對1404個Android應用的漏洞掃描分析，揭示了超過98%應用存有不同類型的安全風險。

在此基礎上，騰訊安全深度剖析了移動安全風險的誘因，並提供了修復建議，旨在為移動應用安全性的提升提供解決工具和技術支持。

此外，上海市徐彙區副區長晏波，騰訊安全平臺部負責人、騰訊安全學院副院長楊勇以及騰訊安全科恩實驗室總監呂一平等領導、嘉賓出席峰會，並針對新時代下安全形勢及應對策略發表了看法。

演講嘉賓風采一睹為快

本屆峰會的十大議題，其中包含五大首發議題，在我們安在6月6日發的《十大重磅議題，五大全球首發，安全領域“華山論劍”》一文中，便早有闡述，故此不再贅言，不過我們可以一睹諸位演講嘉賓的個人風採。

ARM物聯網設備線業務副總裁Asaf Shen

MSRC（微軟安全應急響應中心）高級安全工程師金龍

美團基礎安全負責人趙弼政

歐盟知名CTF戰隊成員 Marius Muench

騰訊mac安全專家 王朝飛

此外，現場嘉賓的提問也是頗為積極，唯有演講內容足夠豐富與引人入勝，方能吸引國內外的參會者爭相發問。下面這位提問的國外小哥哥，第一眼看去，就是一名精於安全技術的專業人士。

國內安全技術更貼近國人生活

本屆TenSec上，除了汲取國外安全技術者的最新研究外，國內安全技術團隊也展現了自身強大的安全技術能力。其實筆者對國內的安全技術更感興趣，為何如此？

因為，國外安全技術確實看上去高大上，但往往距離我們生活太過遙遠。就如當年的MSN與QQ，最初之時前者技術定然優於後者，但為何被QQ後來者居上，就是因為QQ更貼合國人使用邏輯與喜好，也更貼近我們的生活方方面面。

同理，國內安全技術的研究，自然針對我們普遍遇到的安全問題，更加貼近國人的工作與生活。所以筆者自然更多瞭解國內安全技術的發展狀況。

就企業安全生態佈局而言，擁有百萬級服務器入侵檢測對抗實戰經驗的美團基礎安全負責人趙弼政，結合美團在基礎安全方面的實踐，分享合理設計入侵檢測的安全防禦之道。

騰訊研發安全團隊負責人、高級安全工程師馬鬆鬆結合十餘年的安全體系設計、系統研發等行業經驗，運用大量安全建設實例對應用運維、業務、信息、IT辦公等安全研發設計進行解讀和分析，並指出自動化、工程化是企業風險管控的重要方向。

擁有豐富安全大數據分析經驗的騰訊安全高級研究員鄧永，針對企業安全的地下黑產威脅，首次詳細披露了騰訊運用全球最大黑產知識圖譜，通過構建圖、圖聚類算法、可疑團夥分析三個關鍵步驟判定和挖掘地下黑產的新方式，對數量級黑產的高效挖掘提供了實踐範式。

在企業最為關注的數據安全方面，騰訊安全專家工程師彭思翔闡述了AI在企業數據治理和防禦過程的思路與成果，分享了企業如何從數據流視角運用集“白+黑”雙引擎及多種機器學習算法於一體的前沿安全技術，守衛企業數據防線，助力企業安全防禦體系升級。

騰訊mac安全專家王朝飛也揭祕了蘋果桌面系統macOS的攻擊手法，並介紹了檢測方案和構建macOS EDR所需的數據源，對於IT、設計等大規模使用macOS系統的行業價值顯著。

據筆者瞭解，自2016年起，騰訊安全國際技術峰會（TenSec）至今已連續舉辦四屆，逐漸成為推進國際廠商和安全社區交流合作的開放性平臺。通過技術探討和共享不斷推動全球互聯網安全升級，更好地守護新興互聯網形態和用戶安全。

2019騰訊安全國際技術峰會會場

近年來，伴隨著更多ICT新技術進入產業互聯網，TenSec主辦方騰訊安全科恩實驗室一方面持續保持領先的技術研究水平，向智能網聯汽車、安卓應用生態、IoT等行業開放核心技術能力，另一方面也通過TenSec的國際化平臺屬性，匯聚全球安全智慧為產業互聯網的發展獻計獻策。

騰訊安全科恩實驗室總監呂一平表示，本次選擇在上海舉辦TenSec的目的，就是想借助上海國際化大都市的符號，進一步強化國內外頂尖安全從業人員之間的技術交流。同時也希望基於TenSec的平臺，助力上海產業互聯網發展和當地企業的數字化轉型升級，為全國更多地區的安全發展提供可複製的樣本。

黑客IoT化等內容大開眼界

本屆TenSec，除了嘉賓演講主題十分精彩外，騰訊安全平臺部負責人楊勇和騰訊安全科恩實驗室總監呂一平接受媒體採訪所談及的內容，同樣精彩紛呈。

本次採訪，楊勇與呂一平二人暢所欲言，可謂讓筆者大開眼界，直呼過癮。未免滄海遺珠之憾，筆者精選幾個專訪話題，進行細緻梳理，以饗諸位讀者。

“

“問題一：騰訊安全對智能汽車的研究，廣為人知的一個案例就是特斯拉Model X，為什麼要做這類研究？”

”

呂一平：對一些新的萬物互聯的安全研究，騰訊許多安全團隊都在做。我們研究智能網聯安全已有三年，包括2016年、2017年特斯拉的網聯安全，2018年寶馬車型的安全。

作為一個技術研究團隊，應該提前佈局一些能力。國家剛剛發了5G牌照，馬上5G自動駕駛技術，包括車路協同、車車協同等更豐富的智慧交通場景都會落地。我們需要為未來技術的安全保障做一些能力儲備

“

“問題二：各行各業轉型做產業互聯網，將可能會遭遇哪些新型安全問題？”

”

楊勇：首先，攻擊面會擴大。像科恩實驗室最新研究汽車安全，一直研究了很多年，實際就是產業互聯網帶來的，即互聯網跟汽車行業出行安全的結合。

前陣子我們發現手機最基礎芯片的一些安全問題，只要你用了4G或5G的一些芯片，不管你用在哪些方面，不管是出行還是金融，都會有信息安全問題，這實際上是科技滲透帶來的問題。

其次，攻擊面的擴大危害是不同的。因為以前安全更多的是電腦藍屏或數據丟失。但引入了產業互聯網，出行領域引入就有人身安全問題，金融領域引入可能會造成一些重大金融風險，航空器上引入，那有可能引發空難，所以這是一個很大的挑戰。

但反過來看，人類的進步從來不是因為保守，最大的風險並不是這些安全問題，而是在於不發展。安全的價值就是可以讓我們安心發展。所以，我們的焦點是希望給各行各業帶來可以安心發展業務，安全的問題交給科恩、交給城市安全。

第三，產業攻擊場景的出現。攻擊場景越來越產業化，舉個例子，之前的攻擊是你有一段代碼，操作系統有個漏洞，然後黑進去，把數據偷出來。

什麼叫產業攻擊場景？比如你做電商，可能我也是用了這種漏洞，但我的目的是薅羊毛，把你的紅包、營銷費用全給偷走。攻擊完以後，我通過盜用你金融身份，把貸款騙出來，線下再把錢取出來。

產業攻擊場景，汽車也是，樓宇也是。現在萬物互聯以後，攻擊場景不再是簡單偷數據和獲取操作系統權限，而是越來越多樣化。比如汽車可以威脅人身安全，也可以竊取你很多隱私，智能那樓宇更是如此。

所以，我覺得應該從產業互聯網的變化重新審視安全，安全要應對這些變化和擁抱這些變化，而不是因為有這些變化和風險，我們就不發展。

“

“問題三：騰訊新總部也在做智能樓宇，對於智能樓宇安全，你們有何想法？”

”

楊勇：我們確實研究過自家新總部大樓智能樓宇安全。新總部完全是智能化的燈光、空調等，有很多新技術在裡面。其實很多是研究員出於自身興趣而研究，因為騰訊有一個企業文化，很多事都是自下而上，所以給了研究員很大的研究空間。

智能樓宇蘊含大量的高科技，很多小區和國外酒店已經在用。我們也會思考，如此高科技的系統，會有怎樣的安全風險？

比如智能樓宇的電話系統，可能會變成竊聽器；電話系統、會議系統可能會通過人工智能，偽造老闆發一個虛假的電話或虛假消息給員工，可能會導致鉅額的商業詐騙。

我們想到很多產業的攻擊場景，比如住酒店，個人數據會不會被偷走，電梯會不會被別人操控？黑客已能控制操作系統和業務系統，那他會不會進一步控制樓宇系統？

還有安防，人工智能技術其實最成熟的技術，如視覺技術，視覺和圖像處理技術，用於傳統安防效果應該很好。

對於安防，我們抱著一些開放的態度，比如我們的算法、技術，其他安防廠商、硬件廠商想和我們合作或想用我們的算法，我們可以給他提供，並不是排他性的。

我們跟傳統特徵算法不同的是，第一可以通過大數據和雲數據，把各個攝像頭所有數據匯聚在一起進行聯動分析，這需要兩個技能：

1、數據集中需要很好的算法和傳輸能力，這是我們的優勢。

2、算法還得準確，這也是騰訊在AI上長期投入的東西。

傳統安防，壞人作案逃逸，可能8到12小時以後才知道，需要人去拖動視頻時間軸查看監控。如果是一個攝像頭還好，若是多個，就意味著需要很多人查看幾十G甚至幾百幾千G的數據，萬一不小心看漏，所有工作重來。

但如果我們有算法，比如我們用摘要算法，可以很短時間內把視頻濃縮在一起看，可能幾分鐘就能看到，這就是科技研究帶來的一些產業變化，也是一個產業的機會。

“

“問題四：目前針對物聯網，黑產有沒有形成規模的案例？”

”

楊勇：案例有很多。舉個例子，我們發現金融行業最近被很多羊毛黨薅羊毛，大家都知道，羊毛黨會刷購物券、返利券、打折券，但大家可能不知道，他們能幹的遠不止這些。

比如像礦泉水瓶裡有獲獎標籤，黑灰產會到廢品收回站收，把瓶蓋集中起來，通過一個機械化流水線，利用攝像頭智能識別上面的碼，如果有中獎，就把碼提取出來集中兌獎。

事實上，如今黑客已經IoT化，並且已經明顯跨界，從廢品收購產業到人工智能識別，再到羊毛黨薅羊毛，黑灰產的產業鏈已經擁有相當高素質的團隊。

我們還看到一個獨家案例，可能很多人不知道。就是我們發現黑灰產對金融領域的攻擊，他們有一個專業化的團隊，把傳統分析漏洞的逆向技術、軟件跟蹤技術用在分析銀行的軟件上，分析大家手機上金融APP，然後找出一些漏洞。

其中一些案例就是，黑灰產通過逆向手機，發現有些金融企業APP校驗邏輯沒有放在企業雲端，而是放在手機本地。然後直接通過改本地數據，可以開出很多貸款額度，還開出很多虛假的賬戶、虛假的身份。

對於用戶而言，風險極大。以前黑灰產可能只是開出一個10元20元的會員卡，但現在可能會詐取成千上萬甚至幾十萬的貸款。

所以安全不光是幾個部門、幾家公司的事，而是一個國家甚至全球的事，所以才開國際技術交流峰會，應對大家共同面臨的挑戰。

“

“問題五：騰訊目前還在探索哪些新場景的安全？”

”

呂一平：萬物互聯場景太多了，智能汽車只是一個很小的場景。比如我們今年還會有機器人項目。機器人會分兩類，一類服務機器人，會面向消費者。一類工業機器人，有點像做智慧製造、智能製造這塊。

服務機器人，比如現在在機場、廣場、超市裡看到有一些機器人，要麼是警務用的巡邏機器人，或者超市裡的導購機器人。那種機器人一般自重80公斤，最高時速60公里。如果它被惡意操控，哪怕只是隨意亂跑，也是一個小坦克，會引發一些公共安全問題。

現在智能電梯，電梯上有很多傳感器，有裝備通訊模塊，能通過遠程方式控制電梯。原來電梯巡檢靠人跑，成本很高。現在上傳感器後，遠程控制中心就能監控，比如電梯部件老化，或哪裡可能有一些小故障，甚至可以遠程下發一些修復指令做修復。這樣的話，運營成本可以減少90%。

但正是引入很多遠程控制、遠程下發命令功能，如果被惡意操控的話，也會造成電梯上上下下不停，對電梯裡的人驚嚇過度，甚至影響生命安全。

此外，電梯通常還有一塊媒體屏幕。我們也通過實際案例證明，我可以替換掉裡面的視頻。如果被惡意操控，播放了一些不該放的東西，負面影響將會非常大。

還有攝像頭，現在安防攝像頭太普遍了。比如影視劇《生死時速》中，壞人用攝像頭監控大巴上的場景，就錄了一段視頻，視頻循環播放就能達到欺騙性。

另有智能門鎖，我們也做過研究，一個遠程就可以打開一個地區幾千把門鎖。

我們現在還在研究工控控制器，比如電力、能源、化工等一些重要行業，比如化工化學反應、控制，電力變電站的控制，包括智能電錶等。

萬物互聯能做的事非常多，其實安全光靠科恩或者騰訊都不夠，需要大家一起來努力，才能夠真正保護好我們新的技術應用時代的安全。

“

“問題六：現在跨界AI是不是一個重要研究方向，在安全問題上，AI技術到底到了怎樣的程度？”

”

呂一平：去年方濱興院士講過一句話，說國家希望我們做一個信息安全，到2035年或是到2050年一個二十、三十年的規劃，就是信息安全怎麼做。方院士回答說這個東西做不了，因為他都不知道2035年、2050年的時候，我們有什麼樣的新技術、應用場景，怎麼判斷安全該怎麼做，因為安全本身是伴生著信息技術發展的。

AI算法本身的安全性，從科恩角度來講，目前分兩個方向在看：

1、AI算法本身的安全。比如關於智能汽車視覺、AI的對抗，不管是車道線的變換，研究算法，還是製造AI、視覺的對抗樣本，最後都干擾了汽車的駕駛決策。AI現在在各行各業應用場景較多，未來的確會有一個新的對AI算法對抗的研究，可能也會成為一個安全研究方向。

2、怎麼樣用AI的能力來輔助安全研究？目前來看，安全研究還是一個以人為主的領域，靠人的經驗和突發奇想的創造力。

我們現在也在做一些嘗試，舉個例子，我們能不能把一個逆向問題轉化成一個搜索問題？比如說，原來我們要對大量的二進制文件做逆向，去分析，把它還原成代碼，然後讀懂代碼的邏輯，然後找安全問題。

但是，現在開源的庫太多了，代碼研發的很多工作，就是開源組件工程化的拼接，有很多安全性的問題。

我們能不能保證每個二進制文件，都能夠還原成一個開源組件的代碼，就是以自動化的方式、AI的方式，這樣做一些匹配？原來是一個個文件逆向，今後是有一個唯一標尺，通過二進制對應的代碼，通過AI能力，就能夠直接溯源到代碼，這樣就把大量逆向的方法轉換成搜索二進制特徵的東西。

這樣的話，就能大大減少研究上的工作量，但現在效果還不是太好。我們也找了公司內的AI專家，配合我們看，就是把搜索的正確率，包括判斷的準確率能夠提高上去。

楊勇：我個人覺得，跨界AI談不上重要，但卻是一個新戰場。因為之前整個產業沒有特別大規模的引入。你一旦引入一個新技術，就必然產生一些新的業務場景，就會同時引發很多攻防場景。

所以，AI的很多問題，一個是它引入產生的很多新場景，另一個是它包含很多國計民生的東西，現在越來越會用到AI算法和技術，所以以後會有更多的聚焦在這上面。

我講一下集團內研究的一些理解，我覺得AI安全應該分幾個層面：

1、基礎設施。AI本身有AI的基礎設施。

舉個例子，汽車怎麼保證不撞小孩、不撞樹？其實有很多訓練集，訓練它這個是樹，只要看到差不多像這個樣子的，就不要去撞。這裡面基礎設施的工具就包括，比如說我攻擊你的訓練集，比如說數據汙染，我讓你看到人就覺得像棵樹，在這裡攻擊。

2、AI給我們帶來了什麼？

有句玩笑話說，人工智能有多少智能，就有多少人工。就是說AI其實在靈活性和創意性上，還不足以到產業化。但AI也有很好的例子，比如在圍棋上的應用，已經很成熟，說明算力方面在某些特定領域是可以超越人腦的。

在這裡，算力方面會帶來什麼？比如說在安全的防禦、DDoS惡意流量的識別，需要大量的算力。只要你在後臺技術、算法技術、大數據技術模型構建得好，這個算力是能解決很多以前配簡單規則的問題。

比如說黑客發起攻擊，以前人家會開我們團隊的玩笑，就是一夜七次郎。什麼意思？就是以前黑客發起攻擊，改改特徵，我們就可以做特徵對抗，所以導致我們的值守同學一晚上要起來七次進行對抗，這是非常辛苦的。現在我們可以用特徵算法，用算力跟他對抗。

AI在風控領域也特別有效，比如那麼頻繁的交易，洗黑錢怎麼發現？如果這個人涉槍、涉暴、涉恐、販毒怎麼發現？

其實這裡有大量的經濟學意義、社會價值，我們能夠把那些壞人集中地圖譜出來，把他們抓住，讓他們不要傷害別人，這是防禦方面。

攻擊領域，比如說對驗證碼的攻擊，我們發現他們其實就用人工智能算法來對抗，如果你也用人工智能，就看誰的算力強。

最後一個領域是泛安全領域，其實更寬廣。比如把AI這種成熟技術用在安防領域、IOT領域、出行領域，醫療設備裡。這個領域不是傳統的信息安全領域，但是又跟信息安全結合、跨界。