腾讯蓝军：捍卫网络安全之军

原创
作者：赵立京 2019-05-22 11:50:04

云计算 一直以来蓝军和红军的对抗都非常激烈，有某一段时间可以说是天天都在进行高强度的对抗，比如说上午蓝军成功绕过红军监测，中午红军优化了监测策略，成功发现蓝军攻击，下午蓝军又想到办法继续突破红军。

【51CTO.com原创稿件】维多利亚州政府3万名雇员个人信息外泄；万豪酒店5亿客户数据泄漏；10多款ios应用被发现与安全恶意软件有染； TLS 1.2 协议现漏洞，近3000网站受影响；英特尔CPU再现高危漏洞，得到官方证实可泄漏私密数据……2019年以来，网络安全事件频发。3月份召开的十三届全国人大二次会议上，政府工作的报告中三提“信息”，涉及到信息技术发展、信息基础设施建设和个人信息保护。的确，网络安全态势变得越来越复杂，数据泄露、DDoS等事件愈演愈烈，而即将到来的5G/IPv6/IoT时代也将对互联网安全格局带来深刻的影响。

于此同时，为了维护网络安全，一款款强大的安全工具应运而生，但并不是所有漏洞都能通过自动化工具检测发现。因此，国内外都在如火如荼地开展网络安全实战演练。成立蓝军开展人工渗透测试和红蓝对抗实战演练，以攻促防，提前发现潜在风险，协助提升业务系统安全性和完善安全系统能力，则可以更有效抵御黑客。在这样的背景下，腾讯蓝军诞生了。

腾讯蓝军（Tencent Force）由腾讯TEG安全平台部于2006年组建，十余年来专注于前沿安全攻防技术研究、腾讯网络安全实战演练、腾讯业务系统安全评估等方面，站在APT黑客的视角去（在内部）模拟攻击，全方位检验安全防护策略、响应机制的充分性与有效性，发现业务系统的潜在风险，提出解决方案及协助改进。

近日，记者采访了TSRC技术负责人、腾讯蓝军负责人钟武强，讲述了腾讯蓝军这些年的故事。

[[266269]]

钟武强，id小五，TSRC技术负责人、腾讯蓝军负责人，2003年开始接触黑客攻防技术，从业以来主要负责应急响应、渗透测试、安全评估等工作。

六大措施解决人力不足的困难

用人工渗透测试和红蓝对抗实战演练，以攻促防，听起来很美妙，但是刚过了20岁生日的腾讯，拥有丰富的产品线，业务变化非常大，代码迭代非常快，如果每次发布或者更新都施展人工渗透测试的话，蓝军人力肯定是难以支撑。据钟武强介绍，腾讯蓝军主要通过六个方面来克服这个困难：

首先是排优先级，优先对重点业务、紧急业务开展渗透，保障重点业务和广大用户安全。

第二，让业务同事详细梳理和提供项目背景、业务架构、业务已有的安全措施、业务重点关注的风险点等等，有利于蓝军快速全面熟悉业务，以便针对性的制定安全检查项，或者高效开展渗透。

第三，指导业务同事使用公司自主研发的漏洞扫描器（代号“洞犀”，经过多年优化，漏洞检测能力很成熟）进行自动化扫描，以及按照安全检查项进行自检，让业务同事一起积极参与进来，在这过程中能够逐步提升业务同事的安全开发意识，也从根本上有效减少后续漏洞的产生。

第四，借助公司其他兄弟安全团队的力量，比如说Tencent Blade Team（国际知名安全团队，专注前沿领域的前瞻安全技术研究），与腾讯蓝军联手一起渗透业务。而腾讯红军少部分成员有时也会临时转变角色，和蓝军一起研究如何攻破自己研发的防御（代号“洋葱”，经过多年优化，检测能力很全面），红蓝军相互学习，共同快速提升。

第五，引进或培养安全人才，钟武强表示，目前腾讯蓝军一直在持续招聘志同道合的人才。

第六，借助外部安全研究员、情报员的力量，鼓励在安全可靠的前提下和腾讯蓝军并肩作战，一起发现腾讯外网业务安全隐患和防护缺陷。钟武强表示，至今已经有国内外数万名安全技术人员参与进来。

实战演练中的难忘故事

从成立至今的13年里，从理论到实践，腾讯蓝军经历了无数次的攻防实战演练，对QQ、QQ空间、微信、支付、小程序、腾讯云、游戏等重要业务都开展过渗透测试，发现并消除了大量潜在安全风险。让钟武强记忆犹新的是在微信小程序即将正式上线前，微信团队邀请蓝军从腾讯深圳总部去微信广州总部驻场，开展特训营，十多天里，大家吃住在一起，通力合作，对小程序开展全面的渗透测试，提前发现安全隐患并完成修复，保障了小程序平台的安全性，为小程序正式发布保驾护航。

[[266270]]

一直以来蓝军和红军的对抗都非常激烈，有某一段时间可以说是天天都在进行高强度的对抗，比如说上午蓝军成功绕过红军监测，中午红军优化了监测策略，成功发现蓝军，下午蓝军又想到办法继续突破红军。红蓝双方你追我赶，相互切磋，努力提升公司安全防护体系，这在腾讯人的眼里是一件非常刺激和有意义的事。

与白帽子一起捍卫网络安全

做为腾讯蓝军的扩展延伸，2012年5月31日，腾讯正式推出了TSRC（安全应急响应中心），这是国内企业自建的安全应急响应平台，主要负责腾讯相关的漏洞或应急处置，包括收集漏洞与攻击情报，评估安全风险，以及推动止损、修复等工作。TSRC平台一经推出，就吸引了白帽子们的积极参与，上线首月，就有38位白帽子报告了上百个漏洞。这些拥有强大技术实力的白帽子可以说是腾讯外部蓝军。

TSRC一直倡导漏洞发现者直接向官方提交漏洞，鼓励那些崇尚黑客精神的技术极客转变为安全生态的建设者。六年多时间里，大量白帽子与腾讯携手，共同捍卫了全球亿万用户的信息、财产安全。同时，为了吸引更多海外白帽子共同加入网络安全事业，腾讯TSRC于2018年7月5日对国际版进行了全新改版。据钟武强透露，后续TSRC将和白帽子展开更深入的合作，不限于邀请TSRC核心白帽子参与业务正式上线前的安全众测，规避上线后的安全风险；开展安全系统对抗赛，进一步测试红蓝对抗情况。TSRC还将参加数个国际安全会议，以实力吸引更多的海外白帽子加入，共同守护世界网络安全。 

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】