5月27日,由国家计算机网络应急技术处理协调中心(CNCERT)主办的2014中国计算机网络安全年会在广州汕头召开。安全年会至今已成功举办了十届。本次论坛的主题为:携手防护安全未来。
作为此次大会的赞助商,腾讯安全品牌首次整体亮相,并携手CNCERT共同致力于互联网安全交流和合作,腾讯公司副总裁丁珂一行安全团队应邀出席。丁珂以“互联网安全的基因片段:开放与联合”为主题在大会上发表了演讲,针对互联网安全问题与同行进行了交流分享。
以下为腾讯副总裁丁珂在中国计算机安全年会发言实录:
尊敬的各位领导各位专家,各位同行大家下午好。很高兴参加今年的中国计算机网络安全年会,感谢由CNCERT提供的这样一个交流平台。今年的会议主题是“携手防护,安全未来”,我今天的分享,和这个主题非常契合。中国互联网从无到有发展到今天,已经经历了几个不同的发展阶段,而当前的互联网安全挑战,早已不是一个单一的木马病毒那么简单,新时期的安全威胁则更加复杂。
作为一名互联网安全的从业人员,作为腾讯公司安全业务的负责人,结合今年的大会主题,今天我将和大家分享一下安全行业尤其是移动安全领域“开放与联合”基因的重要性,以及对安全领域的一些观点,接下来将主要从以下三点谈起,希望能够跟大家多多交流,携手一起,合作共赢,共同迎接安全挑战。
(腾讯副总裁丁珂现场发言)
第一,互联网的未来是连接一切,而安全是连接一切的基石。
腾讯COO任宇昕先生曾讲过,互联网的未来就是连接一切。人、服务、设备等都将智能化,并通过互联网连接在一起。尤其是当前移动互联网及应用服务的迅猛发展,让连接一切的效率得到了有效提升。
链接一切这个概念其实身边的例子特别多。譬如说近期一直大热的可穿戴设备Google glass,只要带上之后,一句“ok glass”就可以开始享受语音操控眼镜的炫酷旅程;还有特拉斯,没有发动机、变速箱、物理键,不需加油,前后车盖里空空如也的“未来神车”,在重新定义了“未来汽车”的方向时,梦幻前卫的特色引发了全球“特拉斯风暴”狂热;以及被广泛提起的“智能家居”,也在给我们未来生活提供了诸多更加便捷更加美丽的想象空间。
这些此前只能在好莱坞大片中看到的“未来生活”现在离我们越来越近,这其中互联网公司的发展发挥了至关重要的连接价值,这些公司创建了以前没有的数量非常庞大的连接,人、服务、设备都成为其中的连接点,这些连接让他们创造了新的价值,使得这个社会的效率相比过去有了一个巨大的提高。
在“连接一切”的移动2.0时代,安全就像水和电一样已经渗透到用户生活的方方面面,是互联网发展的基石。如果忽视了安全价值,基于互联网络而生的“体验和服务”就成了海市蜃楼,变得十分脆弱。
比如,现在物联网已经应用到了医疗设备上,如果像心脏起搏器这样的设备被黑客攻击,将直接影响到人的生命安全。黑客还能够通过智能电视、冰箱以及无线扬声器等发起攻击,甚至智能马桶,都有可能成为黑客发动网络攻击的工具。
具体到互联网安全方面,安全事故时有发生,仅近期就爆发了比较典型的大规模事件:在今年4月,安全协议OpenSSL就曝发了严重的安全漏洞。OpenSSL目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用,这个漏洞使攻击者能够从内存中读取多达64 KB的数据,用户登录该网站时就可能被黑客实时监控到登录账号和密码等敏感的信息,漏洞问题一度引发了安全恐慌。
互联网的服务链特别长,而所有的服务和体验都是依赖于这个链条而生,如果这个链条的任何一个环节的安全性没有做好,一旦发生安全威胁,那么基于这个链条中的个体都将受到威胁。还有现在我们很多智能化服务都是基于云技术实现的,其中的安全问题也是一个挑战;云计算能力的分布化、虚拟化、服务化是云计算的技术基础,但云计算平台如果被攻击,出现故障,就会导致大规模的服务器瘫痪。
第二,开放合作是互联网基因,是保障“安全连接一切”的核心基础。
可以看到,和以往的安全面临的状况不同,当前的网络安全防御难度逐步加大,在威胁互联网安全的背后,是一条分工更加精细、更加隐蔽的“地下黑色产业链”。在产业链的每一个环节均集中了大量人员参与,参与者首先通过网络钓鱼、盗号木马等方式窃取网游、娱乐软件的帐号密码;然后通过一个“洗信”环节,利用窃取帐号密码登录到账户中,从中窃取虚拟货币、网游装备等网络虚拟财产;最后,通过网络营销渠道将虚拟资产出售给游戏玩家,换取现实利益。
不仅如此,可以预见2014年手机支付病毒将集中爆发。据观察,目前历经以下四步裂变模式:简单的移动支付APP病毒,如“银行鬼手”、“银行扒手”、“银行毒手”等病毒,危害性比较小;简单仿冒移动支付类APP,如“伪淘宝”病毒,会简单的诱导输入并转发淘宝的帐户与密码;个案化传播,以监控支付类验证码的病毒,来配合窃取支付里的金额的病毒,如“盗信僵尸”、“短信窃贼”病毒等;爆发迄今为止最厉害的手机支付类病毒“银行悍匪”,直接监控20多个手机银行的APP,窃取帐号、密码等信息。
再进一步,移动互联爆发式快速发展,这里特别提醒:二维码安全下载的防御值得特别强调。病毒二维码传播路径分四步走:病毒传播者把病毒上传网络;把二维码存为图片,制作成带毒二维码;进行传播;用户在刷码下载后就染上病毒。
针对目前安全威胁形式,腾讯安全十五年一直不断努力,累积了一些打击盗号产业链对抗办法:在思路上,打断盗号产业链的每个环节,提高作恶成本;在战略上,纵深防御为主,战术反攻为辅;在战术上,层层设防,层层消耗。
让人值得欣慰的是,十五年打击盗号产业链的经验,形成了应对新黑产模式的重要财富。十五年来的坚持与努力换取了丰硕成果。在社会工程方面,累计打掉150多个团伙,抓获300多名犯罪分子;平均每天实时阻断恶意数十万次,全年避免用户损失数亿元;全年诈骗率下降75%,钓鱼上当率下降50%;在帐号服务方面,改密能力平均提高20%,达到94%,申诉识别率提升15%,达到78%,申诉通知实时率从10%到60%,消息覆盖达8种通知渠道,20+消息类型,引导解脱率提升1倍;在打击恶意方面,每日拦截恶意登录6亿次。
然而,面对日益复杂的安全威胁形势,腾讯公司旗下的安全应用有责任为更广大用户搭建起全网防御战线。腾讯安全在以下四方面做足了功课:在客户端安全方面,每天保护数千万人的电脑和手机;后台策略上,每天对千亿行日志做实时分析异常;多因子验证,数亿的多因子用户海量数据库;举报和用户教育上,实行每周教育宣传及提供方便的举报路径。
第三,安全非一己之力可抵御,开放合作是互联网基因。
新时期安全问题又面临着全新的挑战,可以这样认为,形势不容乐观,更是非一己之力可抵御。2013年起,移动互联、移动支付、移动金融等快速增长,给安全问题又带来新课题。这新课题主要集中在以下四方面:社交网络成为黑客攻击和网络犯罪的新途径;云应用的普及加大了用户信息泄露风险和事故处理难度;移动支付安全和移动终端漏洞成为安全高危点;信息诈骗产业链规模增长及带来的社会挑战。
新形式下,腾讯安全已经做好了全新的准备,我们坚信,能力越大,责任越大。
在“开放、共享、联合”的安全基本理念下,腾讯公司要做安全基础运营商,开放安全能力和数据。在过去的15年中,我们始终活跃在中国互联网安全的第一线,起初为保护腾讯用户的安全专门建设了安全团队,不断积累和扩容,成为中国最早投入互联网安全的企业之一。如今,我们拥有腾讯电脑管家、腾讯手机管家两款深受用户信赖的专业安全软件,同时积累了全球最大的风险网址数据库,以及5600万活跃号码库,多年来一直安静守护着8亿用户的上网安全。
与此同时,我们还与合作伙伴一起,积极推动、建设了国内最大的互联网安全开放平台,通过安全数据共享、技术联合等多种形式,共同为用户的上网安全提供保护,扶植互联网安全产业发展。
除此之外,在“开放与联合”方面,我们还做了很多工作。2013年,腾讯电脑管家推出“安全云库”战略,本着联合开放共建互联网安全的初衷,电脑管家已将全球最大恶意网站数据先后共享给百度、天猫、康盛、搜狗、discuz等合作伙伴平台,提供网站安全查询服务,为全网用户在各大上网入口提供安全保障。
在反诈骗、保护移动用户安全方面,2013年年底,腾讯公司联合广东省公安厅、深圳市公安局、三大运营商、合作伙伴共同发起了国内首个反信息诈骗联盟,对电信诈骗进行了有效打击,让广大用户得到了实惠,为人民群众财产安全提供了保障。
随着移动互联兴起,移动支付已经成为了整个互联网行业的焦点,高速发展的背后也爆发了一些问题。为加强移动支付安全产业链协作、促进移动支付安全用户推广,为用户构建一张无缝连接的安全服务网络,就在刚刚过去的5月22日,腾讯公司联合浦发银行等合作伙伴发起了“移动支付安全联合守护计划”;还成立了“安全智囊团”,旨在进一步整合互联网安全业界的顶尖技术团队资源;此外,腾讯公司也将成立“腾讯安全实验室”,专注于互联网安全技术孵化、行业研究和人才培养,并将投入不少于5亿资金,用于支持“移动支付安全联合守护计划”及腾讯安全实验室运营。
只有通过移动支付产业链的合作,打造由警方、银行、商家、安全企业、网民等全面协同参与的移动支付保护链条,提供系统性的安全解决方案,才能切实的保护用户利益。腾讯作为互联网产业的参与者之一,我们愿意承担更多责任,与大家携手扫清互联网雾霾,还原互联网的本真纯净。