宏观 华财讯 证券 产经 消费 科技 房产 酒业 银行 保险 智慧家

对话腾讯安全杨勇:产业互联网带来哪些新的安全挑战

2019年06月12日 17:13 来源:TechWeb.com.cn
分享: 微信

【TechWeb】6月12日消息,在2019腾讯安全国际技术峰会上,腾讯安全平台部负责人、腾讯安全学院副院长杨勇向TechWeb等表示,产业互联网的发展给安全问题带来很多新的挑战,具体表现在三个方面。

腾讯安全平台部负责人、腾讯安全学院副院长杨勇

第一,攻击面扩大,比如腾讯安全科恩实验室最新研究的汽车安全问题,实际上就是产业互联网带来的,是互联网跟汽车行业出行安全的结合。

第二,跨界,如果要解决安全问题,现在需要更多不同领域知识的结合。

第三,产业攻击场景的出现,现在攻击场景越来越产业化,比如,之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。

产业攻击场景则不同,比如电商行业,“可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。”

杨勇进一步解释说,攻击场景可以分为两类,一种是黑客不在乎你知不知道,另一种是黑客很在意你是否知道。而“跨界”黑产往往属于后者,“比如黑客能够控制汽车,但我们不能等汽车撞车了再进行防御。”

杨勇称,当前有黑产甚至可以“薅”出银行贷款。“目前有不少黑产具备了高素质的团队和跨界技术,例如我们发现有针对金融领域攻击的黑产可以做出加征信的操作,他们通过分析银行的软件,发现一些金融企业的校验逻辑都是放在本地的。此后他们直接通过改本地数据开出很多贷款的额度以及虚假的账户。”

攻击面扩大带来的危害是不同的,比如之前没有引入出行,更多的是电脑蓝屏或者机器手机数据丢失,但当你引入产业互联网,出行行业里就有可能造成人身安全问题。

但反过来看,最大的风险并不是这些安全问题,最大的风险在于不发展。“安全不仅仅是给大家阐明有哪些风险,安全的最大价值是告诉我们可以安心发展。”杨勇说到。

以下为部分QA摘录:

Q:随着产业互联网的发展,有没有一些新的安全问题出现,还有您认为安全的发展趋势以及新领域有哪些?

杨勇:万物互联和产业互联网带来的问题包括:第一,攻击面的扩大;第二,跨界。当解决安全问题,现在需要更多不同领域知识的结合;第三,产业攻击场景的出现。

攻击场景越来越产业化了,举个例子,之前的攻击是什么?之前的攻击是你有一段代码,操作系统有一个漏洞,然后我把这个漏洞研究好我黑进去了,然后把你的数据偷出来了,这是最主要的表现形式。

什么叫产业攻击场景?比如你做电商,可能我也是用了这种漏洞,但我的目的是薅羊毛,把你的红包、营销费用全给偷走。之前可能我更多是众多木马,现在是通过各种各样的方法去攻破比如互联网金融的一些东西,通过漏洞、风控的缺陷去攻击。攻击完以后,我通过盗用你金融的身份,然后把贷款给你骗出来,然后我去偷,线下再把钱取出来进行消费。

这种情况是什么?很多是产业攻击场景,汽车也是,楼宇也是。因为什么?因为现在这种万物互联以后,其实攻击场景不再是简单的偷数据和简单获取操作系统的权限。而是什么?而是越来越多样化,比如汽车其实可以威胁别人人身安全,一些不好的人,因为汽车就像你随身的东西一样,也可以窃取你很多隐私。那楼宇更是了。所以,我觉得应该从产业互联网的变化重新审视安全。

Q:攻击面扩大之后,过去的黑客现在变成黑客大军了,黑产已经出现了涉及物联网安全的,比如像摄像头窃取、窃听,甚至可能是智能门锁等,目前有没有成规模的案例?

杨勇:际上这个问题我们可以分析一下这个问题的本源。什么叫攻击场景?攻击场景从您的问题出发实际可以分两类:第一类,黑客不在乎你知不知道了。第二类,黑客很在意你知不知道了,比如窃听、偷窃、行凶,他是会做自我隐藏的。

所以,如果我们做这方面的防御,比如汽车的安全,实际上我们是不能指望攻击场景切切实实发生在我们身边我们才去防的。那如果真的等飞机掉下来,等汽车撞车了我们再防其实来不及了。比如WannaCry那个问题出了以后,我不知道大家有没有想过,当时很多机场停飞了。如果我们还不以此为警醒等飞机掉下来的时候,那时候可能就是几百架飞机一起往下掉了,这个风险点在这里。这一类问题,我觉得更多是想到场景我们就上。

还有就是薅羊毛这件事。这一类事是我们通过我们的业务场景,还有帮助我们云上的客户就能发现的。这一类很多时候不是未卜先知,实际我们通过大数据、算法能力把这些东西找出来然后进行打击的。举一个例子,我们发现金融行业最近被很多羊毛党,大家都知道羊毛党实际会刷购物券、返利券、打折券,甚至你到一些电商网站上甚至能买到这些东西,这些明显是刷出来的。

但大家不知道吧,这些人还干什么呢?比如像矿泉水瓶子里面有获奖的标签,很多人会到废品收回站收,收完以后把瓶盖集中起来,然后通过一个机械化流水线,然后有一个摄像头人工智能识别上面的码,如果有的话把码提取出来然后集中兑奖。不是黑客已经IoT化了吗,他是明显的跨界,从废品收购产业到人工智能识别,到羊毛党薅羊毛,人家产业链已经非常高素质的团队了。

我们还看到的一个案例,这个可能很多人不知道,就是我们发现对金融领域的攻击,他们现在做到很多金融领域实际会给用户开账号进行征信的行为,我们发现的一些案例,我们发现有一些干这些事的团队,有一些就是之前薅羊毛那种,开始往金融领域走。

他们做的是什么?他们有一个专业化的团队,把传统分析漏洞的逆向技术、软件跟踪技术用在分析银行的软件,分析大家手机上金融产业公司的软件。然后发现他们的一些漏洞,我们发现的一些案例就是,有一些金融企业他们校验逻辑都是放在本地的。别人通过逆向他手机,发现他的校验逻辑没有放在企业的云端,而是放在本地。然后直接通过改本地数据可以开出很多贷款的额度,开出很多虚假的账户、虚假的身份,这种是不是跨界,是不是攻击面的扩大?

但这种产业上的风险是非常大的,因为以前的话我可能只是开出一个10几20元的会员卡看看电影。但这个可能就是成千上万甚至几十万的一笔贷款,这就是一个产业的变化。

所以,我觉得不管是咱们的出行领域还是风控领域,安全整个事不光是我们几个部门,甚至公司的事。实际是一个国家甚至全球的事,所以才会开国际技术交流峰会,因为这个东西一旦打通是大家共同面临的挑战。

Q:以前安全行业都是纯投入,现在科恩实验室有没有盈利?然后除了车这一块,其他方面有没有一些经验?

腾讯安全科恩实验室总监吕一平:要提这个的话就要提930变化,去年腾讯做了一个调整,由消费互联网转型产业互联网。当时调整比较大的是CSIG,就是云与智慧产业事业群,像我们跟杨勇他们分工还有一些区别,他们是保卫腾讯自有应用为主要任务,但他们现在也在扩展云能力包括云计算等。他们有很多干货现在也在向各方面输出。对于我们来讲,既然我们在CSIG的话,我们就需要对一些重点的行业做一些保驾护航的工作。

当然有一点,我们不希望这种合作是免费的,因为只有收费了客户才会谨慎的考虑我要不要用这个科恩的能力。这是一种双向的都是一种比较严谨的思考和选择,这样才能真的配合合作过程中,对方才会比较认真的对待这个事,然后我们一步步把这个事做好。的确,我们现在和行业合作是商业化的合作模式,是要收费来做。

第二个问题,现在除了汽车以外我们还在探索一些新场景。因为刚才杨勇也提,汽车只是一个很小的场景,万物物联场景太多了。比如我们今年还会有机器人的项目,机器人会分两类,一类服务机器人,会面向消费者。一类工业机器人,有点像做智慧制造、智能制造这块。

服务机器人比如现在在机场、广场、超市上看到有一些机器人,要么是警务用的巡逻机器人,要么就是看到超市里的导购机器人。那个机器人自重80公斤,最高时速60。所以如果它被恶意操控的话,如果在这边乱跑,是一个小坦克,它其实会引发一些公共安全问题。这就是为什么这块对物理世界会造成影响。

我们现在还在看智能电梯,现在电梯上有很多传感器,它有上通讯模块,也能通过远程方式控制电梯。因为这对电梯行业来讲,它的需求是原来电梯巡检靠人跑,一个人一个礼拜跑100个电梯,巡检工,成本很高的。现在上传感器以后,远程控制中心就能够监控,比如这个电梯部件已经老化了,我要调换,那个地方电梯可能有一些小故障需要去维修,甚至可以远程下发一些修复指令做修复。这样的话,它的运营成本可以减少90%,对电梯运营来讲是很大的好处。

但是,正是因为引入很多远程控制、远程下发功能,如果被恶意应用的话,也会造成控制电梯上上下下不停,对电梯里的惊吓度甚至安全都是有很大的影响。包括我们在电梯里还做过一个,电梯现在除了人控制以外还有一块媒体屏幕,要么是投影打点电梯门上,这里面放一些视频。我们也通过实际案例证明过,我可以替换掉里面的视频,如果这里面是一些敏感的,我放了一些不该放的东西,这对电梯运营商来讲影响会非常大,可能有一些政治不正确的方面会有一些问题。

还有摄像头,现在安防摄像头太普遍了,我们的研究也证明我们的在摄像头上能做到什么呢?大家电影里看到的效果。一个人走过去,摄像头上面显示人走过去。昨天晚上不停重放没有人在的图像,昨天我回家打开电视正好是《生死时速》,《生死时速》里有一段,坏人用摄像头监控大巴上的场景,就录了一段视频,那个视频不断的播放欺骗那个坏蛋,其实我们做的也是类似的场景。但安防场景下,它本身是安全属性的东西,这个问题就很难被接受,这种安全性失效。

还有智能门锁,我们其实也做过研究,一个远程可以打开一个地区几千把门锁,这个是可以做得到的。包括我们现在还在看一个工控控制器,比如和电力、能源、化工等一些重要行业,比如化工化学反应、控制,电力变电站的控制,包括智能电表。

你会看到杨勇刚刚提到的万物物联刚刚开始,刚刚拉开一个序幕,能做的事情非常非常多,需要关注的领域也很多。关键问题是说,其实安全光靠科恩或者是腾讯都不够,可能也是需要大家一起来努力,来做好这个,才能够真正保护好我们新的技术应用时代的安全。(周小白)

(责任编辑:CF001)

推荐阅读 相关文章

AI独角兽CEO被告上法庭了

钱在哪儿,官司就在哪儿。...

来源:投中网

国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》

国家网信办有关负责人并就《办法》相关问题回答了记者提问。...

来源:网信中国微信公众号

“Chat”并不是全部,中国AI发展要走深向实

华为有两个着力点:第一,打造强有力的算力底座,来支撑中国人工智能产业的发展。第二,真正让人工智能服务好千行百业,服务好科研创新。...

来源:观察者网

苹果何以3万亿

如果说iPhone是苹果起飞的原点,那在如今“AI的iPhone时刻”,市场也在等待着下一个3万亿。...

来源:北京商报

七牛云赴港IPO,云计算“价格战”打响,何以破局

差异化成为创新创业云计算企业突围的法宝,七牛云能找到这样一条不同寻常的路?...

来源:蓝鲸

人工智能将如何重塑未来教育?

人工智能技术与教育数字化领域深度融合将为教育的未来带来更多可能性,...

来源:人民网

环球市场:背靠华尔街巨头的新交易所上线 比特币重新站上2.8万美元

①拜登之子的刑事案件被轻松解决,引发特朗普公开抨击; ②美国国会两党共同提议设立国家AI委员会; ③全球围观中东国资“买买买”,24小时...

来源:财联社

“ChatGPT+”生态渐近?OpenAI或将推出AI模型商店

①这一商店,让开发者可以上架他们基于OpenAI技术搭建的产品; ②企业AI平台公司Aquant、在线教育服务商可汗学院都有兴趣加入这个商...

来源:财联社

苹果股价3万亿美元,瑞银则下调评级:iPhone销量将走下坡路

①在周二的报告中,瑞银分析师David Vogt及其团队将苹果股票评级从“买入”下调至“中性”; ②Vogt认为,iPhone需求将出现疲...

来源:财联社

达里奥:AI“美妙又危险” 唯一风险在于……

①达里奥表示,AI是一项令人难以置信的技术,它将创造巨大的力量; ②唯一的风险在于使用它的人。...

来源:财联社

拿下“问界”商标!华为到底造不造车?

华为不单独造车,意欲与车企一起造好车。...

来源:时代周报

苹果发布首款头显,概念全线大跌

6日早盘,A股小幅震荡,主要股指涨跌互现,白马蓝筹股相对强势,上证50指数盘中一度直线拉升涨逾1%,创业板指则再创1年多来新低。...

来源:凤凰网财经

望尘科技敲开上市大门:产品阵营单薄、仅靠三款游戏盈利,《足球大师》运营接近尾声

2022年底,手机游戏开发商、发行商及运营商望尘科技通过港交所主板上市聆讯。这是望尘科技第三次冲击上市,此前其曾于2021年6月及2022年...

来源:蓝鲸财经

国美电器收到破产清算呈请,国美零售称债权债务尚未确认

国美零售日前发布公告称,其附属公司国美电器近日收到法院破产清算申请,申请人主张追讨货款470.6万元,但这些债权债务并未有生效法律文书予以确...

来源:蓝鲸财经

张勇亲自出手给阿里云“紧紧弦”

每年“双11”后,阿里通常会进行组织架构调整,2022年的重点是阿里云。...

来源:北京商报

游戏厂商苦捱寒冬,年内512款游戏获批,近6成杳无音信

回顾全年512款版号获批游戏的情况,大部分至今未能正式上线,其中不少游戏甚至很可能等不到上线的那一天。...

来源:时代财经

国美电器新增一则被执行人信息,标的超9677万元

天眼查App显示,近日,国美电器有限公司、西安市国美电器有限公司、新疆国美电器有限公司新增一则被执行人信息,执行标的9677万余元,执行法院...

来源:蓝鲸财经

囤药潮下,医药电商的红与黑

近期,随着疫情防控政策的进一步优化,居民对于看病问诊、防疫物资、相关药品等的需求出现井喷,部分人在寻医用药焦虑下开启了囤药潮,进一步加剧了买...

来源:蓝鲸财经

新年促销被指去库存,苹果在中国卖不动了?

12月27日,苹果中国官网开启了新一轮的“立减活动”,2022年12月30日-2023年1月2日,用指定支付方式购买符合条件的产品可享立减优...

来源:北京商报

知网回应被罚:诚恳接受,坚决服从,公布15项整改措施

据“CNKI知网”12月26日披露,自5月13日国家市场监督管理总局对知网涉嫌垄断立案调查以来,我们全力配合,深刻反省,全面自查。今天,我们...

来源:新京报

舜宇光学科技与诚瑞光学打响“专利战”,手机镜头出货量不断下滑之下如何破局?

年关将至,光学巨头舜宇光学科技与诚瑞光学的“专利战”却打得不可开交。...

来源:蓝鲸财经

年关将近在线婚恋诈骗再起,“珍爱”路上如何为个人信息上锁?

作为承载脱单重任的婚恋平台,成为不法分子借以实施犯罪的抓手,利用头部婚恋平台的高知名度和消费者希望结缘的精准心理进行诈骗的情况已屡见不鲜。据...

来源:蓝鲸财经

被罚8760万后知网知错

耗时长达半年的知网涉嫌垄断案终于尘埃落定。...

来源:北京商报

知网因滥用市场支配地位被罚

2022年5月,市场监管总局依据《反垄断法》对知网涉嫌实施垄断行为立案调查。...

来源:人民网

芯片寒冬下逆势而行!三星明年或扩大其最大半导体工厂产能

韩国芯片制造商三星电子计划于明年增加其平泽P3工厂的芯片产能,而其对手企业正纷纷选择缩减投资。...

来源:财联社

联系方式

中华网新媒体 财经频道
互动/投稿邮箱:
finance@zhixun.china.com
网上不良信息举报电话:010-56177181
财经频道联系电话:(010)56176102