连老板都不放过的“黑客”技术军团,这一次瞄准了腾讯微校


随着工业互联网时代的到来,安全问题越来越受到公众的关注。在教育行业频发的安全事件中,腾讯微学校在领先的同时,对产品的锁定也在不断加强。腾讯微学校和腾讯蓝军以攻防为目的,通过模拟攻击,发现系统和设备可能存在的安全漏洞。

“没有,我显然收到了中奖信息。”腾讯安全平台十部门盯着手机短信,不解不已。

日前,小M在圣诞晚会上收到获奖信息:(腾讯科技)亲爱的XX,恭喜你在圣诞晚会上获得三等奖!请访问核实您的员工信息并收到您的专属圣诞礼物…

但左右等,奖品都没有颁发。他在电话中猛烈地抨击了行政部门。他想问奖金是什么时候颁发的。有人告诉我他不在获奖名单上。

反复验证没有结果,小M再次打开中奖链接,这次,屏幕上显示了几行字:

你被黑了!(你被黑了!)

“要提高安全警惕。”莱克(腾讯蓝军十大指挥员)带着溺水走在他身后,意味深长地拍着他的肩膀。

幸运的是,“肇事者”并不是真正的黑客,而是腾讯蓝军的一支特殊力量腾讯安全平台。他们自称是“盘子里的乱七八糟”,他们拿着腾讯安全平台部给的工资。他们正在心平气和地进行黑客攻击。每天,他们都试图“制造破坏”,到处攻击腾讯的内部系统。

你不仅时不时地折磨你亲爱的同事,甚至当你疯了的时候,老板也不放过你。没错,就连腾讯科技工程集团的总裁也遭到了他们的攻击,这使得整个公司的门禁系统都被迫进行了一轮升级和维修。

坑兄,我们真的很专业

2017年,腾讯微型学校(一个致力于腾讯数字校园的团队)找到了蓝军并要求他们加强微型校园系统。

J(蓝军成员)对此事印象深刻:“当时我们正在推动整个公司的数据保护项目。微型学校不仅积极合作,而且他们的部门经理也主动找到我们,希望我们可以帮助他们加强安全。很少,安全是他们整个团队从上到下重视的事情。“

“那么,当时,我们立即帮助他们做了一轮安全加固计划,并测试了信息篡改和用户信息披露的内容,并制作了专业报告并给出了建议。”双方都没有理解这一点。边缘。

近年来,在教育领域,从《教育信息化2.0行动计划》到《中国教育现代化2035》到《2019年教育信息化和网络安全工作要点》,教育信息化相关政策不断推出,互联网已渗透到教育行业,带来了重大的产业变革。整个行业。

随着工业互联网时代的到来,安全问题越来越受到公众的关注。

当一名大学辅导员为高年级毕业生进行资格考试时,他发现学生的表现显然是错误的。经过多次检查后,他发现学生已秘密修改了他的成绩。

根据学生辅导员的介绍,该学生五年级失败。由于害怕影响毕业,他动脑筋,通过自己的技术入侵学校数据库,并将成绩改为系统上的通行线。

这只是一个小案例。事实上,不仅是高校,而且每个行业都有或多或少的安全风险和经济损失。俄罗斯储蓄银行发布报告称,2018年世界经济损失了1.5万亿美元的网络犯罪。今年,这一损失预计将达到2.5万亿美元,增幅为60%。

面对业内频繁发生的安全事故,腾讯微电子公司在产品领先的同时,不断加强对产品的锁定。

在2018年6月至2019年的元旦期间,腾讯微学通过了长期的产品安全升级。从加密,高风险服务隔离,自动运维,最小化授权,登录状态隔离,反批量抽取,数据泄露可追溯性等方面,对微型园区系统和硬件进行了多维检测。产品开发团队花费大量时间清点系统敏感信息,以验证其是否获得了充分和合规的安全保护,并对其进行纠正和强化。

“总的来说,我们为微型学校系统增加了一个网络。”微学校安全负责人向小麦解释说:“当增加这个网络时,效果与以前相比如何?会有其他问题吗?”我们当时认为最好采取最直接的方式让蓝军攻击我们并在真实环境中进行渗透测试,这是传说中的“攻击和防御”。“

为了尽快将考试提上议事日程,腾讯微学学院的副总经理H亲自来到蓝军办公室封锁人员,并打出情感卡:“每个人都属于TEG,兄弟,兄弟,谁离我们很近好,只要这样说,测试安排。“

蓝军:“.”

“我从未想过它。”J说,“作为一个'兄弟',微型学校已经走了一英寸,在谈到软件测试之后,我们必须'顺便'来测试硬件。”

在蓝军的协调下,硬件安全测试被移交给了属于安平部门和蓝军的腾讯刀片团队。总之,这也是一支神奇的团队。在过去的两年中,它已经报告并帮助修复了许多国际知名公司的200多个安全漏洞,如Apple,Amazon,Google,Microsoft和Adobe。

图:腾讯微型学校消费者机器

在智能设备安全研究方面,腾讯刀片团队更富有成效,包括报告所有当前的Google TensorFlow AI框架漏洞并协助他们建立漏洞响应机制,发现Google Home智能扬声器的第一个非接触式漏洞,并成功实施远程控制智能家居和商业建筑,破解亚马逊智能音箱Echo等。现在,腾讯微学的消费设备和其他硬件也可以享受同样的“待遇”。

安全是建筑的基础

没有锁屏的电脑很容易成为入侵公司的好方法。作为一名戴着安全专家皮肤的“黑客”,蓝军肯定不会软。只要团队中的计算机上没有锁定屏幕,每个人都会立即入侵他的计算机并在企业微信工作组中发起“物理攻击”。我用他的帐户发了一句话:“我邀请大家吃凯宾斯基(五星级酒店)。”也很有名:这是一种安全的教育。

据说,J很聪明,不仅是电脑锁屏:“他们给我发了一个链接,我要仔细看三遍,确保打开没问题。”

从源头上看,它开始融合潜在的安全风险。在产品开发阶段,充分考虑安全设计,而不是等待事件发生后急于补救。这是产品最理想的安全状态。

在腾讯内部,过去主动“联系”蓝军的大多数公司类似于金融支付,大型游戏,腾讯云或数字广东等关键战略领域。

“像金融支付一样,国家监管非常严格,产品压力也很大,所以他们特别注意安全。我们将继续帮助他们测试,加强和提高他们的安全防御能力。“

腾讯微学的外部压力并不大。但即便如此,他们在产品进入市场之前发现了一轮强化。现在我升级并找到了门,J微笑着说:“从我们的角度来看,这是一件非常罕见的事情。”

微型学校喜欢提前计划,对他们来说,安全是建筑的基础。

“在产品开发阶段,我们开始考虑安全性。因为当我们制作产品时,我们会使用一些开源软件进行早期排练。他们可能有某些缺陷。发现这些问题越快越好。这就像建造一座城堡。一开始就存在一个问题,重建总是比建立规模后找到问题更好。“小麦解释说,”它仍然需要具有前瞻性。毕竟,基础决定了整个建筑的重量。如果有缺陷,很难直接到另一边。堆叠并更换根。“

没有绝对的安全性,只有动态的安全性

L是这次安全攻击和防御测试的主要操作者,蓝军的传奇代码农民。他喜欢阅读的书不是计算机编程,而是《群居的艺术》。

《群居的艺术》是一本部分社会学的书。在L'的观点中,了解一个社会如何从一个人到一个人,一个种族,一个社会,这是非常有趣的。

“这种书不会带来技术,更多的想法。从一个人到两个人到一个组织,它可能是出于某种需要。例如,我发现在收集猎物的过程中没有足够的人力我需要团队合作。当我们的猎物被攻击者抢劫时,我们也会考虑并组成一个整体。每个人都会开始谈论合作,并倾向于共同实现一个更大的目标。“

当然,对于L来说,很多人意味着能够完成更多雄心勃勃的事情,这意味着更多的错误。代码的编写,系统的组成,软件越复杂,人们需要合作的越多,以及两个人或一组人的合作将暴露出更多可能导致错误和遗漏的链接。 “他开发了代码的一部分,他开发了代码的一部分,在合并或接近代码的过程中会遇到很多问题。”

不了解社会学的代码农民不是好黑客。作为一名优秀的黑客,L有一个独特的见解:安全问题更有可能出现在人们身上。

“在模拟黑客寻找漏洞的过程中,当我们发现许多道路无法通过时,我们倾向于采取另一条道路,从人的角度看整个系统,这比任何事情都要好。通过性质人与人之间的合作,可能会发生反击。在问题出现时,我们学会了这种思路,并且能够更快地找到漏洞。“

从某种意义上说,蓝军正在寻找“漏洞”,同时也在寻找“人”。

照片:腾讯蓝军研讨会

2019年的Verizon数据披露调查报告(DBIR)基于自2013年以来的41,686起安全事件和实际数据泄露事件。这些数据来自86个国家的公共或私人实体共73个数据源。该报告指出,在大多数行业中,由内部人员引起的安全事件很可能发生。在教育行业,这一数字已达到45%。

在网络世界中,物理层更安全,流程规范更安全,但有许多东西是无法控制的。一方面,“人”造成的合作漏洞和计算机房的泄漏将造成各种意外风险。

“在网络安全领域,一点小小的疏忽,一个人的疏忽,可能会破坏一个非常坚固的网络。”J说,“而且,技术不断更新,环境不断变化,我们现在正在加强这个方案,适用于现在,三年后,你可能就不是AB了。”请跟上。”

当然,微型学校也知道这一点。他们一直在做的就是在产品安全设计的基础上,尽可能的关注“人”,在每次升级中扩大测试范围。麦子说:“为了安全,有无数点。普通人可以做一千分,而微型学校会尝试做两千、三千、四千分……

“学生在使用校园卡时,经常会丢卡,这就造成了被盗和冒充的风险。为了防止卡片丢失,我们最初设计了腾讯校园代码产品解决方案。也有可能丢失或屏蔽校园代码。所以在迭代过程中,我们做了一些对策,管理者也可以通过冻结屏幕等措施及时制止损失。在不久的将来,我们还预先设定了一套。防止学生恶意消费等情况的风险控制策略。”

和蓝军一样,微学校也在从“人”的角度思考安全问题,面对日益复杂的网络环境,个人敏感隐私数据和资产安全面临的威胁和挑战也越来越大。因此,他们关注学生敏感信息和资金流动各方面的安全评估。

图:腾讯校园代码

“世界上没有绝对的安全,但我们努力保护‘动态安全’”,麦斯说,“即使是黑洞,我们也会在这个过程中继续加强。”

护送大学信息安全

在平日,我们总是说黑客,攻击,听起来非常“高地”,说网络安全,听起来“高科技”。但实际上,安全性实际上是由非常小的,非常不显眼的基本细节组成的。从员工的日常行为,到服务器本身的安全策略,到业务编写代码时的代码,代码中没有漏洞,操作和维护就没有风险。所有这些都组合成一个网络。

这个网络,依靠各方保护,除了产品自身的安全设计和业务开发流程外,在每个级别的安全渗透产品中,腾讯微型学校在更大程度上通过整个腾讯的开放能力,形成了生态安全保护体系。

“如果学校愿意使用腾讯的系统功能,安全保护将得到改善。例如,通过微信校园卡进行内部支付,微型学校可以依靠腾讯的计费支付系统。腾讯计费支持公司的内部千位十亿级交易流的规模为过去十年中QQ,微信,金光和腾讯云提供了坚实的保障。此外,腾讯计费已建立Odin风险控制平台,实现实时监控7 * 24小时容量。灾难系统保障。腾讯微学与腾讯合作,为数字校园消费,和解和结算创建一套智能互动解决方案。通过微信,可以完成所有微校区校园的支付流程,安全又方便。

除了支付,包括身份认证功能,图像识别功能和物联网管理功能外,微型学校系统还拥有腾讯多年来在各个领域的开发能力,并得到腾讯安全保护系统的支持。

除了蓝军,腾讯安防平台还自主开发了“宙斯盾”DDoS攻击防护系统,“门神”WEB防火墙,“孔犀”WEB漏洞扫描系统,“洋葱”防入侵系统等内部安全工具,成立中国第一家自建应急响应中心TSRC建立了完整的内部数据安全体系。腾讯安防平台成立于2005年,专注于保护腾讯的全系列产品,服务和核心数据,如QQ,微信和游戏。其功能包括网络安全,漏洞融合,应用程序保护,入侵防御,威胁情报和安全质量改进。等等。

在腾讯的安全和生态支持下,微型学校在产品上线后不久就获得了国家信息安全保护级别(简称“三级安全”)的第三级认证。三级保险是民营企业安全认证的最高级别,属于“监管级”。由国家信息安全监管部门监督检查。认证评估内容涵盖五个级别的保护安全技术要求和五个安全管理要求,包括近300个要求,如信息保护,安全审计和通信保密,共涉及73个类别的评分,这些评分非常严格,对企业的硬件,软件,规章制度有严格的要求。

根据未来产业研究所《中国网络安全行业发展前景预测与投资战略规划分析报告》发布的统计数据,截至2018年底,中国网络安全产业市场规模约为478亿元,增长4.57%。预计2019年中国网络安全市场相关数据将达到680亿,比上年增长25%。预计两年内,中国的网络安全将形成1000亿的市场。

“事实上,安全是每个人都不会感到深刻的事情,但如果你不这样做,它可能是负5%和负5千。”行业互联网拉开序幕,大家开始在浪潮中,意识到安全的重要性。

“我们早就意识到了教育领域。”小麦说,“我们总是有责任感。这种责任感使我们能够从产品开发阶段的安全设计转向动态过程中的安全强化,再到生态。安全,这整个安全的大网,哪一个不敢错过。“

——