安全研究之路

　　CSDN：首先，請(qǐng)您做個(gè)自我介紹，包括個(gè)人經(jīng)歷及負(fù)責(zé)工作。

　　侯浩俊：CSDN 的讀者們大家好，我是侯浩俊，成都電子科技大學(xué)碩士，畢業(yè)之后進(jìn)入啟明星辰 ADLab（積極防御實(shí)驗(yàn)室）工作至今，目前主要負(fù)責(zé) ADLab 的漏洞研究團(tuán)隊(duì)。

　　CSDN：您的團(tuán)隊(duì)日常工作有哪些？有著怎樣的風(fēng)格或共同特征？

　　侯浩?。?日常的工作基本都是圍繞著漏洞研究展開(kāi)的，諸如漏洞挖掘、漏洞分析以及漏洞利用等，我們的研究領(lǐng)域覆蓋傳統(tǒng)桌面與服務(wù)器操作系統(tǒng)及主流應(yīng)用、移動(dòng)平臺(tái)、車聯(lián)網(wǎng)和物聯(lián)網(wǎng)等。每個(gè)研究員都有自己確定的研究領(lǐng)域，長(zhǎng)期對(duì)該領(lǐng)域相關(guān)軟件系統(tǒng)開(kāi)展深度研究分析和漏洞挖掘工作，同時(shí)也會(huì)及時(shí)對(duì)熱點(diǎn)漏洞和安全事件進(jìn)行分析；我們自主挖掘的漏洞會(huì)報(bào)送國(guó)際 CVE 或國(guó)家 CNVD 和 CNNVD 幫助廠商進(jìn)行修復(fù)；有價(jià)值或有意思的技術(shù)研究也會(huì)以深度分析文章的方式分享給大家；高質(zhì)量的研究成果會(huì)去安全峰會(huì)做議題演講；對(duì)外界公布的一些危害較大的熱點(diǎn)漏洞，我們還會(huì)第一時(shí)間推出檢測(cè)工具以幫助大家能夠快速進(jìn)行自查，及時(shí)止損。

　　區(qū)別于研發(fā)團(tuán)隊(duì)，我們是個(gè)技術(shù)研究隊(duì)伍，大家是因?yàn)閷?duì)安全研究的興趣走到了一起，大部分時(shí)間都是在自己感興趣的研究領(lǐng)域積累和發(fā)力。在興趣驅(qū)動(dòng)的前提下，每個(gè)人對(duì)工作都表現(xiàn)出了專注、執(zhí)著以及解決難題時(shí)不達(dá)目的不罷休的特質(zhì)，有時(shí)為了分析某個(gè)漏洞或驗(yàn)證某個(gè)想法，通宵達(dá)旦都是家常便飯。研究工作的特殊性需要不斷學(xué)習(xí)新技術(shù)以及研究新領(lǐng)域的安全問(wèn)題，在這個(gè)過(guò)程中大家都秉持著開(kāi)放和樂(lè)于分享的精神，互相從對(duì)方身上汲取養(yǎng)分促使整個(gè)團(tuán)隊(duì)研究能力的提升。

　　CSDN：您的團(tuán)隊(duì)在過(guò)去的一年里是否遭遇過(guò)重大的安全事件或難題？最終是如何攻克的？

　　侯浩?。涸谶^(guò)去的 2016 年和近期爆出了很多影響力頗大的漏洞和安全事件。漏洞方面例如 OpenSSL 若干嚴(yán)重漏洞、Windows 輔助登錄服務(wù)的提權(quán)漏洞、通殺所有 Windows 系統(tǒng)的“BadTunnel”漏洞、存在于 iOS 的 ImageIO 框架中的遠(yuǎn)程代碼執(zhí)行漏洞、跨協(xié)議攻擊的“DROWN”漏洞、內(nèi)核級(jí)“Dirty Cow”漏洞、Struts2 的若干遠(yuǎn)程代碼執(zhí)行漏洞以及被認(rèn)為 2016 年最具影響力的“ImageTragick”漏洞等。

　　安全事件方面例如：烏克蘭的電力門、TeslaCrypt 勒索軟件、Maktub Locker 勒索軟件、Mirai 僵尸蠕蟲(chóng)、“黑雀”攻擊（由 ADLab 首次發(fā)現(xiàn)并提出），以及近期的 CIA 泄露事件和 Shadow Brokers 泄露事件等。針對(duì)第一時(shí)間獲悉的嚴(yán)重漏洞和安全事件信息，我們會(huì)啟動(dòng)內(nèi)部的應(yīng)急響應(yīng)機(jī)制，收集或編寫漏洞利用，收集目標(biāo)樣本進(jìn)行深度分析，及時(shí)對(duì)外發(fā)布安全預(yù)警公告和檢測(cè)工具，另外相關(guān)特征也會(huì)提供給產(chǎn)品線提高公司產(chǎn)品防御能力。

　　CSDN：作為一位專業(yè)的安全人員，您認(rèn)為在安全方面有什么不可逾越的紅線嗎？

　　侯浩俊：作為普通公民遵紀(jì)守法是必須謹(jǐn)守的底線，而作為安全從業(yè)人員，這更是顯得尤為重要。我們要謹(jǐn)遵如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等一系列國(guó)家相關(guān)法律法規(guī)的要求，對(duì)于項(xiàng)目涉密人員更要時(shí)刻繃緊防止涉密信息泄露之弦、安全之弦，我們?nèi)粘Ｋ械陌踩芯炕蛘呦嚓P(guān)業(yè)務(wù)的開(kāi)展都要以此為基本前提。

　　CSDN：您認(rèn)為一名優(yōu)秀的安全從業(yè)人員需要具備哪些素質(zhì)？或者說(shuō)，您希望與什么樣的人共事？

　　侯浩俊：首先需要具備的素質(zhì)就是知道什么堅(jiān)決不能碰、不能做，就是上面提到的不要違反職業(yè)操守，不要觸碰法律法規(guī)的紅線。安全的領(lǐng)域其實(shí)非常廣，任何一個(gè)細(xì)分領(lǐng)域需要具備專業(yè)的知識(shí)和技術(shù)儲(chǔ)備，因此專業(yè)能力必不可少。對(duì)比傳統(tǒng)行業(yè)，互聯(lián)網(wǎng)發(fā)展迅猛，相應(yīng)的新領(lǐng)域新技術(shù)不斷涌現(xiàn)，勢(shì)必帶來(lái)的相關(guān)安全問(wèn)題也是新穎多樣的，這就需要安全從業(yè)人員時(shí)刻保持一顆“海綿”心態(tài)，迅速學(xué)習(xí)吸收新知識(shí)以應(yīng)對(duì)新挑戰(zhàn)。安全的很多細(xì)分方向（比如漏洞研究）的研究領(lǐng)域越往后走人數(shù)越少，相應(yīng)的在一個(gè)團(tuán)隊(duì)里能交流的人也越少，所以大家要有抱持開(kāi)放和分享的態(tài)度，多在內(nèi)部和外部做交流，互相借鑒互相成就。

　　另外，對(duì)于做安全的人來(lái)講一定不能把安全做“窄”了，要有大局觀。安全一直以來(lái)都是作為產(chǎn)品或業(yè)務(wù)的“附屬品”，隨著他們的改變而變化，但是如果想把安全作為終身的事業(yè)去追求，可能需要跳出這口“井”，時(shí)刻保持對(duì)整個(gè)行業(yè)的生態(tài)和發(fā)展動(dòng)向的關(guān)注，未雨綢繆地進(jìn)行一些探索?？傮w來(lái)說(shuō)在工作中，我們更傾向于跟那些有職業(yè)操守，時(shí)刻保持技術(shù)好奇心并樂(lè)于分享、有探索精神，將安全當(dāng)成興趣樂(lè)在其中且執(zhí)著既定目標(biāo)的人共事。

　　CSDN：您的團(tuán)隊(duì)最為關(guān)注物聯(lián)網(wǎng)安全的哪些方面，當(dāng)前正在深度研究的是？

　　侯浩?。?物聯(lián)網(wǎng)所涵蓋的范圍非常廣，應(yīng)用領(lǐng)域也很多，我們通常側(cè)重跟用戶切身利益直接相關(guān)的安全問(wèn)題，例如非授權(quán)訪問(wèn)、信息泄露、資金安全甚至人身安全等。

　　現(xiàn)階段的研究領(lǐng)域主要包括智能家居、智能機(jī)器人、共享單車（汽車）和車聯(lián)網(wǎng)等。所有在研究中發(fā)現(xiàn)的問(wèn)題，我們都會(huì)及時(shí)通知權(quán)威機(jī)構(gòu)告知廠商幫助他們盡快修復(fù)以使受影響用戶隱私及人身財(cái)產(chǎn)安全更有保障。

　　在物聯(lián)網(wǎng)安全方面，我們所面臨的問(wèn)題及有效對(duì)策

　　CSDN：在物聯(lián)網(wǎng)安全的體系結(jié)構(gòu)中，從感知層到應(yīng)用層您認(rèn)為哪方面的安全問(wèn)題最為嚴(yán)重？

　　侯浩俊： 在物聯(lián)網(wǎng)的體系構(gòu)架中從感知層、傳輸層到應(yīng)用層各層扮演的角色不同（其構(gòu)架如下）所面臨安全問(wèn)題也截然不同。

　　1. 感知層負(fù)責(zé)通過(guò) RFID、各類傳感器、GPS、激光掃描儀、二維碼等采集原始信息，并且感知節(jié)點(diǎn)之間要協(xié)同工作，通過(guò)傳感器網(wǎng)絡(luò)等實(shí)現(xiàn)數(shù)據(jù)的匯聚和傳輸，感知節(jié)點(diǎn)受限于自身計(jì)算資源所限，抗攻擊能力很弱；大多節(jié)點(diǎn)長(zhǎng)期處于無(wú)人值守狀態(tài)，易受侵；節(jié)點(diǎn)與節(jié)點(diǎn)或節(jié)點(diǎn)與匯聚點(diǎn)之間存在著若干情況下的身份認(rèn)證脆弱問(wèn)題。

　　2. 傳輸層負(fù)責(zé)把感知層收集的信息傳輸?shù)綉?yīng)用層進(jìn)行處理，由于物聯(lián)網(wǎng)是構(gòu)建在互聯(lián)網(wǎng)基礎(chǔ)之上，故在傳輸?shù)倪^(guò)程中所有目前存在在互聯(lián)網(wǎng)中的威脅同樣也對(duì)物聯(lián)網(wǎng)構(gòu)成危害（DoS 攻擊、中間人攻擊等），而且在物聯(lián)網(wǎng)環(huán)境中跨異構(gòu)網(wǎng)絡(luò)的攻擊更為突出。

　　3. 應(yīng)用層根據(jù)自身的業(yè)務(wù)需求，通過(guò)應(yīng)用支撐子層對(duì)信息進(jìn)行處理以滿足用戶需求，應(yīng)用于諸如智能家居、智能交通、智能電力、智能物流、智能醫(yī)療等領(lǐng)域，該層主要因應(yīng)用需求的多樣性以及其支撐子層所采用的如分布式、云計(jì)算、大數(shù)據(jù)等不同的安全策略所面臨著整體的安全構(gòu)架問(wèn)題，另外在各個(gè)領(lǐng)域的應(yīng)用中最嚴(yán)重的安全威脅來(lái)自用戶隱私數(shù)據(jù)的泄露，以及由此導(dǎo)致的支付風(fēng)險(xiǎn)甚至人身安全風(fēng)險(xiǎn)。

　　對(duì)于感知層、傳輸層和應(yīng)用層任何一層遭到攻擊，都會(huì)影響到整個(gè)系統(tǒng)和最終的端用戶，但從當(dāng)前情況看，應(yīng)用層的安全問(wèn)題尤為突出。

　　CSDN：對(duì)于當(dāng)前物聯(lián)網(wǎng)安全的需求，有哪些有效的對(duì)策？如攻擊檢測(cè)、防御、通信保護(hù)等方面。

　　侯浩?。簭募夹g(shù)的角度，物聯(lián)網(wǎng)安全需求源自所面臨的安全問(wèn)題。

　　感知層應(yīng)對(duì)策略：

　　1. 提高節(jié)點(diǎn)與節(jié)點(diǎn)之間以及節(jié)點(diǎn)與匯聚點(diǎn)之間的身份認(rèn)證復(fù)雜度；

　　2. 限制節(jié)點(diǎn)的惡意發(fā)包行為，防御 DoS 攻擊；

　　3. 備份關(guān)鍵節(jié)點(diǎn)，提高容侵和恢復(fù)能力。

　　傳輸層應(yīng)對(duì)策略：

　　1. 通過(guò)密鑰管理機(jī)制保證內(nèi)部通信安全；

　　2. 利用互聯(lián)網(wǎng)僵木蠕特征庫(kù)資源進(jìn)行入侵檢測(cè)和病毒檢測(cè)；

　　3. 端到端的認(rèn)證和密鑰管理協(xié)商機(jī)制，選擇較強(qiáng)的加密算法。

　　應(yīng)用層應(yīng)對(duì)策略：

　　1. 開(kāi)發(fā)過(guò)程中注重安全編碼；

　　2. 加強(qiáng)用戶身份認(rèn)證；

　　3. 通過(guò)加密保存日志和信息泄露溯源技術(shù)提高事后追責(zé)的不可抵賴性；

　　4. 重要數(shù)據(jù)必要時(shí)的自毀技術(shù)等。

　　從管理的角度，物聯(lián)網(wǎng)的安全需要以政府和行業(yè)主管為主體，加上權(quán)威的第三方機(jī)構(gòu)參與來(lái)共同進(jìn)行規(guī)劃管理。除了技術(shù)和管理等手段，還需要出臺(tái)相應(yīng)的法律法規(guī)進(jìn)行約束。