首页 > CIO班 > 学院活动 > 正文

【第二届数字安全大会精彩回顾】腾讯安全副总裁、玄武实验室负责人于旸:知患于未然,阻患于将然

2022-10-24 17:13:30  来源:

摘要:2022年8月27日,由数世咨询、CO时代联合主办,新基建创新研究院作为智库支持的第二届数字安全大会在京召开。本届数字大会的主题为“人机合智”,意指人类智能与人工智能的结合,才能做好安全防御,才是数字安全的未来。
关键词: 数字安全大会 安全 腾讯 于旸
2022年8月27日,由数世咨询、CIO时代联合主办,新基建创新研究院作为智库支持的第二届数字安全大会在京召开。本届数字大会的主题为“人机合智”,意指人类智能与人工智能的结合,才能做好安全防御,才是数字安全的未来。
 
在大会主论坛分享环节,腾讯安全副总裁、玄武实验室负责人于旸发表了题为《墨菲定律之下的安全左移》的精彩演讲以下是演讲实录:
\
大家上午好!我今天分享的话题叫“墨菲定律下的安全左移”。
 
首先讲一个案例,10天前,CVE漏洞库里新增了一个漏洞,但是这个漏洞实际上出现在2005年。当年,笔记本制造商接到了很多用户反映,笔记本电脑在播放珍妮·杰克逊的《节奏国度》这首歌的时候就会崩溃,但是播放其他歌就不会。电脑厂商在排查问题的时候,发现很多竞争对手的笔记本电脑在播放这首歌的时候也会崩溃,而且不仅播放这首歌的电脑会崩溃,放在附近没有播放这首歌的电脑也会崩溃。最终发现,珍妮·杰克逊这首歌的旋律里有一个频率,与电脑里所使用的硬盘的共振频率是一样的,播放时发生共振导致电脑崩溃。最后通过修改声卡驱动,过滤声波进行了解决。
 
“放一首歌能把电脑搞崩溃”这种事都会发生,还有什么不会发生?所以我们提到墨菲定律,凡事只要有可能出错就一定会出错。
 
在网络安全领域,凡是可能导致网络安全问题的,就一定会导致网络安全问题。
 
2018年1月3日有一组名为幽灵的“漏洞”公布了,这个漏洞跟它的名字一样,像幽灵一样一直伴随在我们身边。它是一个CPU的漏洞,而且是普遍存在的漏洞。理论上这个漏洞是本地漏洞,但是不是绝对的。
 
玄武实验室花了4天时间,确认了可以在浏览器中触发幽灵漏洞,而且意外地发现:完全不同的浏览器,完全不同的操作系统,完全不同的 CPU,可以被同一个网页触发漏洞。那这个问题的影响范围就是所有的操作系统、所有的浏览器、所有的CPU,包括手机和电脑。
 
要实现在浏览器中利用“幽灵”漏洞,一个关键是使用高精度计时器。早在2015年的时候,主流的浏览器为了防范另外的一些漏洞,就已经把浏览器里的高精度计时器的精度降低了,所以玄武实验室利用了 SharedArrayBuffer 对象来实现高精度计时器。
 
浏览器厂商、标准设计者不知道SharedArrayBuffer可以用来实现高精度计算吗?带着这个疑问,我翻阅了JavaScript标准化组织的历史会议的会议纪要,发现原来ECMA TC39专家组在立项之初已经意识到SharedArrayBuffer的潜在安全风险,关于安全性作了很充分的讨论,但经过各种考虑,最终还是引入了SharedArrayBuffer这个特性。我在想,易地而处,如果我当时是标准组的成员,我能发表什么更好的意见吗?我也不一定能比他们做得更好。
 
2018年1月因为幽灵漏洞,全世界所有主流浏览器禁用了Sharedarraybuffer。但是半年以后,2018年7月,Chrome浏览器重新启用了,同时增加了安全策略,要求必须用站点隔离才能使用。到2021年5月,把站点隔离进一步增强成跨域隔离,做了更严格的限制,只有在严格限制下才允许使用。这一系列的限制目标就是把风险压缩到最小。
 
今天重新复盘TC 39标准组当时的决策,我们可以比当时做得更好吗?对上述事件的复盘和思考,能解决我们安全工作方面面临的困惑。在军事上有两个词“料敌从宽”、“防患于未然”,我们要充分感知各种威胁,并将他们威胁扼杀在摇篮里,这是特别理想的状态。但是安全是有成本的,防患于未然是要付出代价的。
 
安全工作实践中,在“禁止”和“通过”之间是有其他选项的。就像大坝、水闸和水情之间的关系,要以充分的安全认知为前提。无论做安全左移还是设计安全产品,将知识驱动和情报驱动这两者结合起来是一个最佳的实践方式。我们可以基于对安全威胁的了解,在有风险的地方加上“大坝”,并且根据实际情况的变化,在特定时刻决定要不要放开或者关上水闸。
 
目前,腾讯安全通过产品部门和安全实验室的合作,力求让安全产品更轻,更有效,实现“知患于未然,阻患于将然”
                                                                              

  

第三十五届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。

友情链接
京ICP备16057460号-1
移动客户端
CIO时代iphone版 | CIO时代Android版
关注我们
Copyright © 2003-2021 CIO时代网版权所有
关于我们| 联系我们 | 版权声明| 友情链接| 网站地图