2023年2月,懸鏡安全正式對外公開了供應鍊安全情報中心,這是國内首個數字供應鍊安全情報研究中心。五年前,懸鏡安全創始人兼CEO子芽,這位未名湖畔的築夢人,接受了安在的專訪,那時的懸鏡安全正處在代碼疫苗技術十年磨一劍的産品商業化應用落地的實踐探索階段;兩年前,懸鏡安全CTO甯戈同樣也接受了安在的采訪,那時的懸鏡安全已經完成了數億元的B輪融資,已迅猛發展為DevSecOps數字供應鍊安全領域的頭部廠商。
硬科技的創新和普惠是推動人類社會發展的核心驅動力。随着數字時代的快速發展,萬物互聯的數字應用在程式設計開發方式、應用協作釋出模式、應用設計架構和基礎設施運作環境等四個方面發生着深刻的變化。在2023年8月的DSS2023 數字供應鍊安全大會上,子芽開創性地提出數字供應鍊安全的創新理論體系和實踐架構,在産業界影響深遠,數字供應鍊安全問題也随着國家的進一步重視被上升到基礎設施安全高度來對待。
随着懸鏡安全持續多次提前精準預警諸如惡意Py包仿冒tensorflow AI架構實施後門投毒攻擊事件、惡意NPM包利用Windows反向shell後門攻擊開發者事件和惡意Py元件tohoku-tus-iot-automation開展竊密木馬投毒攻擊事件等,标志着懸鏡供應鍊安全情報中心憑借雲脈XSBOM數字供應鍊安全大腦超強的精準預警能力正式向産業界首次公開。原本僅是居于幕後、緻力于深度挖掘并溯源分析供應鍊安全漏洞、投毒事件、元件風險等供應鍊安全風險的供應鍊安全能力研究中心,由此正式公開亮相。此舉動不僅是懸鏡安全對全球數字供應鍊安全态勢監測賦能積極響應,更是其身為數字供應鍊安全開拓者,推動全球數字供應鍊安全治理的重要舉措。
此次與之深度交談的正是懸鏡供應鍊安全情報中心的負責人——random 蔡智強,也是懸鏡安全技術合夥人,供應鍊安全情報中心的幕後大佬。
“最低調的頭号黑客”,這是子芽對random的評價之一。首創懸鏡數字供應鍊安全情報智能捕獲體系,牽頭挖掘寶馬、雷克薩斯等多家全球知名車聯網頭部企業的衆多高危漏洞,首個寶馬集團數字化及IT研發技術獎獲得者,BlackHat USA頂級國際安全會議演講者,多次參與DEFCON CTF國際安全攻防大賽,這是random過去10年内特别技術經曆的冰山一角。與子芽、甯戈同為北京大學資訊安全系的師兄弟,在校園裡就是白帽極客技術的代表,他們和幾個師兄弟一起,不僅發起成立了“xmirror”戰隊,還成為“國信504紅隊”的攻防支撐力量,曾多次為國家關鍵資訊基礎設施的重大活動安保提供了有力保障。
“random”是蔡智強從學生時期至今一直在圈内沿用的id。問及當初為什麼使用“random”,作為自己的id時,他笑道“網絡攻防對抗從來都是不确定的,魔高一尺,道高一丈,智慧的攻才是進階的防! ”
圖 1 random在BlackHat USA 2019做技術分享
相比random自評是一個不善言辭的人,團隊夥伴則贊歎他專注、執着、心無旁骛。與技術大佬在一起搞研究突破,做自己感興趣的事,可能是白帽黑客們皆有的特質之一。
少年初識,緣起未名湖畔
回顧研究所學生時期打攻防比賽的經曆,random回憶到最早參與的全國性比賽是2013年研一期間參與資訊安全與對抗技術競賽(ISCC)。“ISCC算是國内比較早期舉辦的攻防比賽了,也是國内知名的賽事之一。早期的ISCC更偏向于考驗個人能力,初賽是個人賽,決賽大概前25名進入線下組隊打團體賽,個人更喜歡團體賽的氛圍。”。北大研究所學生期間,random隻要有閑暇時間,都會參與XCTF、BCTF、XDCTF、HCTF、RCTF等國内攻防競技中,練練手感,刷刷腦力,自然成績也是不錯。
作為子芽的師弟,他們在北大讀研期間相識,當時作為實驗室負責人的子芽給random的印象非常深刻。談及對子芽的第一印象,random用了這樣幾個形容詞:“有創造力、純粹、簡單、具有很強的敏銳度和感染力”。和子芽的風格雖然不同,但他們都認為創造智能的攻防滲透模拟工具是更為重要的,可以更好将個人的網絡安全能力固化到自動化平台上,創造更多能力均衡穩健的白帽黑客,讓中國網絡安全水準整體拉高。
2015年,同樣也是研究所學生的random肩負起懸鏡紅藍對抗團隊負責人的重任,帶領技術師傅們完全支撐起“國信504紅隊”技術輸出的任務,在國家重大活動期間為重要政府門戶和關鍵資訊基礎設施提供攻防演練、滲透測試攻擊模拟、二進制漏洞挖掘等關鍵支撐服務。
暫别,隻為更好地重逢
為了進一步沉澱個人技術的厚度,random研究所學生畢業後加入了國内某頂級安全實驗室擔任安全研究員,負責智能網聯汽車的漏洞挖掘與安全研究工作。
在這段經曆中,random主要負責對智能網聯汽車進行漏洞挖掘及安全研究。“我們先後研究了一些國際知名的車型,沉澱了一些技術突破思路和方法論,在車載系統固件逆向分析和挖掘漏洞上收獲不少成果。”random把這些車看作是一個黑盒,沒有源代碼和調試接口,隻能從一個黑客攻擊者的角度去挖掘汽車對外暴露的攻擊入口。通過對車機固件做二進制逆向分析,進而對車載的網絡、藍牙、WIFI以及手機互聯通信等服務進行安全分析和漏洞挖掘,最後利用漏洞來成功實作對車輛的遠端控制效果。
在全球智能汽車領域不斷取得新進展的同時,random也在不斷破解着更多知名車企的安全問題。在對某全球高端豪華汽車集團的深度挖掘漏洞與安全分析後,random帶領團隊發表多篇針對車廠的安全性研究成果,并被該汽車集團授予首個“數字化及IT研發技術獎”,與該汽車集團安全團隊一同受邀參與Black Hat黑帽大會,random在議題演講中首度公開了該車企多款車型的破解研究和技術細節。
圖 2 random本人
random回憶這段白帽黑客的經曆時,說到“我喜歡技術研究型工作,在那段工作經曆中,除了偶爾幾次關鍵技術分享演講,還有一次與破解的這個汽車集團做了一次深入的技術交流,絕大部分時間,我都還是在實驗室做研究和驗證工作。”
random始終關注着懸鏡和子芽的發展動态。從某種層面來講,其實random從未離開過懸鏡。“我平時和子芽一直保持緊密聯系,而且其他的合夥人都是我的師兄弟,我們之間都比較熟悉。再加上經常在朋友圈看到懸鏡相關的動态,包括産品新技術的疊代、取得的斐然佳績,或是舉辦的各類行業性大會等等,懸鏡發展的每一個階段我都有關注到。”
對于時隔多年再次回歸懸鏡,random表示這是一個遵從内心的自然結果。“我自己做白帽黑客已經有十多年了,不管是上學期間,還是上一份研究工作期間,我都偏向于在做漏洞挖掘和深度利用。縱觀網絡安全行業發展的大趨勢,關鍵資訊基礎設施的安全是國家網絡安全的基石,這促使我們守護它的使命感更強烈。我也會去思考,人工利用一個漏洞可真正實作的價值到底有哪些,而做數字供應鍊安全,我可以把過往的經驗通過共同研究的自動化智能工具賦能給整個供應鍊上下遊生态,可以對數字供應鍊安全做一些實際的落地貢獻,可以切實地幫助到産業中的使用者們。”
“另外一個很重要的原因是我從子芽一次次的邀請中感受了他的執着。”random笑道。在子芽和random的每次團聚中,他都會詳細地闡述懸鏡這些年正在做一些有意義的事及未來還要繼續挑戰突破的事。至于為什麼要專注在供應鍊安全情報這件事上,random 也道出了其中的讨論過程。“剛開始我和子芽讨論的方向是要做中國首個能完整提供高精度、高實時、高可用的數字供應鍊漏洞情報預警能力的團隊,但随着數字供應鍊安全投毒事件越來越頻發、關鍵資訊基礎設施停服斷供風險越來越大,做好整個數字供應鍊安全情報預警服務的迫切性愈發突出了。”針對供應鍊安全的漏洞往往範圍更廣,破壞力更強,而對受供應鍊安全影響的使用者往往規模龐大,一旦受損造成的影響也更大。通過懸鏡供應鍊安全情報中心7*24實時輸出的數字供應鍊安全情報和OpenSCA開源數字供應鍊安全社群,不僅可以幫助廣大開發者使用者解決實際數字供應鍊安全問題,還在一定程度上推動産業界對于數字供應鍊安全和國家信創應用安全的重視和發展。
攻擊視角下的供應鍊安全情報
長期的漏洞攻防研究讓random對網絡安全的認知更加透徹,在他看來,網絡安全的本質是相通的,無論是針對車聯網、物聯網還是數字供應鍊的安全等,其本質都是網絡安全風險與信任的動态平衡,關鍵點在于靈活精确地感覺威脅的能力,正所謂天下武功唯快不破!
是以,在解決情報輸出的精準性和實時性方面,random非常自信。他表示,多年的安全漏洞攻擊者視角讓他對安全漏洞更加敏感,在發現高危漏洞時,他牽頭開發出的供應鍊風險智能捕獲平台能夠更全面地預測漏洞的利用方向,并給予使用者更可用的解決方案。
此外,數字供應鍊安全情報的精準實時輸出也是懸鏡安全實作數字供應鍊安全管控體系深度閉環的關鍵之一。此前,被業界廣泛應用的懸鏡源鑒SCA開源威脅管控平台内置離線部署的漏洞庫,對于增量漏洞庫的維護營運和實時更新往往受限于客戶的實際業務場景。而現在,供應鍊安全情報中心在捕獲并驗證風險之後,就可以實時推送同步到訂閱使用者側,實作小時級别的漏洞預警服務,進而讓使用者享受到更便捷實用的數字供應鍊安全體系化服務。
懸鏡供應鍊安全情報中心
據random介紹,懸鏡供應鍊安全情報中心是國内首個專注數字供應鍊安全風險智能防禦的情報研究中心,依托懸鏡安全團隊強大的數字供應鍊SBOM全生命周期溯源管理與監測能力、AI應用安全大資料雲端分析能力和OpenSCA開源數字供應鍊安全社群在代碼成分安全上的活躍貢獻,對全球數字供應鍊安全态勢、投毒攻擊事件、元件停服斷供風險等進行實時動态監測與深度溯源分析。
作為數字供應鍊安全情報的底座,數字供應鍊安全主要的關注對象有三大部分,首先是數字應用安全,包括應用安全開發、開源治理及數字免疫;其次是基礎設施服務安全,包括雲原生安全(CNAPP)和供應鍊環境安全;最後是供應鍊資料安全,包括API安全和應用資料安全。此外,random還提到,安全供應商的風險管理和網絡安全及響應能力也應該納入數字供應鍊安全的範疇。
“數字化是一個很龐大的概念,其中每一個細分的需求都值得被關注。”random表示,此前的供應鍊安全更多圍繞在軟體開發的過程中,而現在,随着數字基礎設施的逐漸完善以及新技術的逐漸普及,供應鍊的範圍越來越大,其中的風險也越來越多,使用者的安全需求也越來越豐富。懸鏡發現了這些需求,并以情報的方式通過懸鏡供應鍊安全情報中心對外輸送。
目前,懸鏡供應鍊安全情報中心已經積累了50萬+的漏洞情報及10萬+開源元件投毒情報資料。
random表示,目前情報中心的情報輸送主要有兩種形式,第一是内置于懸鏡第三代DevSecOps數字供應鍊安全體系中,例如使用者通過使用懸鏡源鑒SCA平台就可以很輕易地利用情報來優化安全政策,前置發現應用安全風險。另一種則是通過懸鏡的OpenSCA開源數字供應鍊安全社群對外提供的SaaS訂閱接口,實時接受最新的供應鍊投毒、漏洞和停服情報,使用者可以根據自身需求,按需訂閱。
圖 3 random作為受邀代表現場領獎
據random介紹,懸鏡安全将SCA視為數字供應鍊安全管理入口,管控數字供應鍊在引入、生産、分發、傳遞環節全流程數字資産的安全風險。在應急響應方面,懸鏡将SCA與供應鍊安全情報相結合,實作了數字供應鍊元件資産的持續性風險評估和緊急漏洞事件的快速響應。
在AI大模型技術的應用賦能方面,random表示,懸鏡在這塊已經沉澱了不少成果,對大模型相關技術在數字供應鍊安全領域進行了非常有效的實踐探索。目前,情報中心已經訓練出在數字供應鍊局部細分領域非常有效的安全大模型,極大地提高了供應鍊安全情報生産營運的品質、效率和使用者體驗,包括對供應鍊情報預警資料的增強調優、對漏洞代碼的智能修複推薦、對開源許可證的智能咨詢以及針對漏洞元件進行安全更新智能推薦等,預計在2024年5月份會正式上線“懸鏡雲脈”智能供應鍊安全大腦的部分通路服務。
對未來的研判
數字化的新技術、新趨勢,勢必會帶來新的安全問題,關于這點random深信不疑,懸鏡供應鍊安全情報中心也會持續地更新和疊代。random表示,以國産信創舉例,信創浪潮下勢必會引入大量的自研和開源代碼,這些代碼很可能會成為新的風險點。此外,AI大模型的普及和應用也會帶來新的安全風險,包括訓練資料投毒、開源大模型和AI智能體在開發、訓練、釋出流程中引入的安全漏洞及惡意代碼等等。這些新的安全風險也會被納入數字供應鍊安全的範疇,對此,情報中心也将不斷創新和延伸。
除了要擴大情報中心廣度,細粒度也是下一階段的重點。random表示,目前,情報中心基本已經覆寫了開源應用的安全漏洞和惡意代碼投毒情報,但對于潛藏在二進制數字資産中的供應鍊安全問題往往更具隐蔽性和殺傷力,這方面的供應鍊安全情報需要更深更場景化的檢測分析能力,懸鏡安全對此已經做好了準備。
此外,情報的智能适配也是懸鏡安全将要解決的目标。random提到,目前的情報更偏向于開發者,和OpenSCA開源數字供應鍊社群的進一步融合,讓情報中心可以更有目标性地推送特定的情報。這在很大程度上解決了傳統威脅情報适配性較差、無用或垃圾情報泛濫推送等問題。
對于個人的下一階段目标,random表示,首要目标是将現有的數字供應鍊安全情報服務體驗提升到更高的水準,和懸鏡的第三代DevSecOps數字供應鍊安全體系深度閉環,讓使用者享受到更精準、更實時、更可用的情報預警服務。
結語-路漫漫其修遠兮
與幾年前采訪過的子芽和甯戈不同的是,random對于懸鏡安全的成長,既像是一個初創的親曆者,也像是一個見證者,還是一個重新回歸的老人。對于懸鏡安全曆經數年間已然發展成為國内數字供應鍊安全領域的上司者,random滿是驚喜和興奮。
“15年我在懸鏡安全負責攻防對抗時感受到的是一群年輕人的激情,哪怕時光走過數年,我回歸懸鏡安全後,仍然能感受到當初那群年輕人的激情和熱愛。我們在懸鏡安全常說堅守長期主義和擁抱變化,這不是口号,其實這就是子芽和懸鏡安全始終踐行的。”random依然用“純粹”來評價如今即将邁向十周年的懸鏡安全,“執着于夢想,專注于興趣。”
基于目前所做的事情,我問random,懸鏡供應鍊安全情報中心随着當下大趨勢的發展,它所覆寫的能力可以發揮到哪些更大的價值?
random不假思索地回答:“從技術上講,數字供應鍊安全情報中心對供應鍊投毒攻擊風險、漏洞風險、開源元件停服斷供風險等進行深度溯源和關聯情報實時預警;從價值上講,我們的最終目标是通過精準可靠的情報預警和配套的代碼疫苗技術來幫助産業使用者高效治理數字化轉型過程中遇到的各類應用安全風險。我們常說‘安全左移’,但‘安全左移’不是目标,安全應該在任何需要它的地方,真正成為業務核心中的一部分。”
如果說“守護中國數字供應鍊安全”是懸鏡安全的使命,那“看得清,跟得上,防得住”則是懸鏡供應鍊安全情報中心的重任所在。
充滿不确定性的挑戰,堅定的信念,random與懸鏡安全共同擘畫中國數字供應鍊安全的故事,未完待續。