每日最新頭條.有趣資訊

黑灰產千億產業鏈背後,產業互聯網正面臨新的信息安全挑戰

今年 1 月,拚多多因為出現系統 BUG,被黑灰產團隊通過過期優惠券漏洞盜取數千萬元平台優惠券,進行不正當牟利。有報導稱,拚多多因為此次事件損失達到數千萬元。

而那次事件還只是近年湧現的黑灰產攻擊的一個典型案例而已。如今,這些黑灰產團隊已經形成了產業鏈上下遊,上遊負責提供信息和數據,下遊負責利用這些信息和數據變現。

圖丨拚多多薅羊毛事件(來源:拚多多)

“他們會有專業化的團隊,把傳統分析漏洞的逆向技術、軟體跟蹤技術用在分析銀行、金融產業的軟體,發現其中漏洞。”在近日於上海舉辦的騰訊安全國際技術峰會上,騰訊安全平台負責人、騰訊安全學院副院長楊勇和 DeepTech 分享了近期出現的一種針對金融領域的新攻擊。

他舉例稱,有一些金融企業會將校驗邏輯放在手機本地,犯罪團夥發現後,就可以直接通過改本地數據,開出更多貸款的額度,或者使用虛假的账戶、虛假的身份等。這些黑灰產攻擊團隊已經初步具備規模化的能力,正在擴大攻擊面。

“這對整個產業的風險是非常大的,因為以前只是開出一個幾十元的會員卡看看電影,但現在可能是成千上萬甚至幾十萬的一筆貸款,這是產業內發生一個新的變化”,楊勇說。

(來源:DeepTech)

在過去,傳統意義上的信息安全攻擊,往往表現為一段代碼或者作業系統有漏洞,然後攻擊方研究這個漏洞後黑進去把數據偷出來。但到了具體的產業攻防場景,比如電商,可能攻擊方也利用了相同的漏洞,但他們的目的變成了薅羊毛,把紅包、行銷費用全偷走。

根據第三方監測機構威脅獵人的統計,國內的《網絡安全法》實施以來,明顯觸犯法律的黑產工具,如盜號木馬、遠控木馬等,做的人越來越少的。現在他們可以通過各種各樣的方法,比如在互聯網金融領域通過漏洞、風控的缺陷去攻擊,進而盜用金融身份去貸款等等。

也正因為這些新的變化的出現,產業攻防場景,成為 2019 年騰訊安全技術國際峰會的關鍵詞。

圖丨黑灰產的產業鏈(來源:中信建設證券研究發展部)

信息安全挑戰:攻擊面和危害程度都在擴大

去年騰訊宣布進軍產業互聯網,為配合這一戰略,騰訊還進行了一次組織架構的大型調整,宣布成立兩個新事業群:雲與智慧產業事業群(CSIG)、平台與內容事業群(PCG)。其中,騰訊量子實驗室、優圖實驗室、科恩實驗室等騰訊內部探索前沿科技的實驗室,都劃到了 CSIG,這也使得 GSCI 成為騰訊擁有最多 T5 科學家的事業群(騰訊要求,T5 科學家不僅要是各自領域公認的資深專家,還要有足夠的戰略眼光)。

圖丨在騰訊的職級能力體系中,T3 級人才就已經非常重要(來源:互聯網)

而在歸屬 CSIG 之後,這些由科學家主導的實驗室,其使命和任務有了微妙的變化,主要體現在和產業互聯網更深地結合上。

以騰訊安全科恩實驗室為例,這個集結了業內諸多國際信息安全頂尖專家的信息安全團隊,現正在密切關注新出現的產業攻防場景。今年 4 月,科恩實驗室就成功攻擊了特斯拉 Autopilot 系統,當時這個研究工作也獲得了馬斯克點讚。科恩實驗室早在 2016 年的時候就開始研究特斯拉的網聯安全,2018 年擴展到了寶馬車型的安全問題,現在,智能網聯汽車安全上,科恩實驗室也在和國內的幾十個廠家合作進行研究。

圖丨科恩實驗室關於特斯拉自動駕駛系統漏洞的研究(來源:科恩實驗室)

不難看出,萬物互聯之後,信息安全的攻擊場景不再是簡單的偷數據和簡單獲取作業系統的權限,而是走向多樣化,現在,是時候從產業互聯網的出發點來重新審視信息安全。

楊勇認為,具體到產業互聯網背景下,新的信息安全問題和挑戰可以概括為以下兩點:

首先在於不同行業的交叉帶來的攻擊面的擴大。

例如,科恩實驗室關於網聯汽車的信息安全,就是互聯網與汽車行業、出行安全的交叉結合。再如手機最基礎芯片存在一些安全問題,把 4G 或者 5G 的某些芯片應用在出行或金融上,也可能會帶來信息安全的問題,這實際就是科技滲透帶來的問題。

第二,攻擊面擴大帶來不同程度的危害。

之前個人信息安全不涉及出行場景,風險更多體現在電腦藍屏或者數據丟失等。但當產業互聯網發展起來,出行的場景也被覆蓋其中,這就會造成人身安全問題。金融領域也一樣,可能會帶來一些重大金融風險。

圖丨楊勇(來源:騰訊)

安全投入難量化成為產業關鍵問題

從具體的技術來看,除了軟體層面的挑戰以外,硬體安全的重要性也在產業互聯網凸顯。

新的產業攻防場景往往會跟企業的業務場景有著更深的結合。此前業內的信息安全團隊更多關注是軟體層、網絡層的安全。但現在,新的場景下,硬體的安全已經不容忽視,甚至還會有多個硬體、多個場景協同的,跨界的信息安全需求,例如跨攝影頭追蹤物品這樣的安防場景。這些都是新的產業和新的場景下所帶來新的應用。而新的應用,也就帶來了新的安全考慮。

今年的騰訊數字生態大會上,騰訊副總裁丁珂就提到,“安全已成為製約企業發展的天花板”。

但是,回到企業的角度,如何量化其應該在安全上有多大的投入是一個關鍵的問題。所有人都知道安全很重要,但是永遠不可能達到足夠的安全。種種不安全又意味著多大的風險?企業又要投入多少?

這需要行業內的各方都理解這些風險的場景,特別是產業攻防場景,在對這些場景的了解不那麽清晰的時候,對於安全的投入不好量化。

過去,行業內的一個說法是安全唯成本中心論。有數據調查顯示,目前中國企業信息安全投入佔整體 IT 投入僅為 2.3% 左右,該比例只有北美市場的一半。但這一情況現在也正在改變,尤其是在安全生產力的價值愈發被印證的情況下,傳統企業擁抱互聯網,漸漸意識到安全是一個投資問題。

圖丨呂一平(來源:騰訊)

“2014 年,我們在汽車行業呼籲大家關注智能網聯汽車的安全問題,那個時候大家認為這很重要,但不會投入資源來做這個事。現在,到了 2019 年,上市的汽車可能 80% 以上都帶聯網功能,網聯車的保有量上來了,信息安全問題的關注度也一並上來了。其他領域也一樣,比如智能電梯,其實也是行業的發展在推著我們走”,騰訊安全科恩實驗室總監呂一平對 DeepTech 表示。

智能網聯汽車就是科恩實驗室探索出來的一個產業方向。現在,配合騰訊整體的戰略,兩支信息安全技術隊伍也在逐步尋找其他行業的機會。

楊勇所在的騰訊安全平台團隊,在此前支撐騰訊的消費互聯網保護了以億計使用騰訊各種各樣在線服務和在線產品的安全,這支團隊的很多經驗和能力現在也在向產業互聯網輸出。

他們目前在做的一件事情也是與更多的行業內的客戶接觸,了解行業在安全上的需求,並根據這些需求,探索把團隊以往積累的核心能力工具化、產品化,尋求商業機會將能力賦給產業客戶,雙方共同探討其中的價值。

呂一平則透露,騰訊合作的行業中,對他們認知度最高的是那些自己有比較強的安全團隊的企業。

AI所帶來的改變

未來,在解決產業攻防場景的問題上,一個重要的技術趨勢是,這些問題的解決愈發需要不同領域知識的結合。

“信息安全的研究和應用,要求知識翻新速度,要對新技術的敏感度和接受度非常高”,呂一平說。人工智能的出現和應用就是一個典型的例子。

據介紹,目前科恩實驗室正在從兩個不同方向考量人工智能對信息安全產業的價值:AI 算法本身的安全以及怎麽樣用 AI 來輔助安全研究。

(來源:麻省理工科技評論)

在 AI 算法本身的安全上,視覺領域的對抗研究是一大重點。近年來,已經有越來越多的對抗樣本的研究被證實可以干擾汽車的駕駛決策。未來這個方向很可能也會成為安全研究的一大方向。而安全研究本身的演進,目前還是一個以人的經驗為主的領域,科恩實驗室正在嘗試將一些經驗判斷的問題轉化為機器可以執行,例如把逆向的問題轉化成搜索的問題。

“原來我們要對大量的二進製文件做逆向分析,把它還原成代碼,然後讀懂代碼的邏輯,然後找安全問題。但是現在開源的庫太多了,代碼研發的很多工作就是開源組件工程化的拚接,就有很多安全性的問題。我們能不能保證每個二進製文件都能夠還原成一個開源組件的代碼,以自動化的方式、AI 的方式做一些匹配?原來是一個一個文件進行逆向,今後我們是不是有一個‘標尺’,通過二進製對應的代碼,通過 AI 的能力就能夠直接溯源到代碼,這樣就把大量逆向的方法轉換成搜索二進製特徵的過程,可以大大減少我們在研究上的工作量。我們現在在做這項工作,但目前來看效果還不是太好”,呂一平說。

而整個騰訊集團正在關注的 AI 信息安全研究,則有以下 3 個層面:AI 基礎設施的安全性,例如數據集的數據汙染、底層深度學習框架的缺陷;算力上的演進,在一些特定的攻防場景,雙方比拚的其實就是 AI 算力,例如一些黑產團隊對驗證碼的攻擊就是通過人工智能算法實現的;在泛安全領域,可以關注的就更多、更寬廣了,比如說把 AI 用在安防、IOT、出行、醫療設備等方面,這裡的應用空間就已經不單單是傳統的信息安全領域,而是信息安全和各個行業的結合與跨界。

“萬物互聯才剛剛開始,我們能做的事情非常多,需要關注的領域也很多。關鍵問題是,光靠科恩或者是騰訊都不夠,需要行業共同努力,才能夠真正保護好我們新的技術應用時代的安全”,呂一平說。

-End-

請隨簡歷附上3篇往期作品(實習生除外)

獲得更多的PTT最新消息
按讚加入粉絲團