近年来,中国互联网安全厂商在漏洞挖掘及防御方面的地位举足轻重。相关数据统计显示,仅2016年上半年,全球主流安全厂商向微软、Adobe、苹果、谷歌提交漏洞609个,中国安全厂商提交254个。其中,仅腾讯安全提交的漏洞数量就达100个,占比近40%,是漏洞提交数量最多的中国厂商。
Adobe仍是漏洞大户,腾讯安全发掘居首
上半年,Adobe依旧是“漏洞大户”,仅中国安全厂商漏洞提交数就达到119个。其中,腾讯安全为Adobe提交漏洞信息数量达到74个,占比超61%。值得注意的是,在5月11日Adobe公司发表的最新安全公告中,腾讯玄武实验室单次提交漏洞高达32个,是Adobe Reader有史以来单方提交漏洞之最,获得Adobe官方致谢。与此同时,腾讯电脑管家在4月单次报告多达14处严重的Flash漏洞,成为单次提交Flash漏洞之最。
微软公司在上半年收到了来自全球安全厂商提交的124个漏洞信息。在所有漏洞中,腾讯玄武实验室创建者于旸(中国安全圈人称TK教主)发现的“BadTunnel”漏洞,受到了全球互联网的高度关注。该漏洞被称为是能够影响Win95到Win10的“超级漏洞”,是目前Windows历史上影响最广泛的漏洞,对于微软已不支持的版本(如Win XP),将面临用户被秘密监控的危险。
另外,上半年安全厂商为谷歌提供了88个漏洞信息,国内贡献了其中的56个;为苹果公司提交了179个漏洞信息,国内贡献了27个。
顶尖白帽黑客已成中国互联网安全核心竞争力
2005年前后,谷歌、Facebook、微软等外国互联网公司先后制定了SRC应急响应机制或者漏洞奖计划,鼓励安全测试人员与企业一道维护系统安全。中国互联网企业在这方面相对滞后。但自2012年5月腾讯成立中国首家企业自建漏洞收集平台——安全应急响应中心TSRC(Tencent Security Response Center)以来,国内互联网安全厂商在漏洞挖掘方面的能力价值和影响力日益凸显。
同时,中国黑客在世界顶级黑客大赛中也有惊人表现。在素有黑客“世界杯”之称的Pwn2Own 2016上,腾讯安全凭借总积分38分成为Pwn2Own史上第一个世界总冠军,并获得该赛事史上首个“Master of Pwn”(世界破解大师)称号。此外,在今年的GeekPwn黑客大赛上,腾讯电脑管家网络攻防小组1秒攻破微软Surface Pro4,凭借高难度技术捧走15万最高单项奖及“最霸技术奖”。
“中国安全厂商在漏洞挖掘上表现出的实力,很大程度上是因为大量白帽黑客人才向厂商安全实验室聚集。”腾讯科恩实验室负责人吴石表示:“依托于腾讯安全实验室,白帽黑客从发现漏洞到提交漏洞的路径将变得更加直接,同时还可借助平台和腾讯电脑管家、腾讯手机管家,去面向用户做更大规模适用和推广。”
据悉,腾讯根据“白帽黑客”们的研究方向和专业,成立了相对独立的“安全实验室”,各实验室团队成员可以分工协作,从各自擅长的角度和技术手法来挖掘系统漏洞、展开技术研究。“
目前,腾讯安全设立了7大安全实验室,已基本形成了一整套完善的漏洞防御体系——实验室研究人员专注漏洞挖掘并负责向第三方厂商报告,腾讯电脑管家、腾讯手机管家及时对存在漏洞的网站、软件进行拦截,同时向用户提供漏洞修复解决方案。
国内安全厂商在互联网安全领域的出色表现,也进一步体现出当下中国安全人才的潜力和价值。从国际范围来看,国内厂商通过不断对外输出安全技术能力,赢得国际关注,将进一步增强用户对国内互联网安全技术的信心,对提升中国互联网安全技术在世界范围内的影响力将起到催化作用。
(推广)