小米 CSO （首席安全官）陳洋家中有 74 個(gè)小米智能設(shè)備，小米生態(tài)鏈中有 2000 多個(gè)智能設(shè)備。

雷鋒網(wǎng)報(bào)道過(guò)可以被黑客花式吊打的電子產(chǎn)品有攝像頭、智能音箱、電視、空調(diào)、智能門鎖等，還有一個(gè)“藍(lán)牙肛塞被黑，全世界的菊花一緊”這種看上去無(wú)節(jié)操的黑操作。

所以，在小米做安全應(yīng)該挺難的，因?yàn)樾∶滓约靶∶咨鷳B(tài)鏈的消費(fèi)級(jí) IoT 產(chǎn)品足夠多，用戶足夠廣，這就面臨一個(gè)天然的疑問(wèn)：你們搞的這么多產(chǎn)品，到底安不安全？

小米除了要回答這個(gè)問(wèn)題，它遇到的問(wèn)題可能更難一些，一方面外界對(duì)小米的各類硬軟件安全很關(guān)注，一方面小米還是個(gè)“國(guó)際米”，現(xiàn)在數(shù)據(jù)安全與隱私受到的關(guān)注越來(lái)越多，法律法規(guī)的要求越來(lái)越嚴(yán)格。

對(duì)2000多款I(lǐng)oT產(chǎn)品做安全

整體來(lái)看，小米分三步來(lái)保障自有產(chǎn)品、生態(tài)產(chǎn)品以及供應(yīng)鏈的安全。

每一款小米的 IoT 產(chǎn)品在上市前要經(jīng)歷一套完整的安全流程，比如在需求設(shè)計(jì)、產(chǎn)品開(kāi)發(fā)與質(zhì)量檢測(cè)階段，都要通過(guò)一系列安全規(guī)范要求和嚴(yán)格的安全測(cè)試通過(guò)后才允許量產(chǎn)。

這是把發(fā)現(xiàn)安全隱患的機(jī)會(huì)前置的思路，這樣在產(chǎn)品設(shè)計(jì)、開(kāi)發(fā)階段就可以規(guī)避很多安全和隱私問(wèn)題。一款產(chǎn)品只有通過(guò)安全測(cè)試后才允許進(jìn)入生產(chǎn)環(huán)節(jié)，經(jīng)過(guò)小米內(nèi)部一群資深用戶的測(cè)評(píng)后才能發(fā)布，最后上市。

對(duì)于生態(tài)伙伴的產(chǎn)品，小米安全的整體思路是減少這些產(chǎn)品的攻擊面，降低“小米的朋友們”做安全工作的成本。

雷鋒網(wǎng)采訪過(guò)曾經(jīng)做過(guò) IoT 安全產(chǎn)品的安全廠商，之所以說(shuō)是“曾經(jīng)”，是因?yàn)槭茉L者當(dāng)時(shí)是開(kāi)了一家做IoT 安全產(chǎn)品的創(chuàng)業(yè)公司，但他“以為的客戶”都告訴他，消費(fèi)級(jí) IoT 產(chǎn)品本來(lái)就很難賺錢，做安全更是拿不出預(yù)算，碰壁太多，這個(gè)創(chuàng)業(yè)者只好轉(zhuǎn)型。

小米碰到了一樣的問(wèn)題，它還要說(shuō)服“盟友”。

陳洋提出的思路是，生態(tài)伙伴的產(chǎn)品接入越簡(jiǎn)單，就越能降低做安全的成本。

小米的 IoT 平臺(tái)是開(kāi)放平臺(tái)，他們他們把安全能力封裝在模組中，以“米家”安全認(rèn)證的方式提供給小米的合作伙伴。一款生態(tài)產(chǎn)品花不到十塊錢的成本，就可以接入集成安全通訊等安全能力的智能模組，變成智能家電。

在小米把安全的門檻降低了的情況下，開(kāi)發(fā)者只需關(guān)注自身的業(yè)務(wù)和功能。

還有供應(yīng)鏈的安全。因?yàn)樾∶子猩舷掠蔚脑骷⒌谌降?SDK 等供應(yīng)商，除了對(duì)“隊(duì)友”的每一款產(chǎn)品、第三方 SDK與服務(wù)進(jìn)行控制流程和安全評(píng)估。在最容易泄露用戶數(shù)據(jù)和隱私的物流、工廠環(huán)節(jié)上，小米做了“中間隱私號(hào)”的產(chǎn)品，在小米商城的物流體系中使用。

所謂“中間隱私號(hào)”，是指用戶到這些倉(cāng)儲(chǔ)物流的手機(jī)號(hào)是臨時(shí)手機(jī)號(hào)。如果你使用過(guò)外賣及叫車服務(wù)，會(huì)發(fā)現(xiàn)外賣小哥和司機(jī)師傅打過(guò)來(lái)的電話都是以一串“非真實(shí)”號(hào)碼顯示，而你打過(guò)去的電話號(hào)碼也是以非真實(shí)號(hào)碼的方式顯示。

既然提到數(shù)據(jù)與隱私，那就離不開(kāi)隱私合規(guī)。

小米集團(tuán)副總裁崔寶秋首次披露，在安全與隱私委員會(huì)里，小米成立了一個(gè)隱私團(tuán)隊(duì)，這個(gè)隱私團(tuán)隊(duì)抽調(diào)了專職律師和安全人員，專門梳理與解讀國(guó)內(nèi)外的法律法規(guī)。

在過(guò)去一年中，安全與隱私委員會(huì)做的最重要的一項(xiàng)工作就是 GDPR 合規(guī)，這對(duì)小米在國(guó)外市場(chǎng)開(kāi)拓的重要性不言而喻。

更多產(chǎn)品來(lái)了怎么辦

現(xiàn)在，小米及生態(tài)鏈有 2000 多款產(chǎn)品，能預(yù)想到的是，這個(gè)盤子會(huì)越來(lái)越大。

盡管小米安全部有很多安全研究員，但要想讓這些可能不停迭代和冒出的新產(chǎn)品接受時(shí)刻安全人員的檢閱，是一個(gè)非常難完成的任務(wù)。

為了解決這個(gè)矛盾，小米采取了兩種做法。

第一，請(qǐng)“外援”。小米在 2013 年上線了自己的 SRC（安全應(yīng)急響應(yīng)中心），并采用現(xiàn)金獎(jiǎng)勵(lì)。

給不熟悉安全行業(yè)的同學(xué)科普一下，成立SRC 的好處在于，白帽子可以為平臺(tái)提交發(fā)現(xiàn)的漏洞，眾人拾柴火焰高，這樣做的目的就是盡可能的吸引更多有安全能力的“外援”發(fā)現(xiàn)自家的安全隱患。不過(guò)，SRC 這種模式基本也是由一些“有預(yù)算”的廠商創(chuàng)立，在一些沒(méi)有安全預(yù)算的公司，很可能存在“一個(gè)人的安全部”的情況。

今年，小米請(qǐng)的“外援”對(duì)象已經(jīng)拓寬到全球的白帽子。不過(guò)，不知道它對(duì)全球白帽子發(fā)的是人民幣還是美元。

第二，讓智能程序上馬，這個(gè)智能程序也就是雷鋒網(wǎng)之前提到的“MiEye”，把 IoT 產(chǎn)品引入這個(gè)平臺(tái)之后，可以實(shí)現(xiàn)模擬不同國(guó)家、區(qū)域的法律、法規(guī)要求進(jìn)行評(píng)估以及自動(dòng)化調(diào)試。

“MiEye”的特點(diǎn)之一是可以進(jìn)行大規(guī)模、分布式、不間斷的檢測(cè)。因?yàn)?IoT 設(shè)備非常特殊，可能會(huì)有一些低頻操作，比如在一些特殊場(chǎng)景與狀態(tài)下才會(huì)產(chǎn)生的聯(lián)動(dòng)行為，這是傳統(tǒng)人工測(cè)試容易疏忽的地方。“MiEye”的作用就是 24 小時(shí)盯著這些“檢測(cè)對(duì)象”的網(wǎng)絡(luò)行為，及時(shí)處理。

一開(kāi)始，陳洋他們沒(méi)想做“MiEye”，因?yàn)榇蠖鄶?shù)設(shè)備都是通過(guò)無(wú)線路由器連接互聯(lián)網(wǎng)的，他們做了一個(gè)路由器，在路由器上做一些抓包、分析、檢測(cè)、掃描等，通過(guò) WiFi 鏈路通訊做一些自動(dòng)化的檢測(cè)。緊接著，他們發(fā)現(xiàn)光做路由器不夠，小米還有很多基于藍(lán)牙通訊的產(chǎn)品，于是他們又做了一個(gè)針對(duì)藍(lán)牙通信安全的自動(dòng)化檢測(cè)平臺(tái) BlueEye。

后來(lái)，他們又做了基于手機(jī)端的檢測(cè)引擎，也就是“APKScan”。

最后，這個(gè) AIoT 安全與隱私自動(dòng)化檢測(cè)平臺(tái)成型時(shí)，囊括了云端引擎、多國(guó)節(jié)點(diǎn)、路由引擎、BlueEye、手機(jī)引擎、APKScan、FirmwareScan。

【小米首席安全官陳洋】

獨(dú)家問(wèn)答

雷鋒網(wǎng)：現(xiàn)在小米安全是怎么分配研究力量的？

陳洋：現(xiàn)在我們有兩個(gè)重點(diǎn)實(shí)驗(yàn)室，每個(gè)實(shí)驗(yàn)室有10多人，一個(gè)是 AIoT 實(shí)驗(yàn)室，一個(gè)是移動(dòng)安全實(shí)驗(yàn)室，后者負(fù)責(zé)手機(jī)端的軟件產(chǎn)品。

實(shí)驗(yàn)室首先是保障自己產(chǎn)品的需求，然后在業(yè)余時(shí)間做一些其他研究。它還會(huì)承接滲透測(cè)試藍(lán)軍的工作，我會(huì)設(shè)想哪些地方可能有風(fēng)險(xiǎn)，設(shè)置一個(gè)攻擊目標(biāo)，然后由他們完成。其實(shí)，我們最早就是以攻防的方式在做安全，去年，藍(lán)軍的成立把攻防的難度加大，以前可能不會(huì)設(shè)計(jì)過(guò)高的目標(biāo)，現(xiàn)在可以設(shè)置更專業(yè)化的攻擊目標(biāo)。

雷鋒網(wǎng)：你提到要給小米構(gòu)建一個(gè)縱深防御體系，如何理解？

陳洋：我們認(rèn)為做安全不是“在某一個(gè)地方擋住”就行，以一個(gè)酒店為例，如果會(huì)議室是我們重點(diǎn)要保護(hù)的區(qū)域，在酒店大堂設(shè)一道安檢肯定不夠，酒店的門特別多，要守的出口越多，縱深防御的理念就是在每一個(gè)可以防御的地方設(shè)防，因?yàn)槲覀円僭O(shè)每一層防御都可能被繞過(guò)、被攻破，但是后面的還有一些防御體系能夠把之前漏掉的攻擊再防住。

因此，我們要對(duì)這些威脅進(jìn)行分析，構(gòu)建攻擊鏈，假定黑客攻擊成功，需要滿足什么樣的攻擊鏈，先把攻擊路徑先找出來(lái)，在這個(gè)攻擊路徑上層層設(shè)防。

雷鋒網(wǎng)：你覺(jué)得哪些安全風(fēng)險(xiǎn)點(diǎn)是大家需要重點(diǎn)關(guān)注的？

陳洋：現(xiàn)在有很多危害很巨大的一些風(fēng)險(xiǎn)因?yàn)槿吮M皆知，反倒沒(méi)人提起。

比如釣魚郵件，這種形式已經(jīng)出現(xiàn)幾十年，到目前也沒(méi)有解決由釣魚郵件引發(fā)的問(wèn)題。我們做了一些釣魚測(cè)試，不管怎么測(cè)，總會(huì)有百分之二三十的人會(huì)把密碼交出來(lái)。

我跟蹤過(guò)一些很賺錢的黑產(chǎn)，他們用的技術(shù)手段是非常落后的，比如群發(fā)郵件，有人中招之后，黑產(chǎn)設(shè)置郵箱自動(dòng)轉(zhuǎn)發(fā)，天天看著郵件，如果涉及公司合同、投資往來(lái)等，他就偽造那家公司，把別人郵件里的付款方賬號(hào)改掉，他就能賺很多錢。

雷鋒網(wǎng)：對(duì)于 IoT，你關(guān)注哪些領(lǐng)域的安全？

陳洋：第一，個(gè)人消費(fèi)設(shè)備產(chǎn)品，看起來(lái)它越來(lái)越安全，實(shí)際上關(guān)注的人也越來(lái)越多。第二，To B 的行業(yè)的解決方案，因?yàn)樗鄬?duì)是比較封閉的，普通的安全研究人員接觸不到。

雷鋒網(wǎng)：對(duì)于 5G 安全，你有什么思考可以分享嗎？

陳洋：在我看來(lái)，5G 最大的風(fēng)險(xiǎn)是速度太快了，速度太快導(dǎo)致一些流氓軟件可以更快地偷用戶的數(shù)據(jù)。

以前，我們遇到的攻擊是黑站，在網(wǎng)站上掛一個(gè)黑頁(yè)。2008 年以后，流行的是拖庫(kù)，為什么九幾年、零幾年很少有拖庫(kù)的現(xiàn)象？因?yàn)榫W(wǎng)速慢，硬盤貴，拖庫(kù)要很久，要花很多錢買硬盤存拖下來(lái)的數(shù)據(jù)。

比如，每個(gè)人手機(jī)相冊(cè)里有很多照片，在網(wǎng)絡(luò)速度有限的情況下，很少有流氓應(yīng)用一下把手機(jī)里所有的照片偷走，不是它沒(méi)有能力偷，而是傳輸這些照片需要很長(zhǎng)時(shí)間，手機(jī)耗電很快，會(huì)發(fā)燙。但 5G 傳得快，幾秒鐘、幾分鐘就能把幾 G 的照片都偷走。偷走以后，攻擊者再在云端去通過(guò) AI 分析哪是你的家，哪是你的身份證，哪是你的銀行卡。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。