硬科技的创新和普惠是推动人类社会发展的核心驱动力。随着数字时代的快速发展,万物互联的数字应用在编程开发方式、应用协作发布模式、应用设计架构和基础设施运行环境等四个方面发生着深刻的变化。在2023年8月的DSS2023 数字供应链安全大会上,子芽开创性地提出数字供应链安全的创新理论体系和实践框架(DSS 2023硬核成果 | 悬镜业内首次定义数字供应链安全),在产业界影响深远,数字供应链安全问题也随着国家的进一步重视被上升到基础设施安全高度来对待。
随着悬镜安全持续多次提前精准预警,诸如恶意Py包仿冒tensorflow AI框架实施后门投毒攻击事件、恶意NPM包利用Windows反向shell后门攻击开发者事件和恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击事件等,标志着悬镜供应链安全情报中心凭借云脉XSBOM数字供应链安全大脑超强的精准预警能力正式向产业界首次公开。原本仅是居于幕后、致力于深度挖掘并溯源分析供应链安全漏洞、投毒事件、组件风险等供应链安全风险的供应链安全能力研究中心,由此正式公开亮相。此举动不仅是悬镜安全对全球数字供应链安全态势监测赋能积极响应,更是其身为数字供应链安全开拓者,推动全球数字供应链安全治理的重要举措。
此次与之深度交谈的正是悬镜供应链安全情报中心的负责人——random 蔡智强,也是悬镜安全技术合伙人,供应链安全情报中心的幕后大佬。
“最低调的头号黑客”,这是子芽对random的评价之一。首创悬镜数字供应链安全情报智能捕获体系,牵头挖掘宝马、雷克萨斯等多家全球知名车联网头部企业的众多高危漏洞,首个宝马集团数字化及IT研发技术奖获得者,BlackHat USA顶级国际安全会议演讲者,多次参与DEFCON CTF国际安全攻防大赛,这是random过去10年内特别技术经历的冰山一角。与子芽、宁戈同为北京大学信息安全系的师兄弟,在校园里就是白帽极客技术的代表,他们和几个师兄弟一起,不仅发起成立了“xmirror”战队,还成为“国信504红队”的攻防支撑力量,曾多次为国家关键信息基础设施的重大活动安保提供了有力保障。
“random”是蔡智强从学生时期至今一直在圈内沿用的id。问及当初为什么使用“random”,作为自己的id时,他笑道“网络攻防对抗从来都是不确定的,魔高一尺,道高一丈,智慧的攻才是进阶的防! ”
random在BlackHat USA 2019做技术分享
相比random自评是一个不善言辞的人,团队伙伴则赞叹他专注、执着、心无旁骛。与技术大佬在一起搞研究突破,做自己感兴趣的事,可能是白帽黑客们皆有的特质之一。
回顾研究生时期打攻防比赛的经历,random回忆到最早参与的全国性比赛是2013年研一期间参与信息安全与对抗技术竞赛(ISCC)。“ISCC算是国内比较早期举办的攻防比赛了,也是国内知名的赛事之一。早期的ISCC更偏向于考验个人能力,初赛是个人赛,决赛大概前25名进入线下组队打团体赛,个人更喜欢团体赛的氛围。”。北大研究生期间,random只要有闲暇时间,都会参与XCTF、BCTF、XDCTF、HCTF、RCTF等国内攻防竞技中,练练手感,刷刷脑力,自然成绩也是不错。
作为子芽的师弟,他们在北大读研期间相识,当时作为实验室负责人的子芽给random的印象非常深刻。谈及对子芽的第一印象,random用了这样几个形容词:“有创造力、纯粹、简单、具有很强的敏锐度和感染力”。和子芽的风格虽然不同,但他们都认为创造智能的攻防渗透模拟工具是更为重要的,可以更好将个人的网络安全能力固化到自动化平台上,创造更多能力均衡稳健的白帽黑客,让中国网络安全水平整体拉高。
2015年,同样也是研究生的random肩负起悬镜红蓝对抗团队负责人的重任,带领技术师傅们完全支撑起“国信504红队”技术输出的任务,在国家重大活动期间为重要政府门户和关键信息基础设施提供攻防演练、渗透测试攻击模拟、二进制漏洞挖掘等关键支撑服务。
为了进一步沉淀个人技术的厚度,random研究生毕业后加入了国内某顶级安全实验室担任安全研究员,负责智能网联汽车的漏洞挖掘与安全研究工作。
在这段经历中,random主要负责对智能网联汽车进行漏洞挖掘及安全研究。“我们先后研究了一些国际知名的车型,沉淀了一些技术突破思路和方法论,在车载系统固件逆向分析和挖掘漏洞上收获不少成果。”random把这些车看作是一个黑盒,没有源代码和调试接口,只能从一个黑客攻击者的角度去挖掘汽车对外暴露的攻击入口。通过对车机固件做二进制逆向分析,进而对车载的网络、蓝牙、WIFI以及手机互联通信等服务进行安全分析和漏洞挖掘,最后利用漏洞来成功实现对车辆的远程控制效果。
在全球智能汽车领域不断取得新进展的同时,random也在不断破解着更多知名车企的安全问题。在对某全球高端豪华汽车集团的深度挖掘漏洞与安全分析后,random带领团队发表多篇针对车厂的安全性研究成果,并被该汽车集团授予首个“数字化及IT研发技术奖”,与该汽车集团安全团队一同受邀参与Black Hat黑帽大会,random在议题演讲中首度公开了该车企多款车型的破解研究和技术细节。
random本人
random回忆这段白帽黑客的经历时,说到“我喜欢技术研究型工作,在那段工作经历中,除了偶尔几次关键技术分享演讲,还有一次与破解的这个汽车集团做了一次深入的技术交流,绝大部分时间,我都还是在实验室做研究和验证工作。”
random始终关注着悬镜和子芽的发展动态。从某种层面来讲,其实random从未离开过悬镜。“我平时和子芽一直保持紧密联系,而且其他的合伙人都是我的师兄弟,我们之间都比较熟悉。再加上经常在朋友圈看到悬镜相关的动态,包括产品新技术的迭代、取得的斐然佳绩,或是举办的各类行业性大会等等,悬镜发展的每一个阶段我都有关注到。”
对于时隔多年再次回归悬镜,random表示这是一个遵从内心的自然结果。“我自己做白帽黑客已经有十多年了,不管是上学期间,还是上一份研究工作期间,我都偏向于在做漏洞挖掘和深度利用。纵观网络安全行业发展的大趋势,关键信息基础设施的安全是国家网络安全的基石,这促使我们守护它的使命感更强烈。我也会去思考,人工利用一个漏洞可真正实现的价值到底有哪些,而做数字供应链安全,我可以把过往的经验通过共同研究的自动化智能工具赋能给整个供应链上下游生态,可以对数字供应链安全做一些实际的落地贡献,可以切实地帮助到产业中的用户们。”
“另外一个很重要的原因是我从子芽一次次的邀请中感受了他的执着。”random笑道。在子芽和random的每次团聚中,他都会详细地阐述悬镜这些年正在做一些有意义的事及未来还要继续挑战突破的事。至于为什么要专注在供应链安全情报这件事上,random 也道出了其中的讨论过程。“刚开始我和子芽讨论的方向是要做中国首个能完整提供高精度、高实时、高可用的数字供应链漏洞情报预警能力的团队,但随着数字供应链安全投毒事件越来越频发、关键信息基础设施停服断供风险越来越大,做好整个数字供应链安全情报预警服务的迫切性愈发突出了。”针对供应链安全的漏洞往往范围更广,破坏力更强,而对受供应链安全影响的用户往往规模庞大,一旦受损造成的影响也更大。通过悬镜供应链安全情报中心7*24实时输出的数字供应链安全情报和OpenSCA开源数字供应链安全社区,不仅可以帮助广大开发者用户解决实际数字供应链安全问题,还在一定程度上推动产业界对于数字供应链安全和国家信创应用安全的重视和发展。
长期的漏洞攻防研究让random对网络安全的认知更加透彻,在他看来,网络安全的本质是相通的,无论是针对车联网、物联网还是数字供应链的安全等,其本质都是网络安全风险与信任的动态平衡,关键点在于敏捷精确地感知威胁的能力,正所谓天下武功唯快不破!
因此,在解决情报输出的精准性和实时性方面,random非常自信。他表示,多年的安全漏洞攻击者视角让他对安全漏洞更加敏感,在发现高危漏洞时,他牵头开发出的供应链风险智能捕获平台能够更全面地预测漏洞的利用方向,并给予用户更可用的解决方案。
此外,数字供应链安全情报的精准实时输出也是悬镜安全实现数字供应链安全管控体系深度闭环的关键之一。此前,被业界广泛应用的悬镜源鉴SCA开源威胁管控平台内置离线部署的漏洞库,对于增量漏洞库的维护运营和实时更新往往受限于客户的实际业务场景。而现在,供应链安全情报中心在捕获并验证风险之后,就可以实时推送同步到订阅用户侧,实现小时级别的漏洞预警服务,从而让用户享受到更便捷实用的数字供应链安全体系化服务。
据random介绍,悬镜供应链安全情报中心是国内首个专注数字供应链安全风险智能防御的情报研究中心,依托悬镜安全团队强大的数字供应链SBOM全生命周期溯源管理与监测能力、AI应用安全大数据云端分析能力和OpenSCA开源数字供应链安全社区在代码成分安全上的活跃贡献,对全球数字供应链安全态势、投毒攻击事件、组件停服断供风险等进行实时动态监测与深度溯源分析。
作为数字供应链安全情报的底座,数字供应链安全主要的关注对象有三大部分,首先是数字应用安全,包括应用安全开发、开源治理及数字免疫;其次是基础设施服务安全,包括云原生安全(CNAPP)和供应链环境安全;最后是供应链数据安全,包括API安全和应用数据安全。此外,random还提到,安全供应商的风险管理和网络安全及响应能力也应该纳入数字供应链安全的范畴。
“数字化是一个很庞大的概念,其中每一个细分的需求都值得被关注。”random表示,此前的供应链安全更多围绕在软件开发的过程中,而现在,随着数字基础设施的逐渐完善以及新技术的逐渐普及,供应链的范围越来越大,其中的风险也越来越多,用户的安全需求也越来越丰富。悬镜发现了这些需求,并以情报的方式通过悬镜供应链安全情报中心对外输送。
当前,悬镜供应链安全情报中心已经积累了50万+的漏洞情报及10万+开源组件投毒情报数据。
random表示,目前情报中心的情报输送主要有两种形式,第一是内置于悬镜第三代DevSecOps数字供应链安全体系中,例如用户通过使用悬镜源鉴SCA平台就可以很轻易地利用情报来优化安全策略,前置发现应用安全风险。另一种则是通过悬镜的OpenSCA开源数字供应链安全社区对外提供的SaaS订阅接口,实时接收最新的供应链投毒、漏洞和停服情报,用户可以根据自身需求,按需订阅。
random作为受邀代表现场领奖
据random介绍,悬镜安全将SCA视为数字供应链安全管理入口,管控数字供应链在引入、生产、分发、交付环节全流程数字资产的安全风险。在应急响应方面,悬镜将SCA与供应链安全情报相结合,实现了数字供应链组件资产的持续性风险评估和紧急漏洞事件的快速响应。
在AI大模型技术的应用赋能方面,random表示,悬镜在这块已经沉淀了不少成果,对大模型相关技术在数字供应链安全领域进行了非常有效的实践探索。目前,情报中心已经训练出在数字供应链局部细分领域非常有效的安全大模型,极大地提高了供应链安全情报生产运营的质量、效率和用户体验,包括对供应链情报预警数据的增强调优、对漏洞代码的智能修复推荐、对开源许可证的智能咨询以及针对漏洞组件进行安全升级智能推荐等,预计在2024年5月份会正式上线“悬镜云脉”智能供应链安全大脑的部分访问服务。
数字化的新技术、新趋势,势必会带来新的安全问题,关于这点random深信不疑,悬镜供应链安全情报中心也会持续地升级和迭代。random表示,以国产信创举例,信创浪潮下势必会引入大量的自研和开源代码,这些代码很可能会成为新的风险点。此外,AI大模型的普及和应用也会带来新的安全风险,包括训练数据投毒、开源大模型和AI智能体在开发、训练、发布流程中引入的安全漏洞及恶意代码等等。这些新的安全风险也会被纳入数字供应链安全的范畴,对此,情报中心也将不断创新和延伸。
除了要扩大情报中心广度,细粒度也是下一阶段的重点。random表示,目前,情报中心基本已经覆盖了开源应用的安全漏洞和恶意代码投毒情报,但对于潜藏在二进制数字资产中的供应链安全问题往往更具隐蔽性和杀伤力,这方面的供应链安全情报需要更深更场景化的检测分析能力,悬镜安全对此已经做好了准备。
此外,情报的智能适配也是悬镜安全将要解决的目标。random提到,目前的情报更偏向于开发者,和OpenSCA开源数字供应链社区的进一步融合,让情报中心可以更有目标性地推送特定的情报。这在很大程度上解决了传统威胁情报适配性较差、无用或垃圾情报泛滥推送等问题。
对于个人的下一阶段目标,random表示,首要目标是将现有的数字供应链安全情报服务体验提升到更高的水平,和悬镜的第三代DevSecOps数字供应链安全体系深度闭环,让用户享受到更精准、更实时、更可用的情报预警服务。
与几年前采访过的子芽和宁戈不同的是,random对于悬镜安全的成长,既像是一个初创的亲历者,也像是一个见证者,还是一个重新回归的老人。对于悬镜安全历经数年间已然发展成为国内数字供应链安全领域的领导者,random满是惊喜和兴奋。
“15年我在悬镜安全负责攻防对抗时感受到的是一群年轻人的激情,哪怕时光走过数年,我回归悬镜安全后,仍然能感受到当初那群年轻人的激情和热爱。我们在悬镜安全常说坚守长期主义和拥抱变化,这不是口号,其实这就是子芽和悬镜安全始终践行的。”random依然用“纯粹”来评价如今即将迈向十周年的悬镜安全,“执着于梦想,专注于兴趣。”
基于当前所做的事情,我问random,悬镜供应链安全情报中心随着当下大趋势的发展,它所覆盖的能力可以发挥到哪些更大的价值?
random不假思索地回答:“从技术上讲,数字供应链安全情报中心对供应链投毒攻击风险、漏洞风险、开源组件停服断供风险等进行深度溯源和关联情报实时预警;从价值上讲,我们的最终目标是通过精准可靠的情报预警和配套的代码疫苗技术来帮助产业用户高效治理数字化转型过程中遇到的各类应用安全风险。我们常说‘安全左移’,但‘安全左移’不是目标,安全应该在任何需要它的地方,真正成为业务核心中的一部分。”
如果说“守护中国数字供应链安全”是悬镜安全的使命,那“看得清,跟得上,防得住”则是悬镜供应链安全情报中心的重任所在。
充满不确定性的挑战,坚定的信念,random与悬镜安全共同擘画中国数字供应链安全的故事,未完待续。
原文始发于微信公众号(安在):人物 | 悬镜安全random:解密供应链安全情报的头号黑客