北京時(shí)間10月10日至10月11日，由騰訊安全發(fā)起，騰訊安全科恩實(shí)驗(yàn)室與騰訊安全平臺(tái)部聯(lián)合主辦，騰訊安全學(xué)院協(xié)辦的2018騰訊安全國(guó)際技術(shù)峰會(huì)（TenSec2018）在深圳順利舉辦。來(lái)自高通、ARM、微軟、英特爾、NXP、趨勢(shì)科技、知道創(chuàng)宇等全球一線廠商的頂級(jí)安全極客接連登場(chǎng)，就物聯(lián)網(wǎng)、智能網(wǎng)聯(lián)汽車、云計(jì)算、區(qū)塊鏈等時(shí)下熱門(mén)的研究領(lǐng)域帶來(lái)前沿技術(shù)分享。

自2016年開(kāi)始，騰訊安全國(guó)際技術(shù)峰會(huì)（TenSec）至今已連續(xù)舉辦三屆，逐漸成為推進(jìn)國(guó)際廠商和安全社區(qū)合作的長(zhǎng)期溝通合作平臺(tái)。通過(guò)技術(shù)探討和共享不斷推動(dòng)全球互聯(lián)網(wǎng)安全升級(jí)，更好地守護(hù)新興互聯(lián)網(wǎng)形態(tài)和用戶安全。

本次峰會(huì)吸引了福布斯30under30入選者、“黑客奧斯卡”P(pán)wnie Awards得主、全球首個(gè)寶馬集團(tuán)數(shù)字化及IT研發(fā)技術(shù)獎(jiǎng)得主等十來(lái)位頂尖極客和安全專家同臺(tái)亮相，合力呈現(xiàn)了一場(chǎng)高水準(zhǔn)的信息安全技術(shù)盛宴。此外，中國(guó)工程院院士方濱興，騰訊安全科恩實(shí)驗(yàn)室負(fù)責(zé)人吳石，騰訊云副總裁、騰訊安全平臺(tái)部負(fù)責(zé)人、騰訊安全學(xué)院副院長(zhǎng)楊勇等也出席峰會(huì)現(xiàn)場(chǎng)，并就當(dāng)下網(wǎng)絡(luò)安全形勢(shì)發(fā)表看法。

方濱興認(rèn)為，網(wǎng)絡(luò)安全是國(guó)際性的，應(yīng)該從國(guó)際視野看問(wèn)題。希望國(guó)際上的權(quán)威、大咖都聚集一堂，分享心得和技術(shù)，同時(shí)也討論新的挑戰(zhàn)，這對(duì)進(jìn)一步提高安全防御能力，進(jìn)一步為公民提供更可靠的服務(wù)來(lái)說(shuō)是非常重要的。吳石和楊勇也從舉辦TenSec的主旨出發(fā)，強(qiáng)調(diào)了行業(yè)內(nèi)外應(yīng)該持續(xù)加強(qiáng)交流和合作。

區(qū)塊鏈、IoT、云、虛擬化? 四大前沿領(lǐng)域最新成果披露

對(duì)于前沿領(lǐng)域的探索和突破一直是TenSec關(guān)注的焦點(diǎn)，尤其是誕生以來(lái)就被認(rèn)為是“最安全的技術(shù)”——區(qū)塊鏈的安全。根據(jù)《2018上半年區(qū)塊鏈安全報(bào)告》顯示，上半年區(qū)塊鏈因安全問(wèn)題造成的經(jīng)濟(jì)損失總計(jì)高達(dá)27億美元。本屆峰會(huì)上，知道創(chuàng)宇CEO趙偉用“佛系”理念闡釋區(qū)塊鏈?zhǔn)澜绲陌踩^，獨(dú)特角度引起現(xiàn)場(chǎng)觀眾的興趣。他認(rèn)為，僅靠傳統(tǒng)網(wǎng)絡(luò)安全和信息安全的剛性安全不足以完全覆蓋區(qū)塊鏈的安全保障范圍，“需要以一種柔性安全的視角去對(duì)待”。

物聯(lián)網(wǎng)安全方面，提出首個(gè)業(yè)內(nèi)通用框架——平臺(tái)安全架構(gòu)（PSA）的英國(guó)ARM公司高級(jí)主管Samuel Chiang亮相峰會(huì)，現(xiàn)場(chǎng)深度解讀了PSA如何減輕物聯(lián)網(wǎng)威脅，以及HW/ SW規(guī)范和可信固件開(kāi)源參考實(shí)施的最新信息。

作為前沿技術(shù)安全研究團(tuán)隊(duì)，Tencent Blade Team近年來(lái)在智能設(shè)備安全研究方面取得了大量成果，騰訊安全平臺(tái)部總監(jiān)、Tencent Blade Team負(fù)責(zé)人Lake Hu則重點(diǎn)介紹了團(tuán)隊(duì)研究過(guò)的智能設(shè)備漏洞案例，如智能家居、智能樓宇設(shè)備的攻防、智能音箱的破解等，同時(shí)以此總結(jié)了智能設(shè)備的未來(lái)主要風(fēng)險(xiǎn)點(diǎn)以及IoT安全體系建設(shè)思路。在時(shí)下應(yīng)用越來(lái)越廣泛的云計(jì)算和虛擬化領(lǐng)域，來(lái)自Intel、微軟安全響應(yīng)中心的安全專家也分享了高質(zhì)量議題。

天才少年極客解剖iOS越獄 集中探討系統(tǒng)安全核心難題

本屆峰會(huì)的十五個(gè)議題中，有多個(gè)議題從不同領(lǐng)域集中探討了系統(tǒng)安全。其中，Corellium兩位聯(lián)合創(chuàng)始人聚焦獨(dú)立于iOS的系統(tǒng)——SEPOS。在此之前，業(yè)內(nèi)沒(méi)有任何人攻破過(guò)，也沒(méi)有任何渠道可以下載SEPOS固件，該議題也是在全球范圍內(nèi)首次發(fā)表對(duì)于這個(gè)固件內(nèi)部運(yùn)作機(jī)制的揭秘。

來(lái)自意大利的Luca Todesco少年成名，曾多次成功越獄iOS、PS4和Switch。在這次的峰會(huì)上，這位20出頭的天才少年回顧了他“半生”的越獄生涯，并全方位地介紹了蘋(píng)果iPhone XS等最新機(jī)型上新加入的高級(jí)防御機(jī)制——Pointer Authentication Codes。這位在iOS系統(tǒng)發(fā)布了基于硬件保護(hù)的KTRR保護(hù)之后，唯一一次完全繞過(guò)KTRR的獨(dú)立極客令在場(chǎng)嘉賓印象深刻。

在基帶這類底層但是復(fù)雜度又不斷提高的系統(tǒng)中，業(yè)界一直缺乏有效的Fuzzing手段。高通作為移動(dòng)設(shè)備最主要的基帶供應(yīng)商，對(duì)基帶安全保持著高度重視，高通柏林團(tuán)隊(duì)的高級(jí)工程師Tomasz在現(xiàn)場(chǎng)介紹了如何運(yùn)用高效率的Fuzzer來(lái)保證代碼的安全性。在智能網(wǎng)聯(lián)汽車領(lǐng)域，來(lái)自NXP（恩智浦）的汽車安全技術(shù)總監(jiān)Timo van Roermund從汽車單片機(jī)切入，介紹了汽車信息安全的重要性和恩智浦的汽車安全方法及其核心安全原則；同時(shí)，他還著重介紹了NXP的HSM方案，讓現(xiàn)場(chǎng)觀眾對(duì)汽車安全有了全景式的了解。

多場(chǎng)景結(jié)合，用安全技術(shù)守衛(wèi)網(wǎng)絡(luò)安全

除了關(guān)注前沿技術(shù)外，TenSec2018也深度探討了信息安全技術(shù)在實(shí)踐中的應(yīng)用。例如，騰訊云高級(jí)研究員Bink Chen將反欺詐技術(shù)與營(yíng)銷場(chǎng)景結(jié)合，深度剖析線上線下?tīng)I(yíng)銷活動(dòng)中黑產(chǎn)變現(xiàn)的情況，并分享了騰訊云天御在打擊黑產(chǎn)方面的安全能力輸出——基于騰訊海量的服務(wù)和黑產(chǎn)威脅情報(bào)監(jiān)測(cè)，騰訊云天御構(gòu)建了完備畫(huà)像系統(tǒng)，面向電商、智慧零售、游戲、直播、銀行等行業(yè)提供完整的業(yè)務(wù)安全解決方案。

在內(nèi)網(wǎng)安全建設(shè)方面，騰訊企業(yè)IT部安全運(yùn)營(yíng)中心總監(jiān)蔡晨（Gemini Cai）闡述了從有界到無(wú)界的新一代企業(yè)安全防御之道，展示了無(wú)邊界網(wǎng)絡(luò)騰訊版本的演變，分享當(dāng)云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)已改變傳統(tǒng)網(wǎng)絡(luò)邊界，企業(yè)該如何快速響應(yīng)安全趨勢(shì)變化，將“零信任”完整落地的探索與實(shí)踐。

騰訊安全科恩實(shí)驗(yàn)室高級(jí)安全研究員James Fang，帶來(lái)的議題分享更是實(shí)踐應(yīng)用的典型。他介紹了科恩實(shí)驗(yàn)室如何將近年來(lái)攻擊方向的研究成果轉(zhuǎn)化為防御技術(shù)，進(jìn)而形成可用的工具和產(chǎn)品，包括針對(duì)IoT固件和針對(duì)Apk的全新云端自動(dòng)化智能檢測(cè)工具，安卓以及Linux內(nèi)核加固產(chǎn)品等，可以應(yīng)用在保護(hù)更多的IoT、汽車等前沿?cái)?shù)字化行業(yè)之中，進(jìn)而保護(hù)全球更多用戶享受更安全的先進(jìn)技術(shù)。

兩天十五場(chǎng)精彩的議題分享，讓高質(zhì)量技術(shù)成果在TenSec這個(gè)全球性技術(shù)對(duì)話平臺(tái)上得以充分展現(xiàn)，各領(lǐng)域之間最前沿的技術(shù)相互碰撞，也探索出更多的可能。與此同時(shí)，伴隨著國(guó)際間的信息安全技術(shù)不斷的交流和探索，全球信息安全能力建設(shè)也將獲得更多動(dòng)力。

本次峰會(huì)的主辦方，騰訊安全科恩實(shí)驗(yàn)室負(fù)責(zé)人吳石表示：騰訊致力于“連接各行各業(yè)”，希望用騰訊的安全能力，來(lái)幫助各行業(yè)在數(shù)字化轉(zhuǎn)型過(guò)程中免受網(wǎng)絡(luò)安全問(wèn)題的困擾。未來(lái)，騰訊安全也會(huì)進(jìn)一步開(kāi)放自身的核心能力，助力社會(huì)各界進(jìn)行安全能力建設(shè)。