连老板都不放过的“黑客”技术军团,这一次瞄准了腾讯微校

  • 时间:
  • 浏览:1
  • 来源:彩神大发快3-彩神网快3官方

 随着产业互联网时代的到来,安全疑问没人 受到大众的关注。教育行业中频发的安全事故,腾讯微校在引以为戒的一并,在迭代中不断地为产品装上一把更牢固的锁。此次抱着以攻促防的目的,腾讯微校携手腾讯蓝军,通过模拟攻击来找寻系统和机具上不可能 指在的安全漏洞。

“不对啊,我明明收到了中奖信息。”腾讯安全平台部的小M盯着手机短信,百思不得其解。

前些天,小M在圣诞晚会期间收到了中奖信息:(腾讯科技)亲爱的XX,恭喜您在圣诞晚会中获得三等奖!请登录www.xxxx……验证您的员工信息,领取专属于您的圣诞大礼……

为什让左等右等,奖品始终没人 发放。他一通电话杀到了行政那,另一三个小 多多 想问问奖品究竟哪此之前 发放,没想到却被告知,中奖名单里没人 他的名字。

反复求证无果,小M再次点开中奖链接,这回,屏幕上赫然显示出几行单词:

YOU’VE BEEN HACKED!(你被黑了!)

“安全警惕性该提高了。”Lake(腾讯蓝军“头号指挥官”)端着枸杞水从他身前走过,是是因为深长地拍了拍他的肩膀。

所幸,“肇事者”都在真黑客,就让 腾讯蓝军——腾讯安全平台部一支特殊的部队。其他同学其他同学其他同学其他同学 自诩“碟中谍”,正儿八经地拿着腾讯安全平台部给的工资,心安理得地做着黑客的事儿,天天想方设法“搞破坏”,到处攻击腾讯内控 的各个系统。

不仅老要折磨一下亲爱的同事,疯起来时连老板都在放过。没错,连腾讯技术工程事业群总裁的门禁都被其他同学其他同学其他同学其他同学 攻破过,从而反推全公司门禁系统进行了一轮升级和修复。

坑兄弟,其他同学其他同学其他同学其他同学 真的很专业

2017年,腾讯微校(腾讯一三个小 多多 专门做数字校园的团队)找到了蓝军,请其他同学其他同学其他同学其他同学 对微校系统进行防护加固。

J(蓝军成员)对这件事情印象深刻:“当时其他同学其他同学其他同学其他同学 正在全公司范围内推广数据保护项目,微校不光大力配合,其他同学其他同学其他同学其他同学 部门经理还主动找到其他同学其他同学其他同学其他同学 ,希望其他同学其他同学其他同学其他同学 能帮其他同学其他同学其他同学其他同学 做安全加固。没人 得,安全你某种块,是其他同学其他同学其他同学其他同学 整个团队自上而下都在重视的事情。”

“所以,当时其他同学其他同学其他同学其他同学 马上帮其他同学其他同学其他同学其他同学 做了一轮安全加固方案,对信息篡改、用户信息泄露等方面的内容做了测试,出了一三个小 多多 专业报告,给出了建议。”双方就此结下了不解之缘。

近几年来,在教育领域,从《教育信息化2.0行动计划》到《中国教育现代化2035》,再到《2019年教育信息化和网络安全工作要点》,和教育信息化相关的政策不断出台,互联网深入教育行业,带来了整个行业的产业大变革。

随着产业互联网时代的到来,安全疑问没人 受到大众的关注。

某大学,辅导员对大四毕业生进行资格审查的之前 ,发现一名学生的成绩明显不对,经没人 来不要 方核查,才发现你某种学生偷偷修改了另一方的成绩。

根据学生辅导员的介绍,该学生有五门成绩不及格,不可能 担心影响毕业,所以动了歪脑筋,通过另一方的技术,入侵学校数据库,在系统上把另一方的成绩改到了及格线以上。

这就让 一三个小 多多 很小的案例。实际上,不止高校,每个行业许多都在指在许多安全风险,并造成经济损失。俄罗斯储蓄银行发布报告称,2018年因网络犯罪是是因为世界经济损失1.15万亿美元,今年预计该损失将达到2.15万亿美元,增长500%。

面对业界频发的安全事故,腾讯微校在引以为戒的一并,在迭代中不断地为产品装上一把更牢固的锁。

2018年6月到2019年元旦期间,腾讯微校经过了一轮漫长的产品安全升级。从加密、高危服务隔离、自动化运维、最小化授权、登录态隔离、防批量拉取、数据泄漏可追查等十5个方面,对微校系统与硬件进行了多维度检测。产品研发团队花了一定量时间盘点系统敏感信息,核查是是是不是得到足够和合规的安全保护,并进行整改加固。

“通俗来讲,其他同学其他同学其他同学其他同学 给微校的系统加了一三个小 多多 网。”微校安全负责人麦子解释,“你某种网加了之前 ,相比之前 来说效果为什样?都在后会有许多疑问呢?其他同学其他同学其他同学其他同学 当时就想,不如采取最直接的土法律法律依据,让蓝军来对其他同学其他同学其他同学其他同学 进行一轮攻击,在真实环境里做渗透测试,也就让 传说中的‘以攻促防’。”

为了尽快把测试提上日程,腾讯微校副总经理H亲自出马,来到蓝军的办公点堵人,大打情人关系牌:“其他同学其他同学其他同学其他同学 同属于TEG,兄弟一样,论亲,谁也亲不过其他同学其他同学其他同学其他同学 。好,就没人 说定了,测试安排上。”

蓝军:“……”

“万万没想到的是。”J表示,“身为‘亲兄弟’,微校简直得寸进尺,聊完了软件测试,又要其他同学其他同学其他同学其他同学 ‘顺便’把硬件也测一测。”

由蓝军统筹,硬件的安全测试,交给了系腾讯内控 ,与蓝军一样同属于安平部门的Tencent Blade Team负责。说起来,这也是一支神奇的团队,在过去的两年时间里,已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了500多个安全漏洞。

图:腾讯微校消费机具

在智能设备安全研究方面,Tencent Blade Team更是战果累累,包括报告目前所有谷歌TensorFlow AI框架漏洞并协助其建立漏洞响应机制,发现Google Home智能音箱首个无接触漏洞,成功实现远程操控智能家居与商业楼宇,破解亚马逊智能音箱Echo等。现在,腾讯微校的消费机具等硬件并能享受到同等“待遇”。

安都在一座大厦的根基

没人 锁屏的电脑,很容易成为黑客入侵公司的绝佳途径。作为披着安全专家外皮的“黑客”,蓝军当之前 会手软,就让 团队里有谁的电脑没人 锁屏,其他同学其他同学其他同学其他同学 立刻会乐此不疲地入侵他的电脑,发动“物理攻击”,在企业微信工作群中用他的账号发一句:“我请其他同学其他同学其他同学其他同学 吃凯宾斯基(五星级酒店)。”还美名其曰:这是一场身体力行的安全教育。

被暗算多了,J聪明了,不仅电脑时刻锁屏:“其他同学其他同学其他同学其他同学 发给我的链接,我都在仔细看三遍,选泽没疑问才点开。”

从源头就之前 刚开始英语 英语 英语 收敛潜在安全风险,在产品研发阶段就充分考虑安全设计,而都在等到事发之前 才匆匆避免,这是产品最理想的安全请况。

在腾讯内控 ,以往主动来“勾搭”蓝军的,大多是同类金融支付、大型游戏、腾讯云不可能 数字广东你某种类公司重点战略板块。

“像金融支付,国家监管非常严格,产品背负的压力也很大,所以其他同学其他同学其他同学其他同学 很重注重安全,其他同学其他同学其他同学其他同学 会不断帮其他同学其他同学其他同学其他同学 测试、加固,提升安全防御能力。”

腾讯微校的内控 压力没没人 大。但即便没人 ,其他同学其他同学其他同学其他同学 还是在产品没人 进入市场前,就找蓝军做了一轮加固。如今升级,又找上了门,J笑着说:“从其他同学其他同学其他同学其他同学 的深度1来看,这是一件非常难得的事情。”

微校喜欢未雨绸缪,对其他同学其他同学其他同学其他同学 来说,安都在一座大厦的根基。

“在产品研发阶段,其他同学其他同学其他同学其他同学 就之前 刚开始英语 英语 英语 考虑安全。不可能 做产品时,初期为了快速预演,会使用许多开源的软件,它们不可能 指在着一定的过低,哪此疑问越早发现越好。好比建造城堡,一之前 刚开始英语 英语 英语 有疑问,重建,总比建成规模后才发现疑问好得多。”麦子解释,“还是没人 做前瞻性规划的。毕竟根基决定整栋楼的承重,有过低语句就没人 直接再一边往上叠,一边把根基换掉。”

没人 绝对的安全,没人 动态的安全

L是这次安全攻防测试的主要操作者,蓝军中的一员,传说中的码农。他爱看的书,都在计算机编程,就让 《群居的艺术》。

《群居的艺术》是一本偏社会学的书籍,在L看来,认知一三个小 多多 社会为什从单另一方,到几另一方,到一三个小 多多 种族,再到一三个小 多多 社会,是一件很有意思的事情。

“你某种类书带来的都在技术,更多是想法。从一三个小 多多 人到一三个小 多多 人再到一三个小 多多 组织,不可能 是出于你某种没人 ,比如我在围捕猎物的过程中发现人力过低,没人 团队相互相互合作。而当其他同学其他同学其他同学其他同学 的猎物受到攻击者的抢夺时,其他同学其他同学其他同学其他同学 也会去考虑,形成一三个小 多多 整体,其他同学其他同学其他同学其他同学 之前 刚开始英语 英语 英语 谈相互相互合作,以趋向于其他同学其他同学其他同学其他同学 一并完成一三个小 多多 更大的目标。”

当然,对L来说,人一多,是是因为并能完成更宏大的事情,一并也是是因为错误也就没人 多。代码的编写,系统的组成,一三个小 多多 越冗杂的软件,没人 没人 多人相互相互合作,而一三个小 多多 不可能 其他同学的相互相互合作,反而会暴露更多不可能 指在错漏的环节。“他开发了一要素代码,他开发了一要素代码,其他同学其他同学其他同学其他同学 在把代码合并不可能 交界的过程中,都在总出 所以疑问。”

不懂社会学的码农都在好黑客。L作为一名好黑客,见解独到:安全疑问更多之前 是总出 在人身上。

“在模拟黑客寻找漏洞的过程中,当其他同学其他同学其他同学其他同学 发现所以路走不通时,往往会走另一根路,以人为深度1来审视整个系统,比任何都管用。透过人类相互相互合作的本质,倒推不可能 总出 疑问的点,其他同学其他同学其他同学其他同学 习得你某种思维,并能加快速度发现漏洞。”

从你某种意义上来说,蓝军在寻找漏洞,也是在探寻“人”。 

图:腾讯蓝军讨论会

2019Verizon数据泄露调查报告(DBIR)基于41686起安全事件和2013起数据泄露的真实数据,数据由全球86个国家的公共实体或私有实体的共计75个数据源提供。该报告指出,大要素行业中,由内控 人员引起的安全事件,概率相当大。在教育行业,你某种数字达到了45%。

网络世界里,物理层做得再安全,流程规范做得再安全,但有所以东西,都在不可控的。人是一方面,由“人”引出来的相互相互合作漏洞、机房看管疏漏等疑问,都在造成各种意想没人 的风险。

“在网络安全领域,很小的一三个小 多多 点,人的一三个小 多多 疏忽,就不可能 把很坚固的网络捅破。”J表示,“为什让,技术在不断更新,环境在不断变化,其他同学其他同学其他同学其他同学 现在加固的方案,适用于现在,拿到三年就让 看,你说哪此不可能 跟不上了。”

微校当然也知道你某种点。其他同学其他同学其他同学其他同学 不断去做的,就让 在注重产品自安全设计的基础上,尽不可能 地去洞察“人”,并在每一次升级中扩大测试范围。麦子说:“做好安全要无数个点,一般人不可能 做到了一千个点,而微校会尽力去做到两千个、三千个、四千个……”

“学生在使用校园卡的之前 老要有丢卡的请况,就会产生被盗刷和冒充身份的风险。为了避免丢卡的请况指在,其他同学其他同学其他同学其他同学 最初设计了腾讯校园码的产品方案来避免。但手机也指在丢失不可能 校园码被人截屏的不可能 性。所以在迭代过程中,其他同学其他同学其他同学其他同学 做了些应对,管理者也还没人 通过截屏冻结等土法律法律依据为学生及时止损。近期,其他同学其他同学其他同学其他同学 也提前预设了一整套的风控垫资策略,以避免学生恶意消费等请况的指在。”

微校和蓝军一样,都站在“人”的深度1上去思考安全疑问。面对日趋冗杂的网络环境,另一方敏感隐私数据与资产安全面临的威胁及挑战变得没人 大,为什让,其他同学其他同学其他同学其他同学 把安全评估的重点放满了学生另一方敏感信息与资金流动的每个环节中。

图:腾讯校园码

“世界上没人 绝对的安全,但其他同学其他同学其他同学其他同学 努力守护‘动态的安全’。”麦子说,“就算它是一三个小 多多 黑洞,其他同学其他同学其他同学其他同学 也会在过程中,不断进行加固。”

护航高校信息化生态安全

平日里,其他同学其他同学其他同学其他同学 老要说黑客,攻击,听起来很“高大上”,说网络安全,听起来很“高科技”。但现实中,安全人太好是由非常多很小、很不起眼的基础细节组成的。从员工日常行为,到服务器你某种的安全策略,到业务写代码时保证代码后会总出 漏洞,再到运维时后会总出 许多风险,哪此所有东西合在一并织成了一张网。

这张网,靠各方一并守护,除了产品自身的安全设计和业务发展过程中,把安全渗透产品每一层每一级中,腾讯微校更大程度地借助整个腾讯的开放能力,形成生态上的安全防护体系。

“不可能 学校我你会运用腾讯的系统能力,安全防护力会提升许多。打个比方,通过微信校园卡进行校内支付,借着微校还没人 依托腾讯计费的支付体系。腾讯计费支撑着公司内控 千亿级交易流水规模,过去十几年为QQ、微信、王者荣耀、腾讯云提供了坚实的保障。此外,腾讯计费打造的奥丁风控平台,实现秒级实时监控和7*24小时容灾体系保障。腾讯微校携手腾讯计费,打造了一整套数字校园消费、对账、结算的中国智慧交互方案。通过微信就还没人 完成所有微校校园上方的支付流程,高安全也更便捷。”

除了支付,也包括身份认证能力、图像识别能力、物联管理能力等,微校的系统承载着腾讯没人 多年在各个领域里的开发能力,背靠整个腾讯的安全防护体系。

蓝军之外,腾讯安全平台还自主研发了“宙斯盾”DDoS攻击防护系统,“门神”WEB防火墙、“洞犀”WEB漏洞扫描系统、“洋葱”反入侵系统等多款内控 安全工具,建立国内首个企业自建应急响应中心TSRC,构建了完备的数据安全内控 体系。成立于5005年的腾讯安全平台,对内专注保障QQ、微信、游戏等腾讯全线产品、业务和核心数据的安全,能力含有网络保障、漏洞收敛、应用防护、入侵对抗、威胁情报、安全质量提升等多方面。

背靠腾讯安全生态,微校在产品上线不久之前 ,就取得了国家信息安全保护等级三级认证(简称“三级等保”)。三级等保是民营企业最高的安全认证等级,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别含有5个等级保护安全技术要求和5个安全管理要求,含有信息保护、安全审计、通信保密等近500项要求,共涉及测评分类73类,要求十分严格,对企业的硬件、软件、规章制度等都在严格要求。

据前瞻产业研究院发布的《中国网络安全行业发展前景预测与投资战略规划分析报告》统计数据显示,截止至2018年底,中国网络安全行业市场规模约达到了478亿元,同比增长4.57%。相关数据预计2019年我国网络安全市场规模将达到6500亿,较上年增加25%,预计两年内,中国网络安全将形成千亿市场。

“事实上,安都在一件做了其他同学其他同学其他同学其他同学 感知并不深刻,为什让不可能 没做,不可能 就让 负五百分,负五千分的事儿。”产业互联网拉开序幕,其他同学其他同学其他同学其他同学 之前 刚开始英语 英语 英语 在浪潮里,意识到了安全的重要性。

“身处教育领域的其他同学其他同学其他同学其他同学 早就意识到了。”麦子表示,“其他同学其他同学其他同学其他同学 身上始终背负着一份责任感,这份责任感使其他同学其他同学其他同学其他同学 从产品研发阶段的安全设计,到动态过程中的安全加固,再到生态安全,你某种整张安全大网,哪一块就让 敢遗漏。”