10月24日,GeekPwn 2020新基建安全大赛在上海圆满落幕。在这个由中国产业互联网发展联盟指导,腾讯安全联合安信天行、任子行、深信服、拓尔思、卫士通、知道创宇等多家安全企业发起,国际领先安全团队KEEN主办的国内首个新基建安全大赛中,11个挑战及展示项目轮番上台,预演了5G、云计算、车联网、智慧农业、智慧园区等新基建热点领域的安全威胁。

本次GeekPwn舞台所展现的项目,不仅呈现了新基建典型场景的安全威胁,也折射出数字新基建,安全先行的思维和意识尤为重要。实际上,数字时代的安全威胁一旦发生,其危害相对于传统安全是指数级增长,而且具有典型的产业链属性,破坏性极大。新基建安全建设需要具有“治未病”的安全思维,需要培养具有广域知识体系的攻防人才,更需要厂商协同构建安全生态。

十一大研究成果重磅亮相,揭示新基建安全亟需新思维

新基建安全大赛上的挑战项目通过直观的结果呈现,让业界及社会关注这些场景背后折射的,产业发展掣肘、百姓财产损失、生命安全受到威胁等国计民生的安全问题。

例如在备受关注的5G安全方面,来自腾讯安全玄武实验室的安全专家演示了一场利用未知漏洞成功劫持5G网络下TCP传输的远程攻击。据玄武实验室介绍,这项漏洞是通信协议漏洞,不依赖于任何特定设备或者网络环境,只要攻击者和被攻击者处于同一个基站覆盖下就可以完成攻击,并且整个过程用户侧毫无感知。

这无疑揭示了整个新基建下通信系统的安全隐患。根据工信部最新数据,截至9月底,全国5G基站累计建成并开通超过60万个,逐渐覆盖全国主要城市,并向有条件的重点县镇延伸。一旦不法分子成功发起攻击,后果无法估量。

除此之外,本次新基建安全大赛上针对车联网、植保无人机、安检仪、智能电表等单个目标的破解挑战,都“牵一发而动全身”,影响的将是破解目标背后的整条产业链安全。无法承受之重,无疑让参与建设新基建安全的各方主体,需要进一步在“治未病”的安全思维上达成共识,将风险消灭在萌芽之中。

当然,这并不仅仅意味着新基建下的安全战场需要愈加艰深和复杂的技术,围绕场景建立全面多维的防御体系才是核心目标。例如在本次新基建安全大赛上,选手利用小型、低成本的雷达干扰枪,就实现了对自动驾驶汽车雷达系统的更改和设备干扰,使其无法及时启动前方碰撞预警和自动紧急制动系统,从而直撞前方障碍物。

正如GeekPwn负责人杨泉所说,新基建大赛上出现的一些项目已经偏向物理层面,这其实已经开始跟以往涉及到的技术本身有区别,但这恰恰是我们所鼓励的,只要这个项目能暴露一定的安全问题,哪怕是一种新方法、新尝试,技术难度不是特别高,都是值得鼓励的。

举生态之力,加速新基建“安全先行”

站在“攻击方”视角先将威胁预演,提前暴露风险,无疑是提升新基建安全防御体系的必要路径。而这正是GeekPwn的核心价值所在。在过去七年间,从开始关注智能生活,到前沿AI安全,再到如今的新基建安全, GeekPwn秉承“无所不Pwn”的极客精神,已负责任地披露了数百个高危漏洞,帮助厂商修复安全问题,避免广大用户遭受信息泄露、财产损失。

以GeekPwn为枢纽构建的白帽黑客、安全厂商、企业之间的互动路径,也显著加速了安全生态的构建。更值得关注的是,这一粘性在各业态升级的新基建趋势下,并没有变弱。在今年的新基建安全大赛中,每一个攻破项目中,我们依然能看到GeekPwn将配合选手把详细的漏洞细节报告提交给相应的厂商,携手提升安全性。

但与此同时,业界同样需要认识到,新基建下的安全风险是多维的、复合的,超过网络安全层面之外的。构建能力互补、合作共建,以生态协同为整体的模式应当成为安全行业发展的共识。这也是本次大赛能得到腾讯安全以及多家安全企业携手发起的原因所在。

数字时代,新基建版图才刚刚开始大规模的构筑。面对衍生于其中的更多安全未知,GeekPwn 愿意携手合作伙伴共同探索产业合作与发展、着重安全生态价值,通过生态形成合力,集成各自的专业,共同对外输出保护新基建的网络安全,建立完备的安全维护机制,从根本上解决新基建当中的安全问题。