滴滴小米“互殴”的背后 企业安全蓝军玩法升级

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:5个月前
11月6日,第四届小米AIoT安全峰会上白帽云集,议题精彩纷呈。虽然会议过程中仅仅用简短的三分钟举行了一个所谓“蓝军计划”的正式启动仪式,但是对于这个计划,官方基本没有进行过多的阐述。当然,能够集齐小米、滴滴、腾讯、华住几大巨头“搞事儿”,事情肯定没那么简单,我们决定一探究竟。



就在昨日,朋友圈赫然出现一条来自于滴滴安全应急响应中心的致谢公告,公告称“2020年11月11日, 小米安全团队的武影安全实验室向滴滴安全提交了青桔单车的严重安全漏洞,使漏洞在第一时间得到有效的确认和响应,此次合作堪称蓝军联盟合作的典范。 ” 这也是首次当事各方在业界提及相关计划。

经过安全419(www.anquan419.com)编辑与小米、滴滴等各方反复确认过后,终于明白了所谓“蓝军计划”的真实用意——原来是互联网大厂的安全大佬们的“约架局”啊!颇有点儿华山论剑的意味!

最好的交情 就是“插朋友两刀”

众所周知,红蓝对抗的形式最早来自于战争演练——以蓝军作为军队在演习和模拟对抗中的假想敌这种做法,如今成为了全球各国磨练尖端战斗力量和作战经验的有效手段。随着近年来网络安全风险的激增,在信息安全领域也开始兴起以红蓝对抗来提高网络安全技术水平和实战能力,分别组建攻击方和防守方,通过网络攻击和防御来进行真实的网络安全实战演习,以检验企业信息安全防护能力。

实际上,包括小米、滴滴、腾讯、华住等各领域的一线品牌,早已经建立健全了自己的安全应急响应中心,上百家SRC已经成为了网络安全业界一股不可忽视的巨大技术力量,企业通过SRC的运营广泛吸纳白帽子人才加入,帮助自身提高安全等级,也为国内成千上万白帽子提供了练兵的舞台,这在业界绝对是佳话。但是对于企业的安全部门负责人而言,或许这远远不够……

小米集团首席信息安全官、云平台部总经理陈洋谈到,起初小米安全实验室在保障自己产品安全需求的同时,还会在业余时间来扮演企业内部渗透测试蓝军的角色,对设定的攻击目标发起攻击。以攻防的方式来真实的检验目标业务、产品和团队的安全水平。但时间久了后发现,这种企业内部的红蓝攻防对抗是有其弊端的,因为攻防双方都对彼此的弱点、攻击方式十分了解,这时候蓝军的攻击演习就难免存在定式,无法起到以攻促防的目的。

这时,小米和腾讯、滴滴、华住四个好基友聚到一起提出,为何不换种思路,互相扮演蓝军的角色,来一场“大乱斗”,就像武侠小说中高手们经常聚在一起印证武艺那样,在更加真实和严苛的条件下,安全可控的互相检验各自产品的弱点,并提前加固,这样就能够进一步提升各自自身的安全等级,达到保护用户的目的。

当然,就目前而言,可能还并不是所有人或团队都有资格加入这一个计划,毕竟你得知道前来攻击的是不是真的抱着善意的目的——“在选择友军的时候我们也是有要求的,第一是大家的技术实力目前来看在国内都要是一流水平,第二也是最重要的是我们已经在长期的合作中积累了良好的信任基础”,滴滴网络安全部负责人秦波说道。

所以,能够放心让人“插朋友两刀”的,必须是真朋友。

“蓝军计划”未来可期 行业仍需努力

对于此次启动“蓝军计划”中的各家而言,是业界的一次全新的尝试,但是可以肯定的是——这种玩法上的升级,让企业蓝军的网络安全能力建设更加趋近于实战,这毫无疑问可以大幅度提升参与者的实力。

虽然陈洋也表示,目前和腾讯、滴滴与华住还在激烈的讨论将来的合作模式,具体的合作范围、目标、周期、交付,以及如何在整个过程中控制风险这些细节问题,但是他们会在不断的磨合中形成一个常态化的机制。

而陈洋同时也表示,作为联合蓝军计划的发起方,目前包括小米在内的四家成员单位一致认为,从长远来看安全其实是一个生态,仅靠自己的力量很难做到极致,还需要整个行业的共同努力。之后还会号召更多的企业加入,互相促进,共同进步,共建整个安全生态。

所以,感兴趣加入“蓝军计划”的朋友们,也不用担心没机会参加这个行业重磅的“大佬互殴局”啦!