人物 | 懸鏡安全random:解密供應鏈安全情報的頭號黑客
摘要: 本期人物訪談:懸鏡供應鏈安全情報中心負責人random
2023年2月,懸鏡安全正式對外公開了供應鏈安全情報中心,這是國內(nèi)首個數(shù)字供應鏈安全情報研究中心。五年前,懸鏡安全創(chuàng)始人兼CEO子芽,這位未名湖畔的筑夢人,接受了安在的專訪(新銳 | 懸鏡安全子芽:未名湖畔的筑夢人),那時的懸鏡安全正處在代碼疫苗技術十年磨一劍的產(chǎn)品商業(yè)化應用落地的實踐探索階段;兩年前,懸鏡安全CTO寧戈同樣也接受了安在的采訪(人物 | 懸鏡安全寧戈:高山流水遇知音,湖畔筑夢中國心),那時的懸鏡安全已經(jīng)完成了數(shù)億元的B輪融資,已迅猛發(fā)展為DevSecOps數(shù)字供應鏈安全領域的頭部廠商。
硬科技的創(chuàng)新和普惠是推動人類社會發(fā)展的核心驅(qū)動力。隨著數(shù)字時代的快速發(fā)展,萬物互聯(lián)的數(shù)字應用在編程開發(fā)方式、應用協(xié)作發(fā)布模式、應用設計架構和基礎設施運行環(huán)境等四個方面發(fā)生著深刻的變化。在2023年8月的DSS2023 數(shù)字供應鏈安全大會上,子芽開創(chuàng)性地提出數(shù)字供應鏈安全的創(chuàng)新理論體系和實踐框架(DSS 2023硬核成果 | 懸鏡業(yè)內(nèi)首次定義數(shù)字供應鏈安全),在產(chǎn)業(yè)界影響深遠,數(shù)字供應鏈安全問題也隨著國家的進一步重視被上升到基礎設施安全高度來對待。
隨著懸鏡安全持續(xù)多次提前精準預警,諸如惡意Py包仿冒tensorflow AI框架實施后門投毒攻擊事件、惡意NPM包利用Windows反向shell后門攻擊開發(fā)者事件和惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊事件等,標志著懸鏡供應鏈安全情報中心憑借云脈XSBOM數(shù)字供應鏈安全大腦超強的精準預警能力正式向產(chǎn)業(yè)界首次公開。原本僅是居于幕后、致力于深度挖掘并溯源分析供應鏈安全漏洞、投毒事件、組件風險等供應鏈安全風險的供應鏈安全能力研究中心,由此正式公開亮相。此舉動不僅是懸鏡安全對全球數(shù)字供應鏈安全態(tài)勢監(jiān)測賦能積極響應,更是其身為數(shù)字供應鏈安全開拓者,推動全球數(shù)字供應鏈安全治理的重要舉措。
此次與之深度交談的正是懸鏡供應鏈安全情報中心的負責人——random 蔡智強,也是懸鏡安全技術合伙人,供應鏈安全情報中心的幕后大佬。
“最低調(diào)的頭號黑客”,這是子芽對random的評價之一。首創(chuàng)懸鏡數(shù)字供應鏈安全情報智能捕獲體系,牽頭挖掘?qū)汃R、雷克薩斯等多家全球知名車聯(lián)網(wǎng)頭部企業(yè)的眾多高危漏洞,首個寶馬集團數(shù)字化及IT研發(fā)技術獎獲得者,BlackHat USA頂級國際安全會議演講者,多次參與DEFCON CTF國際安全攻防大賽,這是random過去10年內(nèi)特別技術經(jīng)歷的冰山一角。與子芽、寧戈同為北京大學信息安全系的師兄弟,在校園里就是白帽極客技術的代表,他們和幾個師兄弟一起,不僅發(fā)起成立了“xmirror”戰(zhàn)隊,還成為“國信504紅隊”的攻防支撐力量,曾多次為國家關鍵信息基礎設施的重大活動安保提供了有力保障。
“random”是蔡智強從學生時期至今一直在圈內(nèi)沿用的id。問及當初為什么使用“random”,作為自己的id時,他笑道“網(wǎng)絡攻防對抗從來都是不確定的,魔高一尺,道高一丈,智慧的攻才是進階的防! ”
random在BlackHat USA 2019做技術分享
相比random自評是一個不善言辭的人,團隊伙伴則贊嘆他專注、執(zhí)著、心無旁騖。與技術大佬在一起搞研究突破,做自己感興趣的事,可能是白帽黑客們皆有的特質(zhì)之一。
回顧研究生時期打攻防比賽的經(jīng)歷,random回憶到最早參與的全國性比賽是2013年研一期間參與信息安全與對抗技術競賽(ISCC)。“ISCC算是國內(nèi)比較早期舉辦的攻防比賽了,也是國內(nèi)知名的賽事之一。早期的ISCC更偏向于考驗個人能力,初賽是個人賽,決賽大概前25名進入線下組隊打團體賽,個人更喜歡團體賽的氛圍。”。北大研究生期間,random只要有閑暇時間,都會參與XCTF、BCTF、XDCTF、HCTF、RCTF等國內(nèi)攻防競技中,練練手感,刷刷腦力,自然成績也是不錯。
作為子芽的師弟,他們在北大讀研期間相識,當時作為實驗室負責人的子芽給random的印象非常深刻。談及對子芽的第一印象,random用了這樣幾個形容詞:“有創(chuàng)造力、純粹、簡單、具有很強的敏銳度和感染力”。和子芽的風格雖然不同,但他們都認為創(chuàng)造智能的攻防滲透模擬工具是更為重要的,可以更好將個人的網(wǎng)絡安全能力固化到自動化平臺上,創(chuàng)造更多能力均衡穩(wěn)健的白帽黑客,讓中國網(wǎng)絡安全水平整體拉高。
2015年,同樣也是研究生的random肩負起懸鏡紅藍對抗團隊負責人的重任,帶領技術師傅們完全支撐起“國信504紅隊”技術輸出的任務,在國家重大活動期間為重要政府門戶和關鍵信息基礎設施提供攻防演練、滲透測試攻擊模擬、二進制漏洞挖掘等關鍵支撐服務。
為了進一步沉淀個人技術的厚度,random研究生畢業(yè)后加入了國內(nèi)某頂級安全實驗室擔任安全研究員,負責智能網(wǎng)聯(lián)汽車的漏洞挖掘與安全研究工作。
在這段經(jīng)歷中,random主要負責對智能網(wǎng)聯(lián)汽車進行漏洞挖掘及安全研究。“我們先后研究了一些國際知名的車型,沉淀了一些技術突破思路和方法論,在車載系統(tǒng)固件逆向分析和挖掘漏洞上收獲不少成果。”random把這些車看作是一個黑盒,沒有源代碼和調(diào)試接口,只能從一個黑客攻擊者的角度去挖掘汽車對外暴露的攻擊入口。通過對車機固件做二進制逆向分析,進而對車載的網(wǎng)絡、藍牙、WIFI以及手機互聯(lián)通信等服務進行安全分析和漏洞挖掘,最后利用漏洞來成功實現(xiàn)對車輛的遠程控制效果。
在全球智能汽車領域不斷取得新進展的同時,random也在不斷破解著更多知名車企的安全問題。在對某全球高端豪華汽車集團的深度挖掘漏洞與安全分析后,random帶領團隊發(fā)表多篇針對車廠的安全性研究成果,并被該汽車集團授予首個“數(shù)字化及IT研發(fā)技術獎”,與該汽車集團安全團隊一同受邀參與Black Hat黑帽大會,random在議題演講中首度公開了該車企多款車型的破解研究和技術細節(jié)。
random回憶這段白帽黑客的經(jīng)歷時,說到“我喜歡技術研究型工作,在那段工作經(jīng)歷中,除了偶爾幾次關鍵技術分享演講,還有一次與破解的這個汽車集團做了一次深入的技術交流,絕大部分時間,我都還是在實驗室做研究和驗證工作。”
random始終關注著懸鏡和子芽的發(fā)展動態(tài)。從某種層面來講,其實random從未離開過懸鏡。“我平時和子芽一直保持緊密聯(lián)系,而且其他的合伙人都是我的師兄弟,我們之間都比較熟悉。再加上經(jīng)常在朋友圈看到懸鏡相關的動態(tài),包括產(chǎn)品新技術的迭代、取得的斐然佳績,或是舉辦的各類行業(yè)性大會等等,懸鏡發(fā)展的每一個階段我都有關注到。”
對于時隔多年再次回歸懸鏡,random表示這是一個遵從內(nèi)心的自然結果。“我自己做白帽黑客已經(jīng)有十多年了,不管是上學期間,還是上一份研究工作期間,我都偏向于在做漏洞挖掘和深度利用。縱觀網(wǎng)絡安全行業(yè)發(fā)展的大趨勢,關鍵信息基礎設施的安全是國家網(wǎng)絡安全的基石,這促使我們守護它的使命感更強烈。我也會去思考,人工利用一個漏洞可真正實現(xiàn)的價值到底有哪些,而做數(shù)字供應鏈安全,我可以把過往的經(jīng)驗通過共同研究的自動化智能工具賦能給整個供應鏈上下游生態(tài),可以對數(shù)字供應鏈安全做一些實際的落地貢獻,可以切實地幫助到產(chǎn)業(yè)中的用戶們。”
“另外一個很重要的原因是我從子芽一次次的邀請中感受了他的執(zhí)著。”random笑道。在子芽和random的每次團聚中,他都會詳細地闡述懸鏡這些年正在做一些有意義的事及未來還要繼續(xù)挑戰(zhàn)突破的事。至于為什么要專注在供應鏈安全情報這件事上,random 也道出了其中的討論過程。“剛開始我和子芽討論的方向是要做中國首個能完整提供高精度、高實時、高可用的數(shù)字供應鏈漏洞情報預警能力的團隊,但隨著數(shù)字供應鏈安全投毒事件越來越頻發(fā)、關鍵信息基礎設施停服斷供風險越來越大,做好整個數(shù)字供應鏈安全情報預警服務的迫切性愈發(fā)突出了。”針對供應鏈安全的漏洞往往范圍更廣,破壞力更強,而對受供應鏈安全影響的用戶往往規(guī)模龐大,一旦受損造成的影響也更大。通過懸鏡供應鏈安全情報中心7*24實時輸出的數(shù)字供應鏈安全情報和OpenSCA開源數(shù)字供應鏈安全社區(qū),不僅可以幫助廣大開發(fā)者用戶解決實際數(shù)字供應鏈安全問題,還在一定程度上推動產(chǎn)業(yè)界對于數(shù)字供應鏈安全和國家信創(chuàng)應用安全的重視和發(fā)展。
長期的漏洞攻防研究讓random對網(wǎng)絡安全的認知更加透徹,在他看來,網(wǎng)絡安全的本質(zhì)是相通的,無論是針對車聯(lián)網(wǎng)、物聯(lián)網(wǎng)還是數(shù)字供應鏈的安全等,其本質(zhì)都是網(wǎng)絡安全風險與信任的動態(tài)平衡,關鍵點在于敏捷精確地感知威脅的能力,正所謂天下武功唯快不破!
因此,在解決情報輸出的精準性和實時性方面,random非常自信。他表示,多年的安全漏洞攻擊者視角讓他對安全漏洞更加敏感,在發(fā)現(xiàn)高危漏洞時,他牽頭開發(fā)出的供應鏈風險智能捕獲平臺能夠更全面地預測漏洞的利用方向,并給予用戶更可用的解決方案。
此外,數(shù)字供應鏈安全情報的精準實時輸出也是懸鏡安全實現(xiàn)數(shù)字供應鏈安全管控體系深度閉環(huán)的關鍵之一。此前,被業(yè)界廣泛應用的懸鏡源鑒SCA開源威脅管控平臺內(nèi)置離線部署的漏洞庫,對于增量漏洞庫的維護運營和實時更新往往受限于客戶的實際業(yè)務場景。而現(xiàn)在,供應鏈安全情報中心在捕獲并驗證風險之后,就可以實時推送同步到訂閱用戶側,實現(xiàn)小時級別的漏洞預警服務,從而讓用戶享受到更便捷實用的數(shù)字供應鏈安全體系化服務。
據(jù)random介紹,懸鏡供應鏈安全情報中心是國內(nèi)首個專注數(shù)字供應鏈安全風險智能防御的情報研究中心,依托懸鏡安全團隊強大的數(shù)字供應鏈SBOM全生命周期溯源管理與監(jiān)測能力、AI應用安全大數(shù)據(jù)云端分析能力和OpenSCA開源數(shù)字供應鏈安全社區(qū)在代碼成分安全上的活躍貢獻,對全球數(shù)字供應鏈安全態(tài)勢、投毒攻擊事件、組件停服斷供風險等進行實時動態(tài)監(jiān)測與深度溯源分析。
作為數(shù)字供應鏈安全情報的底座,數(shù)字供應鏈安全主要的關注對象有三大部分,首先是數(shù)字應用安全,包括應用安全開發(fā)、開源治理及數(shù)字免疫;其次是基礎設施服務安全,包括云原生安全(CNAPP)和供應鏈環(huán)境安全;最后是供應鏈數(shù)據(jù)安全,包括API安全和應用數(shù)據(jù)安全。此外,random還提到,安全供應商的風險管理和網(wǎng)絡安全及響應能力也應該納入數(shù)字供應鏈安全的范疇。
“數(shù)字化是一個很龐大的概念,其中每一個細分的需求都值得被關注。”random表示,此前的供應鏈安全更多圍繞在軟件開發(fā)的過程中,而現(xiàn)在,隨著數(shù)字基礎設施的逐漸完善以及新技術的逐漸普及,供應鏈的范圍越來越大,其中的風險也越來越多,用戶的安全需求也越來越豐富。懸鏡發(fā)現(xiàn)了這些需求,并以情報的方式通過懸鏡供應鏈安全情報中心對外輸送。
當前,懸鏡供應鏈安全情報中心已經(jīng)積累了50萬+的漏洞情報及10萬+開源組件投毒情報數(shù)據(jù)。
random表示,目前情報中心的情報輸送主要有兩種形式,第一是內(nèi)置于懸鏡第三代DevSecOps數(shù)字供應鏈安全體系中,例如用戶通過使用懸鏡源鑒SCA平臺就可以很輕易地利用情報來優(yōu)化安全策略,前置發(fā)現(xiàn)應用安全風險。另一種則是通過懸鏡的OpenSCA開源數(shù)字供應鏈安全社區(qū)對外提供的SaaS訂閱接口,實時接收最新的供應鏈投毒、漏洞和停服情報,用戶可以根據(jù)自身需求,按需訂閱。
random作為受邀代表現(xiàn)場領獎
據(jù)random介紹,懸鏡安全將SCA視為數(shù)字供應鏈安全管理入口,管控數(shù)字供應鏈在引入、生產(chǎn)、分發(fā)、交付環(huán)節(jié)全流程數(shù)字資產(chǎn)的安全風險。在應急響應方面,懸鏡將SCA與供應鏈安全情報相結合,實現(xiàn)了數(shù)字供應鏈組件資產(chǎn)的持續(xù)性風險評估和緊急漏洞事件的快速響應。
在AI大模型技術的應用賦能方面,random表示,懸鏡在這塊已經(jīng)沉淀了不少成果,對大模型相關技術在數(shù)字供應鏈安全領域進行了非常有效的實踐探索。目前,情報中心已經(jīng)訓練出在數(shù)字供應鏈局部細分領域非常有效的安全大模型,極大地提高了供應鏈安全情報生產(chǎn)運營的質(zhì)量、效率和用戶體驗,包括對供應鏈情報預警數(shù)據(jù)的增強調(diào)優(yōu)、對漏洞代碼的智能修復推薦、對開源許可證的智能咨詢以及針對漏洞組件進行安全升級智能推薦等,預計在2024年5月份會正式上線“懸鏡云脈”智能供應鏈安全大腦的部分訪問服務。
數(shù)字化的新技術、新趨勢,勢必會帶來新的安全問題,關于這點random深信不疑,懸鏡供應鏈安全情報中心也會持續(xù)地升級和迭代。random表示,以國產(chǎn)信創(chuàng)舉例,信創(chuàng)浪潮下勢必會引入大量的自研和開源代碼,這些代碼很可能會成為新的風險點。此外,AI大模型的普及和應用也會帶來新的安全風險,包括訓練數(shù)據(jù)投毒、開源大模型和AI智能體在開發(fā)、訓練、發(fā)布流程中引入的安全漏洞及惡意代碼等等。這些新的安全風險也會被納入數(shù)字供應鏈安全的范疇,對此,情報中心也將不斷創(chuàng)新和延伸。
除了要擴大情報中心廣度,細粒度也是下一階段的重點。random表示,目前,情報中心基本已經(jīng)覆蓋了開源應用的安全漏洞和惡意代碼投毒情報,但對于潛藏在二進制數(shù)字資產(chǎn)中的供應鏈安全問題往往更具隱蔽性和殺傷力,這方面的供應鏈安全情報需要更深更場景化的檢測分析能力,懸鏡安全對此已經(jīng)做好了準備。
此外,情報的智能適配也是懸鏡安全將要解決的目標。random提到,目前的情報更偏向于開發(fā)者,和OpenSCA開源數(shù)字供應鏈社區(qū)的進一步融合,讓情報中心可以更有目標性地推送特定的情報。這在很大程度上解決了傳統(tǒng)威脅情報適配性較差、無用或垃圾情報泛濫推送等問題。
對于個人的下一階段目標,random表示,首要目標是將現(xiàn)有的數(shù)字供應鏈安全情報服務體驗提升到更高的水平,和懸鏡的第三代DevSecOps數(shù)字供應鏈安全體系深度閉環(huán),讓用戶享受到更精準、更實時、更可用的情報預警服務。
與幾年前采訪過的子芽和寧戈不同的是,random對于懸鏡安全的成長,既像是一個初創(chuàng)的親歷者,也像是一個見證者,還是一個重新回歸的老人。對于懸鏡安全歷經(jīng)數(shù)年間已然發(fā)展成為國內(nèi)數(shù)字供應鏈安全領域的領導者,random滿是驚喜和興奮。
“15年我在懸鏡安全負責攻防對抗時感受到的是一群年輕人的激情,哪怕時光走過數(shù)年,我回歸懸鏡安全后,仍然能感受到當初那群年輕人的激情和熱愛。我們在懸鏡安全常說堅守長期主義和擁抱變化,這不是口號,其實這就是子芽和懸鏡安全始終踐行的。”random依然用“純粹”來評價如今即將邁向十周年的懸鏡安全,“執(zhí)著于夢想,專注于興趣。”
基于當前所做的事情,我問random,懸鏡供應鏈安全情報中心隨著當下大趨勢的發(fā)展,它所覆蓋的能力可以發(fā)揮到哪些更大的價值?
random不假思索地回答:“從技術上講,數(shù)字供應鏈安全情報中心對供應鏈投毒攻擊風險、漏洞風險、開源組件停服斷供風險等進行深度溯源和關聯(lián)情報實時預警;從價值上講,我們的最終目標是通過精準可靠的情報預警和配套的代碼疫苗技術來幫助產(chǎn)業(yè)用戶高效治理數(shù)字化轉(zhuǎn)型過程中遇到的各類應用安全風險。我們常說‘安全左移’,但‘安全左移’不是目標,安全應該在任何需要它的地方,真正成為業(yè)務核心中的一部分。”
如果說“守護中國數(shù)字供應鏈安全”是懸鏡安全的使命,那“看得清,跟得上,防得住”則是懸鏡供應鏈安全情報中心的重任所在。
充滿不確定性的挑戰(zhàn),堅定的信念,random與懸鏡安全共同擘畫中國數(shù)字供應鏈安全的故事,未完待續(xù)。
硬科技的創(chuàng)新和普惠是推動人類社會發(fā)展的核心驅(qū)動力。隨著數(shù)字時代的快速發(fā)展,萬物互聯(lián)的數(shù)字應用在編程開發(fā)方式、應用協(xié)作發(fā)布模式、應用設計架構和基礎設施運行環(huán)境等四個方面發(fā)生著深刻的變化。在2023年8月的DSS2023 數(shù)字供應鏈安全大會上,子芽開創(chuàng)性地提出數(shù)字供應鏈安全的創(chuàng)新理論體系和實踐框架(DSS 2023硬核成果 | 懸鏡業(yè)內(nèi)首次定義數(shù)字供應鏈安全),在產(chǎn)業(yè)界影響深遠,數(shù)字供應鏈安全問題也隨著國家的進一步重視被上升到基礎設施安全高度來對待。
隨著懸鏡安全持續(xù)多次提前精準預警,諸如惡意Py包仿冒tensorflow AI框架實施后門投毒攻擊事件、惡意NPM包利用Windows反向shell后門攻擊開發(fā)者事件和惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊事件等,標志著懸鏡供應鏈安全情報中心憑借云脈XSBOM數(shù)字供應鏈安全大腦超強的精準預警能力正式向產(chǎn)業(yè)界首次公開。原本僅是居于幕后、致力于深度挖掘并溯源分析供應鏈安全漏洞、投毒事件、組件風險等供應鏈安全風險的供應鏈安全能力研究中心,由此正式公開亮相。此舉動不僅是懸鏡安全對全球數(shù)字供應鏈安全態(tài)勢監(jiān)測賦能積極響應,更是其身為數(shù)字供應鏈安全開拓者,推動全球數(shù)字供應鏈安全治理的重要舉措。
此次與之深度交談的正是懸鏡供應鏈安全情報中心的負責人——random 蔡智強,也是懸鏡安全技術合伙人,供應鏈安全情報中心的幕后大佬。
“最低調(diào)的頭號黑客”,這是子芽對random的評價之一。首創(chuàng)懸鏡數(shù)字供應鏈安全情報智能捕獲體系,牽頭挖掘?qū)汃R、雷克薩斯等多家全球知名車聯(lián)網(wǎng)頭部企業(yè)的眾多高危漏洞,首個寶馬集團數(shù)字化及IT研發(fā)技術獎獲得者,BlackHat USA頂級國際安全會議演講者,多次參與DEFCON CTF國際安全攻防大賽,這是random過去10年內(nèi)特別技術經(jīng)歷的冰山一角。與子芽、寧戈同為北京大學信息安全系的師兄弟,在校園里就是白帽極客技術的代表,他們和幾個師兄弟一起,不僅發(fā)起成立了“xmirror”戰(zhàn)隊,還成為“國信504紅隊”的攻防支撐力量,曾多次為國家關鍵信息基礎設施的重大活動安保提供了有力保障。
“random”是蔡智強從學生時期至今一直在圈內(nèi)沿用的id。問及當初為什么使用“random”,作為自己的id時,他笑道“網(wǎng)絡攻防對抗從來都是不確定的,魔高一尺,道高一丈,智慧的攻才是進階的防! ”
random在BlackHat USA 2019做技術分享
相比random自評是一個不善言辭的人,團隊伙伴則贊嘆他專注、執(zhí)著、心無旁騖。與技術大佬在一起搞研究突破,做自己感興趣的事,可能是白帽黑客們皆有的特質(zhì)之一。
少年初識,緣起未名湖畔
回顧研究生時期打攻防比賽的經(jīng)歷,random回憶到最早參與的全國性比賽是2013年研一期間參與信息安全與對抗技術競賽(ISCC)。“ISCC算是國內(nèi)比較早期舉辦的攻防比賽了,也是國內(nèi)知名的賽事之一。早期的ISCC更偏向于考驗個人能力,初賽是個人賽,決賽大概前25名進入線下組隊打團體賽,個人更喜歡團體賽的氛圍。”。北大研究生期間,random只要有閑暇時間,都會參與XCTF、BCTF、XDCTF、HCTF、RCTF等國內(nèi)攻防競技中,練練手感,刷刷腦力,自然成績也是不錯。
作為子芽的師弟,他們在北大讀研期間相識,當時作為實驗室負責人的子芽給random的印象非常深刻。談及對子芽的第一印象,random用了這樣幾個形容詞:“有創(chuàng)造力、純粹、簡單、具有很強的敏銳度和感染力”。和子芽的風格雖然不同,但他們都認為創(chuàng)造智能的攻防滲透模擬工具是更為重要的,可以更好將個人的網(wǎng)絡安全能力固化到自動化平臺上,創(chuàng)造更多能力均衡穩(wěn)健的白帽黑客,讓中國網(wǎng)絡安全水平整體拉高。
2015年,同樣也是研究生的random肩負起懸鏡紅藍對抗團隊負責人的重任,帶領技術師傅們完全支撐起“國信504紅隊”技術輸出的任務,在國家重大活動期間為重要政府門戶和關鍵信息基礎設施提供攻防演練、滲透測試攻擊模擬、二進制漏洞挖掘等關鍵支撐服務。
暫別,只為更好地重逢
為了進一步沉淀個人技術的厚度,random研究生畢業(yè)后加入了國內(nèi)某頂級安全實驗室擔任安全研究員,負責智能網(wǎng)聯(lián)汽車的漏洞挖掘與安全研究工作。
在這段經(jīng)歷中,random主要負責對智能網(wǎng)聯(lián)汽車進行漏洞挖掘及安全研究。“我們先后研究了一些國際知名的車型,沉淀了一些技術突破思路和方法論,在車載系統(tǒng)固件逆向分析和挖掘漏洞上收獲不少成果。”random把這些車看作是一個黑盒,沒有源代碼和調(diào)試接口,只能從一個黑客攻擊者的角度去挖掘汽車對外暴露的攻擊入口。通過對車機固件做二進制逆向分析,進而對車載的網(wǎng)絡、藍牙、WIFI以及手機互聯(lián)通信等服務進行安全分析和漏洞挖掘,最后利用漏洞來成功實現(xiàn)對車輛的遠程控制效果。
在全球智能汽車領域不斷取得新進展的同時,random也在不斷破解著更多知名車企的安全問題。在對某全球高端豪華汽車集團的深度挖掘漏洞與安全分析后,random帶領團隊發(fā)表多篇針對車廠的安全性研究成果,并被該汽車集團授予首個“數(shù)字化及IT研發(fā)技術獎”,與該汽車集團安全團隊一同受邀參與Black Hat黑帽大會,random在議題演講中首度公開了該車企多款車型的破解研究和技術細節(jié)。
r
andom本人
andom本人
random回憶這段白帽黑客的經(jīng)歷時,說到“我喜歡技術研究型工作,在那段工作經(jīng)歷中,除了偶爾幾次關鍵技術分享演講,還有一次與破解的這個汽車集團做了一次深入的技術交流,絕大部分時間,我都還是在實驗室做研究和驗證工作。”
random始終關注著懸鏡和子芽的發(fā)展動態(tài)。從某種層面來講,其實random從未離開過懸鏡。“我平時和子芽一直保持緊密聯(lián)系,而且其他的合伙人都是我的師兄弟,我們之間都比較熟悉。再加上經(jīng)常在朋友圈看到懸鏡相關的動態(tài),包括產(chǎn)品新技術的迭代、取得的斐然佳績,或是舉辦的各類行業(yè)性大會等等,懸鏡發(fā)展的每一個階段我都有關注到。”
對于時隔多年再次回歸懸鏡,random表示這是一個遵從內(nèi)心的自然結果。“我自己做白帽黑客已經(jīng)有十多年了,不管是上學期間,還是上一份研究工作期間,我都偏向于在做漏洞挖掘和深度利用。縱觀網(wǎng)絡安全行業(yè)發(fā)展的大趨勢,關鍵信息基礎設施的安全是國家網(wǎng)絡安全的基石,這促使我們守護它的使命感更強烈。我也會去思考,人工利用一個漏洞可真正實現(xiàn)的價值到底有哪些,而做數(shù)字供應鏈安全,我可以把過往的經(jīng)驗通過共同研究的自動化智能工具賦能給整個供應鏈上下游生態(tài),可以對數(shù)字供應鏈安全做一些實際的落地貢獻,可以切實地幫助到產(chǎn)業(yè)中的用戶們。”
“另外一個很重要的原因是我從子芽一次次的邀請中感受了他的執(zhí)著。”random笑道。在子芽和random的每次團聚中,他都會詳細地闡述懸鏡這些年正在做一些有意義的事及未來還要繼續(xù)挑戰(zhàn)突破的事。至于為什么要專注在供應鏈安全情報這件事上,random 也道出了其中的討論過程。“剛開始我和子芽討論的方向是要做中國首個能完整提供高精度、高實時、高可用的數(shù)字供應鏈漏洞情報預警能力的團隊,但隨著數(shù)字供應鏈安全投毒事件越來越頻發(fā)、關鍵信息基礎設施停服斷供風險越來越大,做好整個數(shù)字供應鏈安全情報預警服務的迫切性愈發(fā)突出了。”針對供應鏈安全的漏洞往往范圍更廣,破壞力更強,而對受供應鏈安全影響的用戶往往規(guī)模龐大,一旦受損造成的影響也更大。通過懸鏡供應鏈安全情報中心7*24實時輸出的數(shù)字供應鏈安全情報和OpenSCA開源數(shù)字供應鏈安全社區(qū),不僅可以幫助廣大開發(fā)者用戶解決實際數(shù)字供應鏈安全問題,還在一定程度上推動產(chǎn)業(yè)界對于數(shù)字供應鏈安全和國家信創(chuàng)應用安全的重視和發(fā)展。
攻擊視角下的供應鏈安全情報
長期的漏洞攻防研究讓random對網(wǎng)絡安全的認知更加透徹,在他看來,網(wǎng)絡安全的本質(zhì)是相通的,無論是針對車聯(lián)網(wǎng)、物聯(lián)網(wǎng)還是數(shù)字供應鏈的安全等,其本質(zhì)都是網(wǎng)絡安全風險與信任的動態(tài)平衡,關鍵點在于敏捷精確地感知威脅的能力,正所謂天下武功唯快不破!
因此,在解決情報輸出的精準性和實時性方面,random非常自信。他表示,多年的安全漏洞攻擊者視角讓他對安全漏洞更加敏感,在發(fā)現(xiàn)高危漏洞時,他牽頭開發(fā)出的供應鏈風險智能捕獲平臺能夠更全面地預測漏洞的利用方向,并給予用戶更可用的解決方案。
此外,數(shù)字供應鏈安全情報的精準實時輸出也是懸鏡安全實現(xiàn)數(shù)字供應鏈安全管控體系深度閉環(huán)的關鍵之一。此前,被業(yè)界廣泛應用的懸鏡源鑒SCA開源威脅管控平臺內(nèi)置離線部署的漏洞庫,對于增量漏洞庫的維護運營和實時更新往往受限于客戶的實際業(yè)務場景。而現(xiàn)在,供應鏈安全情報中心在捕獲并驗證風險之后,就可以實時推送同步到訂閱用戶側,實現(xiàn)小時級別的漏洞預警服務,從而讓用戶享受到更便捷實用的數(shù)字供應鏈安全體系化服務。
懸鏡供應鏈安全情報中心
據(jù)random介紹,懸鏡供應鏈安全情報中心是國內(nèi)首個專注數(shù)字供應鏈安全風險智能防御的情報研究中心,依托懸鏡安全團隊強大的數(shù)字供應鏈SBOM全生命周期溯源管理與監(jiān)測能力、AI應用安全大數(shù)據(jù)云端分析能力和OpenSCA開源數(shù)字供應鏈安全社區(qū)在代碼成分安全上的活躍貢獻,對全球數(shù)字供應鏈安全態(tài)勢、投毒攻擊事件、組件停服斷供風險等進行實時動態(tài)監(jiān)測與深度溯源分析。
作為數(shù)字供應鏈安全情報的底座,數(shù)字供應鏈安全主要的關注對象有三大部分,首先是數(shù)字應用安全,包括應用安全開發(fā)、開源治理及數(shù)字免疫;其次是基礎設施服務安全,包括云原生安全(CNAPP)和供應鏈環(huán)境安全;最后是供應鏈數(shù)據(jù)安全,包括API安全和應用數(shù)據(jù)安全。此外,random還提到,安全供應商的風險管理和網(wǎng)絡安全及響應能力也應該納入數(shù)字供應鏈安全的范疇。
“數(shù)字化是一個很龐大的概念,其中每一個細分的需求都值得被關注。”random表示,此前的供應鏈安全更多圍繞在軟件開發(fā)的過程中,而現(xiàn)在,隨著數(shù)字基礎設施的逐漸完善以及新技術的逐漸普及,供應鏈的范圍越來越大,其中的風險也越來越多,用戶的安全需求也越來越豐富。懸鏡發(fā)現(xiàn)了這些需求,并以情報的方式通過懸鏡供應鏈安全情報中心對外輸送。
當前,懸鏡供應鏈安全情報中心已經(jīng)積累了50萬+的漏洞情報及10萬+開源組件投毒情報數(shù)據(jù)。
random表示,目前情報中心的情報輸送主要有兩種形式,第一是內(nèi)置于懸鏡第三代DevSecOps數(shù)字供應鏈安全體系中,例如用戶通過使用懸鏡源鑒SCA平臺就可以很輕易地利用情報來優(yōu)化安全策略,前置發(fā)現(xiàn)應用安全風險。另一種則是通過懸鏡的OpenSCA開源數(shù)字供應鏈安全社區(qū)對外提供的SaaS訂閱接口,實時接收最新的供應鏈投毒、漏洞和停服情報,用戶可以根據(jù)自身需求,按需訂閱。
random作為受邀代表現(xiàn)場領獎
據(jù)random介紹,懸鏡安全將SCA視為數(shù)字供應鏈安全管理入口,管控數(shù)字供應鏈在引入、生產(chǎn)、分發(fā)、交付環(huán)節(jié)全流程數(shù)字資產(chǎn)的安全風險。在應急響應方面,懸鏡將SCA與供應鏈安全情報相結合,實現(xiàn)了數(shù)字供應鏈組件資產(chǎn)的持續(xù)性風險評估和緊急漏洞事件的快速響應。
在AI大模型技術的應用賦能方面,random表示,懸鏡在這塊已經(jīng)沉淀了不少成果,對大模型相關技術在數(shù)字供應鏈安全領域進行了非常有效的實踐探索。目前,情報中心已經(jīng)訓練出在數(shù)字供應鏈局部細分領域非常有效的安全大模型,極大地提高了供應鏈安全情報生產(chǎn)運營的質(zhì)量、效率和用戶體驗,包括對供應鏈情報預警數(shù)據(jù)的增強調(diào)優(yōu)、對漏洞代碼的智能修復推薦、對開源許可證的智能咨詢以及針對漏洞組件進行安全升級智能推薦等,預計在2024年5月份會正式上線“懸鏡云脈”智能供應鏈安全大腦的部分訪問服務。
對未來的研判
數(shù)字化的新技術、新趨勢,勢必會帶來新的安全問題,關于這點random深信不疑,懸鏡供應鏈安全情報中心也會持續(xù)地升級和迭代。random表示,以國產(chǎn)信創(chuàng)舉例,信創(chuàng)浪潮下勢必會引入大量的自研和開源代碼,這些代碼很可能會成為新的風險點。此外,AI大模型的普及和應用也會帶來新的安全風險,包括訓練數(shù)據(jù)投毒、開源大模型和AI智能體在開發(fā)、訓練、發(fā)布流程中引入的安全漏洞及惡意代碼等等。這些新的安全風險也會被納入數(shù)字供應鏈安全的范疇,對此,情報中心也將不斷創(chuàng)新和延伸。
除了要擴大情報中心廣度,細粒度也是下一階段的重點。random表示,目前,情報中心基本已經(jīng)覆蓋了開源應用的安全漏洞和惡意代碼投毒情報,但對于潛藏在二進制數(shù)字資產(chǎn)中的供應鏈安全問題往往更具隱蔽性和殺傷力,這方面的供應鏈安全情報需要更深更場景化的檢測分析能力,懸鏡安全對此已經(jīng)做好了準備。
此外,情報的智能適配也是懸鏡安全將要解決的目標。random提到,目前的情報更偏向于開發(fā)者,和OpenSCA開源數(shù)字供應鏈社區(qū)的進一步融合,讓情報中心可以更有目標性地推送特定的情報。這在很大程度上解決了傳統(tǒng)威脅情報適配性較差、無用或垃圾情報泛濫推送等問題。
對于個人的下一階段目標,random表示,首要目標是將現(xiàn)有的數(shù)字供應鏈安全情報服務體驗提升到更高的水平,和懸鏡的第三代DevSecOps數(shù)字供應鏈安全體系深度閉環(huán),讓用戶享受到更精準、更實時、更可用的情報預警服務。
結語-路漫漫其修遠兮
與幾年前采訪過的子芽和寧戈不同的是,random對于懸鏡安全的成長,既像是一個初創(chuàng)的親歷者,也像是一個見證者,還是一個重新回歸的老人。對于懸鏡安全歷經(jīng)數(shù)年間已然發(fā)展成為國內(nèi)數(shù)字供應鏈安全領域的領導者,random滿是驚喜和興奮。
“15年我在懸鏡安全負責攻防對抗時感受到的是一群年輕人的激情,哪怕時光走過數(shù)年,我回歸懸鏡安全后,仍然能感受到當初那群年輕人的激情和熱愛。我們在懸鏡安全常說堅守長期主義和擁抱變化,這不是口號,其實這就是子芽和懸鏡安全始終踐行的。”random依然用“純粹”來評價如今即將邁向十周年的懸鏡安全,“執(zhí)著于夢想,專注于興趣。”
基于當前所做的事情,我問random,懸鏡供應鏈安全情報中心隨著當下大趨勢的發(fā)展,它所覆蓋的能力可以發(fā)揮到哪些更大的價值?
random不假思索地回答:“從技術上講,數(shù)字供應鏈安全情報中心對供應鏈投毒攻擊風險、漏洞風險、開源組件停服斷供風險等進行深度溯源和關聯(lián)情報實時預警;從價值上講,我們的最終目標是通過精準可靠的情報預警和配套的代碼疫苗技術來幫助產(chǎn)業(yè)用戶高效治理數(shù)字化轉(zhuǎn)型過程中遇到的各類應用安全風險。我們常說‘安全左移’,但‘安全左移’不是目標,安全應該在任何需要它的地方,真正成為業(yè)務核心中的一部分。”
如果說“守護中國數(shù)字供應鏈安全”是懸鏡安全的使命,那“看得清,跟得上,防得住”則是懸鏡供應鏈安全情報中心的重任所在。
充滿不確定性的挑戰(zhàn),堅定的信念,random與懸鏡安全共同擘畫中國數(shù)字供應鏈安全的故事,未完待續(xù)。
詳情請關注安在新媒體,一家信息安全領域媒體,以“做有內(nèi)涵的泛黑客媒體”為方向,線上通過自媒體,采訪網(wǎng)絡安全領域人物梳理行業(yè)脈絡,通過介紹他們的經(jīng)歷、感悟、對行業(yè)的看法等來剖析網(wǎng)絡安全發(fā)展的脈絡;致力于建立完整的信息發(fā)布矩陣,覆蓋微信、微博、知乎等主流自媒體渠道。
官網(wǎng):http://anzerclub.com/
市場部聯(lián)系(廠商):徐倩(微信:Madeline_Sue)
市場部聯(lián)系(甲方):Tina(微信:xuqingqing823125689 )及 Enco(微信:Anzer10)