6月12日消息，在2019騰訊安全國際技術(shù)峰會(huì)上，騰訊安全平臺(tái)部負(fù)責(zé)人、騰訊安全學(xué)院副院長楊勇向等表示，產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展給安全問題帶來很多新的挑戰(zhàn)，具體表現(xiàn)在三個(gè)方面。

騰訊安全平臺(tái)部負(fù)責(zé)人、騰訊安全學(xué)院副院長楊勇

第一，攻擊面擴(kuò)大，比如騰訊安全科恩實(shí)驗(yàn)室最新研究的汽車安全問題，實(shí)際上就是產(chǎn)業(yè)互聯(lián)網(wǎng)帶來的，是互聯(lián)網(wǎng)跟汽車行業(yè)出行安全的結(jié)合。

第二，跨界，如果要解決安全問題，現(xiàn)在需要更多不同領(lǐng)域知識(shí)的結(jié)合。

第三，產(chǎn)業(yè)攻擊場景的出現(xiàn)，現(xiàn)在攻擊場景越來越產(chǎn)業(yè)化，比如，之前的攻擊是你有一段代碼，操作系統(tǒng)有一個(gè)漏洞，然后我把這個(gè)漏洞研究好我黑進(jìn)去了，然后把你的數(shù)據(jù)偷出來了，這是最主要的表現(xiàn)形式。

產(chǎn)業(yè)攻擊場景則不同，比如電商行業(yè)，“可能我也是用了這種漏洞，但我的目的是薅羊毛，把你的紅包、營銷費(fèi)用全給偷走。之前可能我更多是眾多木馬，現(xiàn)在是通過各種各樣的方法去攻破比如互聯(lián)網(wǎng)金融的一些東西，通過漏洞、風(fēng)控的缺陷去攻擊。攻擊完以后，我通過盜用你金融的身份，然后把貸款給你騙出來，然后我去偷，線下再把錢取出來進(jìn)行消費(fèi)。”

楊勇進(jìn)一步解釋說，攻擊場景可以分為兩類，一種是黑客不在乎你知不知道，另一種是黑客很在意你是否知道。而“跨界”黑產(chǎn)往往屬于后者，“比如黑客能夠控制汽車，但我們不能等汽車撞車了再進(jìn)行防御?！?/p>

楊勇稱，當(dāng)前有黑產(chǎn)甚至可以“薅”出銀行貸款。“目前有不少黑產(chǎn)具備了高素質(zhì)的團(tuán)隊(duì)和跨界技術(shù)，例如我們發(fā)現(xiàn)有針對金融領(lǐng)域攻擊的黑產(chǎn)可以做出加征信的操作，他們通過分析銀行的軟件，發(fā)現(xiàn)一些金融企業(yè)的校驗(yàn)邏輯都是放在本地的。此后他們直接通過改本地?cái)?shù)據(jù)開出很多貸款的額度以及虛假的賬戶?！?/p>

攻擊面擴(kuò)大帶來的危害是不同的，比如之前沒有引入出行，更多的是電腦藍(lán)屏或者機(jī)器手機(jī)數(shù)據(jù)丟失，但當(dāng)你引入產(chǎn)業(yè)互聯(lián)網(wǎng)，出行行業(yè)里就有可能造成人身安全問題。

但反過來看，最大的風(fēng)險(xiǎn)并不是這些安全問題，最大的風(fēng)險(xiǎn)在于不發(fā)展?！鞍踩粌H僅是給大家闡明有哪些風(fēng)險(xiǎn)，安全的最大價(jià)值是告訴我們可以安心發(fā)展。”楊勇說到。

以下為部分QA摘錄：

Q：隨著產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展，有沒有一些新的安全問題出現(xiàn)，還有您認(rèn)為安全的發(fā)展趨勢以及新領(lǐng)域有哪些？

楊勇：萬物互聯(lián)和產(chǎn)業(yè)互聯(lián)網(wǎng)帶來的問題包括：第一，攻擊面的擴(kuò)大；第二，跨界。當(dāng)解決安全問題，現(xiàn)在需要更多不同領(lǐng)域知識(shí)的結(jié)合；第三，產(chǎn)業(yè)攻擊場景的出現(xiàn)。

攻擊場景越來越產(chǎn)業(yè)化了，舉個(gè)例子，之前的攻擊是什么？之前的攻擊是你有一段代碼，操作系統(tǒng)有一個(gè)漏洞，然后我把這個(gè)漏洞研究好我黑進(jìn)去了，然后把你的數(shù)據(jù)偷出來了，這是最主要的表現(xiàn)形式。

什么叫產(chǎn)業(yè)攻擊場景？比如你做電商，可能我也是用了這種漏洞，但我的目的是薅羊毛，把你的紅包、營銷費(fèi)用全給偷走。之前可能我更多是眾多木馬，現(xiàn)在是通過各種各樣的方法去攻破比如互聯(lián)網(wǎng)金融的一些東西，通過漏洞、風(fēng)控的缺陷去攻擊。攻擊完以后，我通過盜用你金融的身份，然后把貸款給你騙出來，然后我去偷，線下再把錢取出來進(jìn)行消費(fèi)。

這種情況是什么？很多是產(chǎn)業(yè)攻擊場景，汽車也是，樓宇也是。因?yàn)槭裁?？因?yàn)楝F(xiàn)在這種萬物互聯(lián)以后，其實(shí)攻擊場景不再是簡單的偷數(shù)據(jù)和簡單獲取操作系統(tǒng)的權(quán)限。而是什么？而是越來越多樣化，比如汽車其實(shí)可以威脅別人人身安全，一些不好的人，因?yàn)槠嚲拖衲汶S身的東西一樣，也可以竊取你很多隱私。那樓宇更是了。所以，我覺得應(yīng)該從產(chǎn)業(yè)互聯(lián)網(wǎng)的變化重新審視安全。

Q：攻擊面擴(kuò)大之后，過去的黑客現(xiàn)在變成黑客大軍了，黑產(chǎn)已經(jīng)出現(xiàn)了涉及物聯(lián)網(wǎng)安全的，比如像攝像頭竊取、竊聽，甚至可能是智能門鎖等，目前有沒有成規(guī)模的案例？

楊勇：際上這個(gè)問題我們可以分析一下這個(gè)問題的本源。什么叫攻擊場景？攻擊場景從您的問題出發(fā)實(shí)際可以分兩類：第一類，黑客不在乎你知不知道了。第二類，黑客很在意你知不知道了，比如竊聽、偷竊、行兇，他是會(huì)做自我隱藏的。

所以，如果我們做這方面的防御，比如汽車的安全，實(shí)際上我們是不能指望攻擊場景切切實(shí)實(shí)發(fā)生在我們身邊我們才去防的。那如果真的等飛機(jī)掉下來，等汽車撞車了我們再防其實(shí)來不及了。比如WannaCry 那個(gè)問題出了以后，我不知道大家有沒有想過，當(dāng)時(shí)很多機(jī)場停飛了。如果我們還不以此為警醒等飛機(jī)掉下來的時(shí)候，那時(shí)候可能就是幾百架飛機(jī)一起往下掉了，這個(gè)風(fēng)險(xiǎn)點(diǎn)在這里。這一類問題，我覺得更多是想到場景我們就上。

還有就是薅羊毛這件事。這一類事是我們通過我們的業(yè)務(wù)場景，還有幫助我們云上的客戶就能發(fā)現(xiàn)的。這一類很多時(shí)候不是未卜先知，實(shí)際我們通過大數(shù)據(jù)、算法能力把這些東西找出來然后進(jìn)行打擊的。舉一個(gè)例子，我們發(fā)現(xiàn)金融行業(yè)最近被很多羊毛黨，大家都知道羊毛黨實(shí)際會(huì)刷購物券、返利券、打折券，甚至你到一些電商網(wǎng)站上甚至能買到這些東西，這些明顯是刷出來的。

但大家不知道吧，這些人還干什么呢？比如像礦泉水瓶子里面有獲獎(jiǎng)的標(biāo)簽，很多人會(huì)到廢品收回站收，收完以后把瓶蓋集中起來，然后通過一個(gè)機(jī)械化流水線，然后有一個(gè)攝像頭人工智能識(shí)別上面的碼，如果有的話把碼提取出來然后集中兌獎(jiǎng)。不是黑客已經(jīng)IoT化了嗎，他是明顯的跨界，從廢品收購產(chǎn)業(yè)到人工智能識(shí)別，到羊毛黨薅羊毛，人家產(chǎn)業(yè)鏈已經(jīng)非常高素質(zhì)的團(tuán)隊(duì)了。

我們還看到的一個(gè)案例，這個(gè)可能很多人不知道，就是我們發(fā)現(xiàn)對金融領(lǐng)域的攻擊，他們現(xiàn)在做到很多金融領(lǐng)域?qū)嶋H會(huì)給用戶開賬號(hào)進(jìn)行征信的行為，我們發(fā)現(xiàn)的一些案例，我們發(fā)現(xiàn)有一些干這些事的團(tuán)隊(duì)，有一些就是之前薅羊毛那種，開始往金融領(lǐng)域走。

他們做的是什么？他們有一個(gè)專業(yè)化的團(tuán)隊(duì)，把傳統(tǒng)分析漏洞的逆向技術(shù)、軟件跟蹤技術(shù)用在分析銀行的軟件，分析大家手機(jī)上金融產(chǎn)業(yè)公司的軟件。然后發(fā)現(xiàn)他們的一些漏洞，我們發(fā)現(xiàn)的一些案例就是，有一些金融企業(yè)他們校驗(yàn)邏輯都是放在本地的。別人通過逆向他手機(jī)，發(fā)現(xiàn)他的校驗(yàn)邏輯沒有放在企業(yè)的云端，而是放在本地。然后直接通過改本地?cái)?shù)據(jù)可以開出很多貸款的額度，開出很多虛假的賬戶、虛假的身份，這種是不是跨界，是不是攻擊面的擴(kuò)大？

但這種產(chǎn)業(yè)上的風(fēng)險(xiǎn)是非常大的，因?yàn)橐郧暗脑捨铱赡苤皇情_出一個(gè)10幾20元的會(huì)員卡看看電影。但這個(gè)可能就是成千上萬甚至幾十萬的一筆貸款，這就是一個(gè)產(chǎn)業(yè)的變化。

所以，我覺得不管是咱們的出行領(lǐng)域還是風(fēng)控領(lǐng)域，安全整個(gè)事不光是我們幾個(gè)部門，甚至公司的事。實(shí)際是一個(gè)國家甚至全球的事，所以才會(huì)開國際技術(shù)交流峰會(huì)，因?yàn)檫@個(gè)東西一旦打通是大家共同面臨的挑戰(zhàn)。

Q：以前安全行業(yè)都是純投入，現(xiàn)在科恩實(shí)驗(yàn)室有沒有盈利？然后除了車這一塊，其他方面有沒有一些經(jīng)驗(yàn)？

騰訊安全科恩實(shí)驗(yàn)室總監(jiān)呂一平：要提這個(gè)的話就要提930變化，去年騰訊做了一個(gè)調(diào)整，由消費(fèi)互聯(lián)網(wǎng)轉(zhuǎn)型產(chǎn)業(yè)互聯(lián)網(wǎng)。當(dāng)時(shí)調(diào)整比較大的是CSIG，就是云與智慧產(chǎn)業(yè)事業(yè)群，像我們跟楊勇他們分工還有一些區(qū)別，他們是保衛(wèi)騰訊自有應(yīng)用為主要任務(wù)，但他們現(xiàn)在也在擴(kuò)展云能力包括云計(jì)算等。他們有很多干貨現(xiàn)在也在向各方面輸出。對于我們來講，既然我們在CSIG的話，我們就需要對一些重點(diǎn)的行業(yè)做一些保駕護(hù)航的工作。

當(dāng)然有一點(diǎn)，我們不希望這種合作是免費(fèi)的，因?yàn)橹挥惺召M(fèi)了客戶才會(huì)謹(jǐn)慎的考慮我要不要用這個(gè)科恩的能力。這是一種雙向的都是一種比較嚴(yán)謹(jǐn)?shù)乃伎己瓦x擇，這樣才能真的配合合作過程中，對方才會(huì)比較認(rèn)真的對待這個(gè)事，然后我們一步步把這個(gè)事做好。的確，我們現(xiàn)在和行業(yè)合作是商業(yè)化的合作模式，是要收費(fèi)來做。

第二個(gè)問題，現(xiàn)在除了汽車以外我們還在探索一些新場景。因?yàn)閯偛艞钣乱蔡?，汽車只是一個(gè)很小的場景，萬物物聯(lián)場景太多了。比如我們今年還會(huì)有機(jī)器人的項(xiàng)目，機(jī)器人會(huì)分兩類，一類服務(wù)機(jī)器人，會(huì)面向消費(fèi)者。一類工業(yè)機(jī)器人，有點(diǎn)像做智慧制造、智能制造這塊。

服務(wù)機(jī)器人比如現(xiàn)在在機(jī)場、廣場、超市上看到有一些機(jī)器人，要么是警務(wù)用的巡邏機(jī)器人，要么就是看到超市里的導(dǎo)購機(jī)器人。那個(gè)機(jī)器人自重80公斤，最高時(shí)速60。所以如果它被惡意操控的話，如果在這邊亂跑，是一個(gè)小坦克，它其實(shí)會(huì)引發(fā)一些公共安全問題。這就是為什么這塊對物理世界會(huì)造成影響。

我們現(xiàn)在還在看智能電梯，現(xiàn)在電梯上有很多傳感器，它有上通訊模塊，也能通過遠(yuǎn)程方式控制電梯。因?yàn)檫@對電梯行業(yè)來講，它的需求是原來電梯巡檢靠人跑，一個(gè)人一個(gè)禮拜跑100個(gè)電梯，巡檢工，成本很高的?，F(xiàn)在上傳感器以后，遠(yuǎn)程控制中心就能夠監(jiān)控，比如這個(gè)電梯部件已經(jīng)老化了，我要調(diào)換，那個(gè)地方電梯可能有一些小故障需要去維修，甚至可以遠(yuǎn)程下發(fā)一些修復(fù)指令做修復(fù)。這樣的話，它的運(yùn)營成本可以減少90%，對電梯運(yùn)營來講是很大的好處。

但是，正是因?yàn)橐牒芏噙h(yuǎn)程控制、遠(yuǎn)程下發(fā)功能，如果被惡意應(yīng)用的話，也會(huì)造成控制電梯上上下下不停，對電梯里的驚嚇度甚至安全都是有很大的影響。包括我們在電梯里還做過一個(gè)，電梯現(xiàn)在除了人控制以外還有一塊媒體屏幕，要么是投影打點(diǎn)電梯門上，這里面放一些視頻。我們也通過實(shí)際案例證明過，我可以替換掉里面的視頻，如果這里面是一些敏感的，我放了一些不該放的東西，這對電梯運(yùn)營商來講影響會(huì)非常大，可能有一些政治不正確的方面會(huì)有一些問題。

還有攝像頭，現(xiàn)在安防攝像頭太普遍了，我們的研究也證明我們的在攝像頭上能做到什么呢？大家電影里看到的效果。一個(gè)人走過去，攝像頭上面顯示人走過去。昨天晚上不停重放沒有人在的圖像，昨天我回家打開電視正好是《生死時(shí)速》，《生死時(shí)速》里有一段，壞人用攝像頭監(jiān)控大巴上的場景，就錄了一段視頻，那個(gè)視頻不斷的播放欺騙那個(gè)壞蛋，其實(shí)我們做的也是類似的場景。但安防場景下，它本身是安全屬性的東西，這個(gè)問題就很難被接受，這種安全性失效。

還有智能門鎖，我們其實(shí)也做過研究，一個(gè)遠(yuǎn)程可以打開一個(gè)地區(qū)幾千把門鎖，這個(gè)是可以做得到的。包括我們現(xiàn)在還在看一個(gè)工控控制器，比如和電力、能源、化工等一些重要行業(yè)，比如化工化學(xué)反應(yīng)、控制，電力變電站的控制，包括智能電表。

你會(huì)看到楊勇剛剛提到的萬物物聯(lián)剛剛開始，剛剛拉開一個(gè)序幕，能做的事情非常非常多，需要關(guān)注的領(lǐng)域也很多。關(guān)鍵問題是說，其實(shí)安全光靠科恩或者是騰訊都不夠，可能也是需要大家一起來努力，來做好這個(gè)，才能夠真正保護(hù)好我們新的技術(shù)應(yīng)用時(shí)代的安全。（周小白）