如何評價「中國互聯網安全廠商在漏洞挖掘及防禦方面的地位舉足輕重」這句話?
2016年上半年,全球主流安全廠商向微軟、Adobe、蘋果、谷歌提交漏洞609個,中國安全廠商提交254個
微軟公司在上半年收到了來自全球安全廠商提交的124個漏洞信息。在所有漏洞中,騰訊玄武實驗室創建者於暘(中國安全圈人稱TK教主)發現的「BadTunnel」漏洞,受到了全球互聯網的高度關注。該漏洞被稱為是能夠影響Win95到Win10的「超級漏洞」,是目前Windows歷史上影響最廣泛的漏洞,對於微軟已不支持的版本(如Win XP),將面臨用戶被秘密監控的危險
他們是這樣一群人,他們有著神乎其技的技術,他們能夠先人一步地識別計算機系統或網路系統中的安全漏洞,然後反饋給漏洞所屬的企業並協助制定修補方案,他們被稱為"白帽子",在網路的世界中,哪裡有四處攻擊的黑客,就有與之搏鬥的"白帽子"。 全世界有很多知名"白帽子"團隊,例如,法國的安全團隊Vupen、荷蘭的皮特·維萊格登希爾(Peter Vreugdenhil)、德國的尼爾斯(Nils)等,他們都曾向美國宇航局、北約組織等提供過漏洞信息。 而在中國,漏洞通告平台--烏雲的創始人方小頓就是一位知名白帽子,業內也更熟悉他的網名"劍心"。還有著名網路安全企業知道創宇的創始人趙偉也是國內第一批白帽子。
在好萊塢電影中,我們經常能夠看到技藝高超的"電腦特工",分分鐘攻破入侵中央情報局,通過網路控制衛星。而在現實生活中,攻破當今最堅固操作系統只需要15秒,而創造這一奇蹟的,是來自中國的一支名為"Keen Team"的白帽子安全團隊。 中國網路安全的歷史在40秒內相繼被改寫,在溫哥華舉辦的全球頂級安全賽事Pwn2Own中,來自中國的"白帽子"團隊Keen Team用時15秒攻破MacOS X Mavericks 10.9.2,20秒攻破了Windows 8.1。其中MacOS,因為大量採用了業內如微軟、谷歌等公司最新的高級安全防護技術,在2011年以來連續三年舉行的Pwn2Own比賽中從無人攻破。
在對中國網路空間漏洞管理的「思考與建議」中,報告建議「以軍隊為主體整合國家網路空間安全力量」。
報告指出,網路空間是與核、航天領域並列的戰略空間。網路空間作戰已經取代陸戰場時代的坦克、海戰場的航空母艦、空戰場的戰鬥機,成為貫穿未來戰場的主要作戰行為。以軍隊為主體構建國家網路空間安全力量是國際上的通用做法,有助於網路空間態勢感知能力、網路空間防禦能力、網路空間反應能力、網路空間調查取證能力、網路空間進攻能力在國家範圍內的有效集成。綜合分析了國內外的網路安全漏洞方面的特徵,報告總結,中國在網路空間面臨的戰略環境有很多特殊性:一是知識產權保護力度跟不上,導致信息產業處於低水平徘徊階段,漏洞管理實力有限。二是軟硬體產業基本處於整個產業鏈的下游,漏洞管理的主導權不在我方。三是面對網路空間漏洞的發展速度,漏洞挖掘能力有限。
在北京發布的《網路空間安全藍皮書》稱,「稜鏡門」事件全面拉響了中國網路空間安全警報,新技術新應用發展使中國網路空間系統性風險加劇。網路空間是與核、航天領域並列的戰略空間,中國應以軍隊為主體整合國家網路空間安全力量。
這份藍皮書由上海社科院信息研究所和社科文獻出版社共同發布,全稱為《中國網路空間安全發展報告(2015)》,全書彙集中國20餘位專家學者的最新研究成果,全面分析了中國網路安全的總體現狀與發展對策。對任何互聯網公司來說,漏洞都是難以根除的頑疾。尤其是蘋果、谷歌和微軟等巨頭公司,一直是黑客挖掘漏洞的重要目標。不過在黑客群體中也有黑帽子和白帽子之分,黑帽子挖漏洞是為了通過網路犯罪獲利,白帽子挖漏洞則是要幫助廠商提升產品安全性。
由於漏洞挖掘的門檻比較高,在流行系統和軟體上與全球黑客競速挖出新漏洞,更是難上加難,漏洞挖掘能力也因此成為判斷一個安全團隊技術實力的重要指標。而中國團隊,已經是各大巨頭漏洞致謝榜上異軍突起的骨幹力量。就像醫生診斷病人的病情一樣,安全界的白帽子黑客便是專業挖掘漏洞的人,那麼問題來了:挖掘漏洞到底哪家強? 人們普遍有一個思維定勢,認為與信息安全相關的技術自然是外國人更厲害,或者是做殺毒軟體的公司,但事實上,最強的漏洞挖掘專家和團隊鮮為人知。據媒體報道和權威數據資料顯示,這一殊榮當屬於一支中國團隊——KEEN公司安全研究團隊Keen Team。 Keen Team被媒體評價為中國最佳的白帽子黑客團隊,其向微軟、蘋果、谷歌等全球知名廠商提交了數百個「嚴重」級別的安全漏洞,是全世界範圍內發現並報告安全漏洞最多的團隊。該團隊發現的全球主流軟體的高危漏洞超過三百多個,被福布斯雜誌評價「發現的蘋果漏洞是蘋果整個安全團隊的兩倍還多」,而國內赫赫有名的某美國上市的安全巨頭髮現的嚴重漏洞數目只有四十多個,如此相比,其「段位」可想而知。
國內安全廠商在互聯網安全領域的出色表現,也進一步體現出當下中國安全人才的潛力和價值。從國際範圍來看,國內廠商通過不斷對外輸出安全技術能力,贏得國際關注,將進一步增強用戶對國內互聯網安全技術的信心,對提升中國互聯網安全技術在世界範圍內的影響力將起到催化作用
谷歌、Facebook、微軟等外國互聯網公司先後制定了SRC應急響應機制或者漏洞獎計劃,鼓勵安全測試人員與企業一道維護系統安全。中國互聯網企業在這方面相對滯後。但自2012年5月騰訊成立中國首家企業自建漏洞收集平台——安全應急響應中心TSRC(Tencent Security Response Center)以來,國內互聯網安全廠商在漏洞挖掘方面的能力價值和影響力日益凸顯。
Adobe依舊是「漏洞大戶」,僅中國安全廠商漏洞提交數就達到119個。其中,騰訊安全為Adobe提交漏洞信息數量達到74個,佔比超61%。值得注意的是,在5月11日Adobe公司發表的最新安全公告中,騰訊玄武實驗室單次提交漏洞高達32個,是Adobe Reader有史以來單方提交漏洞之最,獲得Adobe官方致謝。與此同時,騰訊電腦管家在4月單次報告多達14處嚴重的Flash漏洞,成為單次提交Flash漏洞之最。
國互聯網安全廠商在漏洞挖掘及防禦方面的地位舉足輕重。相關數據統計顯示,僅2016年上半年,全球主流安全廠商向微軟、Adobe、蘋果、谷歌提交漏洞609個,中國安全廠商提交254個。其中,僅騰訊安全提交的漏洞數量就達100個,佔比近40%,是漏洞提交數量最多的中國廠商。
素有黑客"世界盃"之稱的Pwn2Own 2016上,騰訊安全憑藉總積分38分成為Pwn2Own史上第一個世界總冠軍,並獲得該賽事史上首個"Master of Pwn"(世界破解大師)稱號。此外,在今年的GeekPwn黑客大賽上,騰訊電腦管家網路攻防小組1秒攻破微軟Surface Pro4,憑藉高難度技術捧走15萬最高單項獎及"最霸技術獎"。
"中國安全廠商在漏洞挖掘上表現出的實力,很大程度上是因為大量白帽黑客人才向廠商安全實驗室聚集。"騰訊科恩實驗室負責人吳石表示:"依託於騰訊安全實驗室,白帽黑客從發現漏洞到提交漏洞的路徑將變得更加直接,同時還可藉助平台和騰訊電腦管家、騰訊手機管家,去面向用戶做更大規模適用和推廣。"
據悉,騰訊根據"白帽黑客"們的研究方向和專業,成立了相對獨立的"安全實驗室",各實驗室團隊成員可以分工協作,從各自擅長的角度和技術手法來挖掘系統漏洞、展開技術研究。"目前,騰訊安全設立了7大安全實驗室,已基本形成了一整套完善的漏洞防禦體系--實驗室研究人員專註漏洞挖掘並負責向第三方廠商報告,騰訊電腦管家、騰訊手機管家及時對存在漏洞的網站、軟體進行攔截,同時向用戶提供漏洞修復解決方案。國內安全廠商在互聯網安全領域的出色表現,也進一步體現出當下中國安全人才的潛力和價值。從國際範圍來看,國內廠商通過不斷對外輸出安全技術能力,贏得國際關注,將進一步增強用戶對國內互聯網安全技術的信心,對提升中國互聯網安全技術在世界範圍內的影響力將起到催化作用。太尼瑪爭氣了。目前已經非常安全了。
從1993年全國奧林匹克數學競賽的冠軍到到成長為中國乃至計算機漏洞挖掘領域當之無愧的第一,吳石證明了數學之美,也帶領了整個KeenTeam團隊獲得了世界漏洞發掘最高榮譽--ZDI全球漏洞挖掘白金獎。
對中國而言,網路空間安全形勢尤為複雜嚴峻,面臨來自國內外的諸多挑戰,特別是「稜鏡門」事件全面拉響中國網路空間安全警報,新技術新應用發展使中國網路空間系統性風險加劇。
報告稱,長期以來,全球網路空間治理結構呈現顯著的不對稱但相互依賴特徵,表現為以美國為代表的歐美髮達國家連同那些掌握在它們手中的公司與組織,通過對全球網路空間核心資源、標準、組織、議程等的控制,持續強化其既有的技術優勢,並將之轉化為巨大的商業優勢、政治優勢乃至軍事優勢。
廣大發展中國家為全球網路空間貢獻越來越多網路用戶和經濟增長的同時,卻在網路空間國際治理中面臨被邊緣化的局面,無法通過網路空間國際治理體系獲得相匹配的權利和安全保障21世紀人類跨入網路信息時代,網路空間成為繼陸、海、空、太空之外人類賴以生存的「第五空間」,網路空間安全議題上升到國家戰略層面受到各國高度重視。2014年2月,中央成立了網路安全和信息化領導小組,標誌著中國網路空間安全管理體制的重大突破,更意味著中國網路空間安全頂層設計雛形初現。
國網安工業控制安全事業部協助地方主管部門對湖南智慧城市關鍵基礎設施領域進行工控信息安全質量評估指標及方法研究項目攻關,在項目實施過程中,中國網安工控團隊以逾10年的工控信息安全專業經驗、自主知識產權研發的工控信息安全產品,幫助業主檢測到目標環境中諸多嚴峻的工控信息安全問題。
對任何互聯網公司來說,漏洞都是難以根除的頑疾。尤其是蘋果、谷歌和微軟等巨頭公司,一直是黑客挖掘漏洞的重要目標。不過在黑客群體中也有黑帽子和白帽子之分,黑帽子挖漏洞是為了通過網路犯罪獲利,白帽子挖漏洞則是要幫助廠商提升產品安全性。
由於漏洞挖掘的門檻比較高,在流行系統和軟體上與全球黑客競速挖出新漏洞,更是難上加難,漏洞挖掘能力也因此成為判斷一個安全團隊技術實力的重要指標。而中國團隊,已經是各大巨頭漏洞致謝榜上異軍突起的骨幹力量。
接下來,我們就通過微軟、蘋果、谷歌和Adobe四大廠商在2015年的漏洞致謝榜,盤點中國白帽子軍團在漏洞挖掘方面的表現。
微軟:中國黑客的「老朋友」,23名華人入選TOP100黑客貢獻榜
截至8月17日,微軟在2015年一共發出342次漏洞致謝,來自中國的安全團隊獲得其中的53次致謝,包括:騰訊(4次)、知道創宇(2次)、啟明星辰(1次)、華為(1次)。目前國外對於工控信息安全有「縱深防禦」技術理論作為指導。中國網安工控事業部憑藉密碼技術的雄厚實力,結合逾10年的工業控制系統漏洞挖掘與攻防技術,在國內創新地提出工控信息安全「監·評·防·融」的技術理念體系,從頂層設計及系統性防護切入問題,並在「監·評·防·融」的技術理念指導下,形成「以密碼為基礎、攻防兼備、以攻促防」技術特色分明的工控信息安全解決方案與產品。
中國網安工業控制安全事業部的母體——中國網安,目前擁有國內最頂級的網路信息安全資質與最強的研究和產業發展團隊,構建了完善的研發、生產、測試和服務質量體系,形成了包括理論、演算法、晶元、產品、系統、服務在內的完整的信息安全產業鏈。中國網安將在中國電科集團公司持續100億的投資下,集合原有技術優勢,按照軍民融合產業發展思路,聚焦網路信息安全,建立軍民產業互動一體化運作機制,布局關係國家戰略安全的核心領域,關係國家經濟命脈的重要行業,關係社會穩定和經濟發展的企業和公眾行業。工業控制系統安全是中國網安重點發展的七大戰略業務版塊之一。工業控制系統信息安全業務領域因其技術門檻高、社會影響巨大,對市場准入者要求甚高。中國網安工業控制安全事業部在中國網安母體的強大支撐下,其技術創新、開發投入、人才建設,這些對於信息安全技術密集型行業必不可少的靈魂要素,皆會得到持續、強勁的投入保障,工控事業部的科技創新、服務質量將始終保持全國的領先水平。
中國電子科技網路信息安全有限公司(以下簡稱中國網安),於2015年5月經國務院批准成立,在黨政系統和國家重大關鍵基礎設施信息安全服務領域,市場份額居全國第一。這家「中」字頭的公司,是中國電子科技集團公司(CETC)舉集團之力,以中國電科三十所、三十三所為核心,匯聚中國電科內部優勢資源重點打造的子集團。作為「信息安全國家隊」,中國網安對信息安全領域一直保持著敏銳的洞察力和前瞻的安全意識,早在2004年,中國網安工業控制安全事業部前身——中國電科三十所某部就開始開展電力SCADA的主動防禦技術研究。作為國內最早進行工控信息安全攻關的排頭兵,歷經十多年的發展,中國網安目前已經成為國內同類廠商的領軍者。此次「劫持漏洞」被美國ICS-CERT官方公示,更是佐證了中國網安在工控信息安全業界的絕對實力,自此,全球工控信息安全業界也開始有了來自中國工控信息安全廠商的聲音!在未來,中國網安工業控制安全事業部將持續定位打造「信息安全國家隊、行業融合專家團、工控系統守衛者」領導品牌,致力通過十三五期間的全面發展,成為中國工業控制系統信息安全領域最具創新能力和影響力的標杆團隊!
推薦閱讀:
※做安全研究挖不到漏洞,很迷惘?
※Pwn新手應該如何開始挖掘二進位漏洞(如UAF,stack overflow)?
※關於web滲透,如何才能邁出關鍵的一步?