騰訊有個技術軍團,“瘋起來”連自己都打
某個安靜的午後,一個男人在LS(騰訊技術工程事業群總裁)辦公室門口徘徊,形跡可疑。
終於,他出手了。
只見他飛快拿出一張卡片,嘀的一聲,總裁辦公室的門,就……就開了 
這個敢破老闆辦公室門禁的男人,叫Lake。用來破門的工具,是他在一小時前研製出來的。
原來,當天上午LS和Lake打了個賭,看Lake能不能黑掉他的門禁。顯然,lake贏了。
“想不到吧,哈哈哈,我複製了你祕書的工卡。”見到LS,Lake笑得很猖狂 
“看來,我要在辦公室門口加一個攝像頭了。”LS故作淡定回答 
“賭贏了,我可以提前下班了吧。” 說完,Lake帥氣地背起書包,關門揚長而去。
當然,Lake發現的門禁易被複制問題馬上同步給了公司行政部。很快,公司門禁系統進行了一次升級和修復。
在停車場“練習抬槓”
這個敢對老闆痛下狠手的男人,來自 騰訊TEG安全平臺部, 這是 一支專注於黑客角色扮演的內部攻擊隊伍。
他們的使命是在合規流程下,以黑客視角持續滲透公司資產,協助提升業務系統安全性,完善安全系統能力。
在業內, 這樣自己打自己的人被稱為“藍軍”。 就 像軍事演習中的紅藍軍對抗,網路安全中,紅藍軍對抗則是一方扮演黑客【藍軍】,一方扮演防禦者【紅軍】。
在騰訊內部,類似的“藍軍”團隊有不少。大家日常使用的騰訊APP和服務,在內部可能已經被他們善意地“攻破”過n次了。
就連騰訊大廈的停車場他們都未曾放過——讓沒有登記過的 陌生車輛自由進入僅供內部使用的騰大停車場!
(心疼保安哥哥10秒)
這種對自家大樓進行的模擬攻擊場景,其實是家常便飯。 就像港片裡入侵者破解系統,把自己資料加入進去,成為合法進入者一樣。
但每一次“入侵”完畢,藍軍們都會將發現的問題提交給負責團隊,避免出現同樣問題,甚至催生出產品。
比如停車場的漏洞報告,除了推動騰訊大廈裝置供應商進行修復,還催生了可以對外輸出的智慧樓宇/智慧裝置安全的標準和能力。
活好話少,專注“打自己”
門禁、停車場還是業餘活動, 他們最常做的還是“進攻”騰訊自家產品和服務,也就是真正的“自己打自己”。
截至目前,騰訊各個藍軍團隊已經聯動各個產品業務進行過數百場紅藍軍對抗演習。
如大家現在天天使用的微信小程式,在正式上線之前就接受過藍軍的多輪模擬攻擊檢測。
“我們消失了10多天,就是去廣州微信團隊駐場,搞特訓營,吃喝拉撒都在一起,跟著業務紅軍做對抗測試。”小五回憶當時的場景。
為期10天的持續對抗,最終確保了小程式上線前修復已有的安全漏洞,立了一功。
“一部手機遊雲南”也進行過紅藍測試,同樣是在產品釋出前及時發現和解決了安全風險。
還有騰訊雲、QQ、微信、微信支付、黃金紅包、區塊鏈電子發票等等業務,在上線前也沒少被“藍軍”們折騰。
每一個被折騰完的業務都覺得:wow,自己打自己,好爽
這種“自打神功”牆內開花,牆外也香。
2018公安部組織的貴陽大資料及網路安全攻防演練中, 騰訊TEG安全平臺部 與騰訊雲安全、騰訊安全科恩實驗室、 騰訊企業IT部、 數字廣東組成的聯合安全團隊獲得技術創新一等獎。
“黑客思維”的年輕人
“防的人要懂得攻。我們會嘗試從黑客的角度去思考,他們會從哪裡下手。 大部分的漏洞都是人導致的,人性就是最大的安全漏洞。 ” 年輕卻資深的工程師小五如此說道。
“現實生活,他們活好話少非常低調,虛擬世界裡,那叫一個狂野,像不突破不死心的鬥士。”經常跟他們打交道的juju調侃道。
這群極客般的工程師對技術攻防樂此不疲,就連團建也不忘敲程式碼——
讀書也要讀《反欺騙的藝術》——
謀劃作戰的時候一定是謀定而後動——
“紅藍較量”無終止
騰訊的業務很多,流量很大,安全挑戰也很大,騰訊各藍軍團隊擔子一點兒也不輕。
不過,“和業務團隊、安全紅軍一起守護 這麼大體量的使用者安全,是很有使命感和自豪感的”。 小五 說起這個美滋滋的。
畢竟,他們一方面可以通過合規授權的方式進行攻擊演練,很刺激;幫被攻擊業務團隊發現問題得到感謝,又很滿足。
他們就是這樣,躲在你常用的騰訊產品背後 以攻為守,保護業務也是保護使用者的安全。
在騰訊,這種自己打自己的“紅藍較量”不會休止。
本文原創來源:騰訊(id:tencent),轉載需經原創號同意。
