7月30-31日，第五屆互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(CSS)在北京舉行，以“產(chǎn)業(yè)升級(jí)，安全升維”為主題，對(duì)安全行業(yè)的發(fā)展空間與未來(lái)方向進(jìn)行了深入探討。

騰訊安全平臺(tái)部云安全團(tuán)隊(duì)負(fù)責(zé)人羅喜軍在云安全專(zhuān)場(chǎng)上分享了騰訊自研安全的建設(shè)之路，揭秘了騰訊自研安全能力對(duì)外輸出的新動(dòng)向。安全平臺(tái)部旗下前沿技術(shù)安全研究團(tuán)隊(duì)Tencent Blade Team則首次發(fā)表了關(guān)于語(yǔ)法解析器規(guī)則漏洞的前沿研究成果，并正在籌備相關(guān)漏洞檢查工具的開(kāi)源。

騰訊安全平臺(tái)部總監(jiān)兼Tencent Blade Team負(fù)責(zé)人胡珀表示：“產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，企業(yè)面臨的安全問(wèn)題更加嚴(yán)峻，安全能力已成公司核心競(jìng)爭(zhēng)力之一。騰訊正積極將多年自研安全能力沉淀輸出，全力支撐云上互聯(lián)網(wǎng)安全能力升級(jí)。”

多維度發(fā)力 鑄造安全攻防“堡壘”

如何提升企業(yè)自身安全能力，有效應(yīng)對(duì)新時(shí)代下安全新挑戰(zhàn)，是擺在企業(yè)面前的一個(gè)大問(wèn)題。

羅喜軍對(duì)騰訊自研安全的建設(shè)歷程進(jìn)行了介紹。在應(yīng)用運(yùn)維安全領(lǐng)域，騰訊安全平臺(tái)部圍繞DDoS防護(hù)、數(shù)據(jù)保護(hù)、漏洞收斂等多個(gè)領(lǐng)域集中發(fā)力，通過(guò)各產(chǎn)品、專(zhuān)項(xiàng)支撐起騰訊基礎(chǔ)安全完整的安全體系，保障公司產(chǎn)品及業(yè)務(wù)和核心數(shù)據(jù)在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層面的安全。

在上述框架內(nèi)，安全平臺(tái)部通過(guò)網(wǎng)絡(luò)層的宙斯盾、主機(jī)層的洋蔥、鐵將軍、應(yīng)用層的洞犀、門(mén)神、金剛及用于反向驗(yàn)證的騰訊藍(lán)軍、Tencent Blade Team等四個(gè)維度的產(chǎn)品組合，合力打造騰訊更為堅(jiān)實(shí)的安全攻防堡壘。

擁抱產(chǎn)業(yè)互聯(lián) 做數(shù)字化時(shí)代安全助手

如果說(shuō)在消費(fèi)互聯(lián)網(wǎng)時(shí)代“安全是所有0前面的1”，那么在產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，安全已成為企業(yè)數(shù)字化轉(zhuǎn)型的原生需求，這對(duì)企業(yè)來(lái)說(shuō)是挑戰(zhàn)也是機(jī)遇。

“將安全能力對(duì)外輸出，也要求團(tuán)隊(duì)將安全嵌入到業(yè)務(wù)流程中，從主觀意識(shí)到客觀實(shí)現(xiàn)、從需求設(shè)計(jì)到編碼測(cè)試，再到最后的上線迭代，打透業(yè)務(wù)安全的每個(gè)環(huán)節(jié)。”羅喜軍表示。未來(lái)，騰訊還將繼續(xù)夯實(shí)自身安全能力，在支撐好騰訊自研業(yè)務(wù)之余，積極對(duì)外賦能，并逐步把安全能力向騰訊云上開(kāi)放，助力于互聯(lián)網(wǎng)安全生態(tài)的提升。

前沿研究 安全防護(hù)未雨綢繆

安全平臺(tái)部旗下前沿技術(shù)安全研究團(tuán)隊(duì)Tencent Blade Team成員錢(qián)文祥及李宇翔，則在CSS 騰訊安全探索論壇(TSec)上進(jìn)行了議題分享，和與會(huì)者共同討論了如何挖掘語(yǔ)法解析器規(guī)則漏洞。

[[272547]]

大量基礎(chǔ)軟件中都能看到語(yǔ)法解析器的身影，如SQLite、Chrome、PHP等。在這些軟件中，語(yǔ)法解析器充當(dāng)著類(lèi)似于“檢察官”加“翻譯官”的角色，檢查輸入的命令，判斷是否合法，并把它翻譯成軟件“能聽(tīng)懂”的話，方便其執(zhí)行。因此，一旦出現(xiàn)規(guī)則漏洞，波及范圍十分廣泛。

與之形成對(duì)比的是，這塊領(lǐng)域的安全研究相對(duì)較為缺乏，此次Tencent Blade Team對(duì)如何挖掘語(yǔ)法解析器規(guī)則漏洞做了從理論到實(shí)戰(zhàn)的詳細(xì)分析，介紹了人工挖掘和結(jié)構(gòu)化模糊測(cè)試挖掘兩種思路，并提出了針對(duì)性的安全規(guī)則編寫(xiě)建議。未來(lái)Tencent Blade Team將會(huì)開(kāi)源漏洞檢查工具，進(jìn)一步加深與業(yè)界的聯(lián)動(dòng)，并推動(dòng)安全生態(tài)建設(shè)。

Tencent Blade Team在對(duì)Google Home智能音箱進(jìn)行研究的時(shí)候，對(duì)語(yǔ)法解析的漏洞利用還幫助他們發(fā)現(xiàn)了Magellan系列漏洞，并最終首次遠(yuǎn)程攻破Google Home智能音箱。據(jù)了解，Tencent Blade Team的相關(guān)安全議題也入選了本年度的Blackhat和DEFCON。

截至目前，Tencent Blade Team團(tuán)隊(duì)目前已發(fā)現(xiàn)了谷歌、蘋(píng)果、亞馬遜、微軟、Adobe等多個(gè)國(guó)際知名廠商100多個(gè)安全漏洞，聚焦IoT安全、虛擬化安全、AI安全、區(qū)塊鏈安全等領(lǐng)域，團(tuán)隊(duì)多次受邀參加Blackhat、DEFCON、CanSecWest、HITB等多個(gè)國(guó)際安全峰會(huì)進(jìn)行議題分享，得到互聯(lián)網(wǎng)行業(yè)、廠商以及國(guó)際安全社區(qū)的廣泛認(rèn)可。

騰訊安全平臺(tái)部通過(guò)體系化的前沿研究，助力騰訊內(nèi)部業(yè)務(wù)做好安全防護(hù)能力儲(chǔ)備，同時(shí)也助力行業(yè)安全意識(shí)與能力的提升，為企業(yè)安全戰(zhàn)略的提前布局提供參考。