与腾讯安防对话杨勇工业互联网带来了哪些新的安全挑战

6月12日，在腾讯安防国际技术峰会上，腾讯安防平台负责人，腾讯安全学院副院长杨勇告诉TechWeb，工业互联网的发展给安全问题带来了许多新的挑战。它体现在三个方面。

腾讯安防平台负责人兼腾讯安全学院副院长杨勇

首先，攻击面已扩大。例如，腾讯安全科恩实验室最新的汽车安全研究实际上是由工业互联网带来的，这是互联网与汽车工业安全的结合。

第二，跨界，如果要解决安全问题，则需要更多不同领域的知识。

第三，工业攻击场景的出现，现在的攻击现场越来越工业化。例如，之前的攻击是你有一段代码，操作系统有一个漏洞，然后我研究了这个漏洞，我变黑了，然后把你的数据偷走了，这是表达的主要形式。

工业攻击的场景是不同的，比如电子商务行业，“我可能已经使用过这种漏洞，但我的目的是舔羊毛，偷走你所有的红包和营销费用。也许我不仅仅是以前的特洛伊木马。现在，通过各种方法突破互联网金融等一些事情，通过漏洞和风险控制的漏洞进行攻击。攻击后，我会窃取你的财务身份然后诈骗你，然后我去偷东西，取出钱把它拿出去吃。“

杨勇进一步解释说，攻击场景可以分为两类，一类是黑客不关心你是否知道，另一类是黑客关心你是否知道。 “跨境”黑人生产通常属于后者。 “例如，黑客可以控制汽车，但我们不能等待汽车崩溃然后进行防御。”

杨勇说，目前有黑色产品甚至可以“开展”银行贷款。 “有很多黑色产品拥有高质量的团队和跨境技术。例如，我们发现用于金融攻击的黑色产品可用于信用报告。他们分析银行的软件并找到一些金融公司。验证逻辑全部是本地的。之后，他们通过更改本地数据直接打开大量贷款配额和虚假账户。“

攻击面扩大造成的伤害是不同的。例如，之前没有介绍旅行，更多的是计算机蓝屏或机器手机数据的丢失。但是，当您介绍工业互联网时，旅游业可能存在个人安全问题。

但另一方面，最大的风险不是这些安全问题，最大的风险是不发展。 “安全不仅仅是为了澄清风险。安全的最大价值在于告诉我们，我们可以安心地发展。”杨勇说。

以下是部分QA摘录：

问：随着工业互联网的发展，是否存在新的安全问题，您认为哪些趋势是安全的，哪些是新的领域？

杨勇：万物互联和工业互联网带来的问题包括：第一，攻击面扩大;第二，跨境。在解决安全问题时，现在需要在不同领域结合更多知识;第三，工业攻击情景的出现。

攻击场景正在变得越来越工业化。例如，之前的攻击是什么？之前的攻击是你有一段代码，操作系统有漏洞，然后我研究了漏洞并将其入侵，然后窃取了你的数据。这是表达的主要形式。

什么是工业攻击场景？例如，如果您是电子商务提供商，我可能已经使用过这种漏洞，但我的目的是舔羊毛并窃取所有红包和营销费用。也许我之前有很多特洛伊木马。现在我使用各种方法来突破互联网金融等一些东西，并通过漏洞和风险控制的缺陷进行攻击。袭击发生后，我偷走了你的财务状况，然后骗了你的贷款，然后我去偷了，然后拿出钱去消费。

这是什么情况？许多是工业攻击场景，汽车也是，而建筑物也是。因为什么？因为如今，在所有事物相互关联之后，攻击场景不再仅仅是窃取数据和简单获取操作系统的权利。但是什么？但是越来越多样化，比如汽车实际上可能会威胁到别人的人身安全，有些不好的人，因为汽车就像你随身携带的东西，可以偷走很多隐私。那座建筑更是如此。因此，我觉得我们应该重新审视工业互联网变化带来的安全性。

问：攻击面扩大后，过去的黑客现在变成了黑客。黑色产品似乎已经涉及物联网安全，例如相机窃取，窃听，甚至可能是智能门锁。

杨勇：在这个问题上，我们可以分析这个问题的根源。什么是攻击情形？根据您的问题，攻击场景实际上可以分为两类：在第一类中，黑客不关心您是否知道。在第二类中，黑客关心你是否知道它，例如窃听，偷窃和谋杀。他是自我隐藏的。

因此，如果我们做这样的防御，比如汽车的安全性，其实我们不能指望攻击现场实际发生在我们周围的我们身上以防止。如果我们真的等待飞机坠落，等车撞车，那我们就等不及了。例如，在WannaCry的问题之后，我不知道是否有人想过它。那时，许多机场都停飞了。如果我们不将它用作唤醒和其他飞机坠落，那么可能会有数百架飞机坠落在一起。风险就在这里。这类问题，我想更多的是想到我们将会出现的情景。

还有舔羊毛的问题。这种事情是我们可以通过我们的业务场景找到的，并帮助我们的客户在云上。这堂课通常不是一位不知名的先知。实际上，我们使用大数据和算法功能来找到这些东西，然后攻击它们。例如，我们发现金融行业最近被许多羊毛派对使用。每个人都知道羊毛派会实际购买购物券，折扣，折扣优惠券，即使你去一些电子商务网站，你也可以购买这些东西。这些显然是刷子。从。

但是每个人都不知道，这些人在做什么？例如，如果矿泉水瓶中有屡获殊荣的标签，很多人会去收集废物收集站，收集后收集瓶盖，然后通过机械化装配线，然后有相机人工智能识别上面的代码，如果有的话。提取代码并专注于奖品。黑客是不是已经被IoTized了？他显然是跨境的。从废品采购行业到人工智能识别，再到羊毛派对，羊毛行业，人民的产业链都拥有一支非常高素质的团队。

我们还看到一个案例，许多人可能不知道，也就是说，我们发现了对金融部门的攻击。他们现在正在做很多财务领域，以便为用户开设账户进行信用报告。我们发现了一些案例，我发现有些团队正在做这些事情，其中一些是以前的羊毛，他们开始进入金融领域。

他们在做什么？他们拥有一支专业的团队，使用传统的逆向技术和软件跟踪技术来分析银行的软件，并在手机上分析金融业公司的软件。然后他们发现了一些漏洞。我们发现的一些案例是一些金融公司的验证逻辑是本地的。通过扭转他的手机，其他人发现他的验证逻辑没有放在企业的云中，而是放在本地。然后直接改变本地数据，开了很多贷款配额，开了很多假帐户，假身份，就是这种跨界，是不是扩大了攻击面？

但这个行业的风险非常大，因为过去我可能会开一张10到20元的会员卡观看这部电影。但这可能是数万甚至数十万的贷款。这是一个行业变革。

因此，我觉得无论是我们的旅游领域还是风险控制领域，整个安全的事情不仅仅是几个部门甚至公司的事务。实际上这是一个国家甚至整个世界的问题，因此它将开启一个国际技术交流峰会，因为一旦这个事情被打开，这是一个共同的挑战。

问：过去，安全行业纯粹是投资。科恩实验室有没有利润？那么，除了汽车之外，还有其他领域的经验吗？

腾讯安全科恩实验室主任陆一平：要提到这一点，我们必须提到930的变化。去年，腾讯通过消费者互联网改变了互联网。那时，调整幅度相对较大。 CSIG是云和智能行业业务集团。就像我们与杨勇的分工一样，也存在一些分歧。他们正在捍卫腾讯自己的应用程序作为主要任务，但他们也在扩展云计算等功能。等待。他们有很多干货，现在出口到各个方面。对我们来说，既然我们在CSIG，我们需要为一些关键行业做一些护送工作。

当然，有一点。我们不希望这种合作是免费的，因为只有收取费用的客户才会对我是否应该使用这种科恩的能力持谨慎态度。这是一种双向的更严谨的思考和选择，因此在合作过程中，对方会更认真地对待这件事，然后我们会一步一步地做到这一点。实际上，我们现在正在与该行业合作，作为商业合作模式，需要收费。

第二个问题，现在我们正在探索汽车以外的一些新场景。因为杨勇还提到汽车只是一个小场景，而且世界上有太多场景。例如，我们今年将有机器人项目。机器人将分为两类，一类服务机器人，将针对消费者。一种类型的工业机器人有点像智能制造和智能制造。

例如，服务机器人现在可以看到机场，广场和超市中的一些机器人，无论是警察巡逻机器人还是超市的导购机器人。机器人重80公斤，最高速度为60.因此，如果它被恶意操纵，如果它在这里运行，它是一个小坦克，实际上引起了一些公共安全问题。这就是为什么这件作品会对物质世界产生影响。

我们还在看智能电梯。现在电梯上有很多传感器。它有一个上部通信模块，也可以远程控制电梯。因为这是针对电梯行业的，其要求是原始电梯检查由人们进行。一个人每周运行100部电梯，检查人员非常昂贵。现在，传感器打开后，遥控中心可以监控。例如，电梯部件已老化。我必须改变它。那个地方的电梯可能会有一些小的故障需要修理，甚至可以远程发出一些维修命令进行维修。在这种情况下，其运行成本可降低90％，这对电梯运行来说是一个很大的优势。

但是，正是由于引入了大量的遥控器，远程传递功能，如果被恶意应用，也会使电梯上下控制，对恐吓甚至会产生很大的影响甚至电梯安全。包括我们中的一个人在电梯中，除了人工控制之外，电梯现在还具有媒体屏幕，或者电梯门上的投影，其中放置了一些视频。我们还通过实际案例证明我可以替换里面的视频。如果它是敏感的，我会放一些不应该放的东西。这将对电梯运营商产生巨大影响。可能会有一些政治因素。不正确的一方存在一些问题。

有摄像头，现在安全摄像头很常见。我们的研究还证明了我们可以在相机上做些什么？每个人都在电影中看到的效果。一个人走过去，相机显示人们走过去。昨晚，我一直在重播没有人的形象。昨天我回家打开了电视，就像《生死时速》，《生死时速》。[0x9A8B]中有一段，坏人用相机监视公交车上的场景，并录制了一段视频，视频继续播放。扮演欺骗性的坏人，事实上，我们正在做类似的情景。但是，在安全方案中，它是一个安全属性，这个问题很难接受。此安全性无效。

还有智能门锁。我们实际上做过研究。遥控器可以在一个区域内打开数千个门锁。这可以做到。包括我们还在寻找一个工业控制控制器，如电力，能源，化工等重要行业，如化学化学反应，控制，变电站控制，包括智能电表。

你会看到杨勇刚刚提到的物联网才刚刚开始。它刚刚开了一个前奏。有很多事情可以做，而且有很多方面需要注意。关键问题是，事实上，依靠科恩或腾讯的安全性是不够的。为了真正保护我们新技术应用时代的安全，每个人都可能有必要共同努力做到这一点。 （周小白）