明天,又是 1024 程序员节,又是一年一度 GeekPwn 国内平安极客大赛举办的大日子。
往年, 腾讯平安携手 GeekPwn,联结安信天下、任子行、深服气、拓尔思、卫士通、晓得创宇等,独特发动首届新基建平安大赛 ,从极客视角把脉新基建平安建设,通过攻防预演,揭示 5G、AI、云计算等新基建的重点行业中可能遇到的平安威逼,定位并解决平安问题,以晋升相干厂商和行业的安全性,为新基建的平安倒退保驾护航。
(看到图是不是悔恨没到现场的 GeekPwn2020)
来自寰球的顶级平安极客,不仅带来了他们的新基建场景下前沿平安危险研究成果,并在现场演出了一场攻防大秀。
而云计算作为新基建重要的一环,其安全性不容小觑, 腾讯平安再度联结 GeekPwn,继 2019 年发动首届云平安挑战赛之后,推出了第二届云平安挑战赛。
在新基建平安大赛的赛场上,战况那叫一个精彩强烈。
01
5G、车联网、主动驾驶、物联网……
十一大挑战我的项目引爆现场
在 GeekPwn 2020 的舞台上,新基建平安大赛总共制订了 11 个前沿的新基建利用相干较量,供到场极客们现场展现研究成果,并就后果进行互相 PK:
- 多个品牌 LTE 基站(4G/5G)设施及浸透
- 攻破(绕过)箱包安检仪(X 光机)
- 烦扰主动驾驶汽车雷达枪
- 近程侵入操控植保无人机
- 5G 网络协议攻破
- 车联网汽车近场(蓝牙)破绽利用
- 汽车后装数字钥匙破解
- 破解汽车充电桩实现收费充电
- 智能电表攻破(近程拉闸)
- 基于侧信道的 DNS 缓存净化攻打
- 篡改停车场免费零碎
先说 5G,腾讯平安玄武实验室此前钻研出了一种攻打门路,通过利用未知破绽,能够劫持 5G 网络下 TCP 传输的近程攻打。黑产团伙能够利用这个破绽施行多种形式的攻打,例如伪造银行向受害者发送短信告知异样交易,疏导受害者去点击一个链接,实际上这个链接被植入木马,能够窃取受害者银行卡信息;也有可能伪造受害者的手机号向其家人发短信,提出转账或者其余要求;甚至劫持任意 HTTP 拜访,造成用户账号密码等敏感信息泄露。
(新基建平安大赛 – 5G 网络协议攻破挑战)
在公共设施服务方向中,腾讯平安平台部也在本次大赛演出了一场对于汽车充电桩的破解挑战。攻打方通过未知破绽间接破解充电桩的充电协定,实现“盗刷”操作,间接帮忙攻击者实现“收费”充电。
汽车车辆自身也是本次会议上的一个新基建利用重点方向,从一种通过近场车联网,也就是蓝牙的地位破绽,来间接破解汽车的车锁零碎;另外一个是低成本、小型化地实现对主动驾驶汽车的雷达烦扰;最初是停车,间接利用相干的地位破绽,近程攻破停车场的免费零碎。
其余方向的研究成果和案例还有很多:利用地位破绽近程管制植保无人机,通过批改无人机的航行门路,影响植保成果;利用汽车后装钥匙破绽,间接实现对于汽车零碎近程攻打;利用自制的静默安装,烦扰左近监听录音设施,确保信息沟通的保密性等等。
总的来说,尽管只是第一次举办,曾经有十分多的极客参加到“新基建”平安大赛中来,与平安企业一起为新基建的建设“把脉”,助力夯实新基建的平安底座。
02
云上实在靶场大练兵
七大战队云上火拼
连续去年的,基于实在云环境的云平安挑战赛落地,往年的赛事再次降级,赛制笼罩云计算“全栈”环境。选手们在更多元、简单的云计算环境中,进行实战反抗。
(第二届云平安挑战赛获奖战队)
在线上热身赛中解围的七支战队在云端开展长达 8 小时的终极对决后,Emoji 战队以 10209.7 的总积分,取得 GeekPwn 第二届云平安挑战赛的冠军。
在较量现场, 腾讯云平安副总经理李滨就腾讯云平安建设的实际和云鼎实验室的前沿钻研,正式公布云平安平安发展趋势: 云原生平安衰亡、零信赖倒退元年、以数据为核心的平安体系、新身份认证技术、持续性准实时平安反抗、软硬件供应链平安、DevSecOps 方兴未艾、数据安全“新”合规、多云协同的云平安治理模式。
(腾讯平安公布云平安九大趋势)
此前,腾讯平安面向行业公布了首个云原生平安体系图谱,在往年的腾讯寰球数字生态大会·CSS 互联网安全首领峰会 - 产业专场上,腾讯平安还联结信通院、天融信、绿盟科技、深服气等联结公布了国内首个《“云”原生平安白皮书》,联合国内产业数字化转型特点,对云原生平安做出了定义。
而就在三天前, 腾讯云正式成为首批通过信通院大规模容器集群性能测试评估的云服务商,取得最高级别“卓越级”认证。 腾讯云容器服务凭借优良的整体防护能力同时播种“容器平台平安能力”的最高级别——先进级认证。基于腾讯云在容器性能和平安能力建设方面的丰盛实践经验,腾讯云受邀成为信通院最新成立的云原生平安工作组的核心成员。
摸索了在新基建疾速倒退之下,技术疾速迭代、法律法规相继出台,云平安建设面临的全新挑战,为企业云上平安建设和云平安技术倒退方向提供新指南。
03
凋谢“腾讯级”平安能力
助力产业平安普惠
平安企业必须要有本人的担当。
(第二届云平安挑战赛较量现场)
腾讯平安通过一直同寰球顶尖赛事平台单干,一方面锤炼本身的平安能力,丰盛在前沿平安畛域钻研与摸索,另一方面,也在一直地为护航产业平安进一步积攒技术教训和优秀人才,搭建更加欠缺的产业平安生态。
往年的 DEF CON CTF,腾讯 A 0 E 联结战队以 970 分的问题从 16 支战队中怀才不遇,斩获总冠军,刷新了中国战队在 DEF CON CTF 的最好纪录。DEF CON CTF 是网络安全畛域公认最出名、最具影响力的网络安全技术比赛。因较量强调团队配合且具备极强的对抗性,也被誉为网络安全畛域的“世界杯”。这次夺冠,也代表中国 CTF 战队程度再次往前迈了一大步。
以云平安为例,目前腾讯平安已基于对腾讯云平台本身的平安建设与前沿钻研,搭建出了一套笼罩云原生平安治理、数据安全、利用平安、计算平安和网络安全五大方面的云原生平安防护体系。
借助这一体系,腾讯平安不仅可能为腾讯云平台提供平安保障;还能为云上租户提供“开箱即用”的原生平安防护产品,帮忙企业降本增效,晋升整体的平安水位。
但咱们也深知,平安的前路没有起点,只有远方。
将来,咱们将持续保持与 GeekPwn 国内平安极客大赛的策略单干关系,致力于开掘平安技术人才,积攒前沿平安技术,摸索产业智能与生产智能潜在的平安问题。携手生态搭档将大赛上预演的攻防成绩减速落地,为产业互联网倒退提供更加欠缺的平安防护体系,助力产业健康成长。