技术反窃密：如何应对新型商业窃密手段

编辑按

crownless：安全是一个整体。这场演讲揭秘了全新的商业间谍手段，如通过攻击供应链和后勤来取得商业敏感数据（你的公司为你采购的工作用电脑或许根本就不安全），如通过隐写术将商业代码嵌入MP3带出公司。

新的间谍手段层出不穷，这要求公司对频率 、对无线、对人身各方面进行管控。TSCM关心的是强化对现有信息安全补充的物理安全以及商业隐私保护。在可预知的将来，TSCM将会成为越来越受到重视的技术。

嘉宾介绍

杨叔（Longas），RC2反窃密实验室负责人，ZerOne无线安全团队创始人，“商业安全&隐私保护”系列认证课程的创始人与推广人，《无线网络攻防实战》系列书籍原创作者。

16年信息安全行业及隐私保护从业经验，并多年致力于无线攻防/通信安全防窃密的研究与实践曾任职NSFOCUS、华为、阿里巴巴等行业大公司的安全团队负责人、专家组组长及安全研究员等。曾应邀在三十多个国内外黑客/安全会议及沙龙上担任演讲嘉宾。

演讲具体内容

以下为速记全文：

在过去一年里，我们接触的国内100强里面，包括BAT等等，明确出现过源码泄露的企业有很多，包括历史上比较有名的公司，百分之七八十都是由内部程序员疏忽或者程序员内部所引发的，这种出现新的威胁趋势和以往信息安全面对的威胁类型不太一样。

这里有一个来自全美商会的数据，在2018年，全美企业有500亿美金损失，是由商业窃密行为所致，这里百分之七八十是内鬼造成，还有一些是外部和员工疏忽等所致，这里有三分之一内容是跟源码直接有关系。

在这种情况下，有这样一个受关注的内容，产品涉及所有的企业信息，但是并不是所有的企业信息都属于企业核心数据。

举个例子，一般情况下我们认为信息安全是这样的环节，涉及到企业敏感数据时，有这样一些环节被认为是现在主要防御的对象，比如，除了最简单的物理盗拍外，还包括我们常说的信息安全领域的各种网络渗透、内网入侵等等出现的问题。

在过去的10多年我去过很多BAT企业，大家都知道现在BAT比较讲究开放，包括研发环境也是开放的，但是从过去我们接触的很多案例中发现，开放确实方便沟通和交流，但是可能会导致更多问题。

作为企业来说，至少有超过20多个研发主管询问过我们如何加强研发环境的管控。现在研发部门已经上了很多技术手段，比如说有一些常见的像DLP—最常见的数据防泄露机制，包括对开发人员等等权限的管控，现在已经变得完善。

但是我今天提的不仅仅是这个层面，之前我们做信息安全时接触的主要是信息安全部门，但我们现在要接触的都是法务、HR、行政部门，而且在很多大企业里，行政部门就是我说的办公室，办公室主管就是内控内审。

在这个层面而言，我们面临的窃密的方式，跟原有的信息安全方式，有这样很大区别，一般分两大类：我们之前案例中出现了开发人员在内部保密项目中或者在一些比较重要的项目对屏幕的代码进行拍摄，这是最基本的。

还有一些通过其他的信号传输方式，将屏幕内容用其他方式传输到外网等等，这样的方式作为我们现有的信息安全防控体系，完全没有办法进行识别和进行拦截。

所以在技术层面跟以往的信安并不一样，甚至是有本质区别。现在研发部门环境中有很多设备、器材，它们本身是否经过严格检测、是否存在漏洞，包括研发人员使用的电脑本身是否经过这方面的检测？也没有。

我们企业所有的部门特别是内部研发部门的电脑、配件全部来自于供应链或者后勤部门，而这个层面的防护现在完全几乎是没有的。

比如之前我们去大企业研发部门，发现老牌企业对研发部门管控要求任何访问 者不得携带电脑、不得携带手机，研发部门将手机全部存放在研发区域外部，而且进门要做安保检测。

但即使是这样，我们在8年前那个时候，发现很多工具可以将源码直接转成另外的文件带出，比如MP3文件。这种行为就可以躲过现有的某些针对窃密行为操作的监控，虽然MP3转录出来虽然有损耗，但是可以保持百分之七八十甚至九十的源码。

其它的包括“内鬼”人员使用无线偷拍器材，对屏幕进行高清录屏、翻页录屏，将源码传输出去。

现有企业的的所谓无线防御系统只能针对2.4G的WIFI起作用，对其他频段完全是无效的，在这些技术反窃密方面我们以往的防护能力确实存在有很大问题。

再举些简单的例子，以往我们给企业研发部门做检测，发现我们的研发部门现有设备，电话、会议系统、鼠标等，比如无线鼠标在放到会议室里面的时候有没有做过物理检查？这里面除了它本身信号之外有没有无线电发射装置？

如果有，基本上你的整个项目全部受到监控。而且这个不是危言耸听，在国内出现过的案例太多了。当经济稍微有所缓慢的时候，往往商业间谍行为增加，而且对企业来说，特别是对研发部门而言，现在我们一些管控也没有做到对频率、对无线、对人身各方面的管控 ，这确实跟企业文化有关系，但至少在我们目前遇到的100强企业也有一些是做得不错的。

刚才提到供应链，继续举几个例子，研发中最常用的器材，能够将我们屏幕的内容传输出去。特别是在你购置这个设备时已经做了处理、做了手脚了。现在市场有现成的各个型号的产品，很多人在使用时根本就没注意这个细节。

比如（高清视频线）外壳没有任何孔,以往需要特殊手段才能将我们研发屏幕的内容 传输出去，但如果这个东西本身就是特定构造的，而且构造成本也并没有那么高，将这批线全部输入到官方搭建的研发部门，这个部门在使用这个线做开发时没有任何工作影响，但这个线可以将你屏幕中所有的东西，包括源码、项目计划、产品计划全部传输出去，而且你是完全没有感知的。

这种情况下，即使有的企业出现了问题怀疑是“内鬼”，但将发现没有任何痕迹。这种情况下，这个级别的供应链问题，到目前我们所接触到的所有企业，100强也好，BAT也好，它的防御能力是“零”，这是最大的问题，而且非常可怕。现在我们并不知道多少企业内部已经出现问题、不知道有没有设备进来，防御是“零”。

什么是技术反窃密？技术反窃密跟我们现有的安全体系包括内部的审计、内部的监控没有任何关系，它是另外一条体系，这个体系里有一个词叫“TSCM”。

这个词是美国人发明的。美国最早在2002年黑帽子大会上发布这个词，TSCM从2002年到现在，最早建立TSCM的公司在美国都是由来自CIA、FBI等的前情报人员成立，经过10多年的发展，2012年左右开始有商业公司进入这个领域。

现在我们在国内企业交流时都说很多人都对它没有概念，但是我们跟一些在华的美国公司交流时，这些在华公司每个季度都会有专项经费对研发部门、对内部高管办公室会议室全面检测、抽查，这是他们从国外带过来的良好商业安全习惯，很多国内公司还压根没有到这个习惯。

TSCM并不等于无线安全，因为它跟我们传统提到的无线安全不一样，我们现在说的无线安全包括IoT，从技术角度包括WiFi、蓝牙等等，但是TSCM面对的是所有的频段，包括无线电，包括2G、3G、4G，包括特定频道等等。TSCM并不关心信息安全里什么渗透、木马之类。

如果说要定义它属于什么？属于强化对现有信息安全补充的物理安全以及商业隐私保护，一定要注意，是商业隐私保护而不仅仅个人隐私保护，商业隐私远超于个人隐私。

举个例子，我们现在通常是这么做的，在有的环境中我们可以对现有的研发体系现有状况进行评估，比如物件透检，从键盘、鼠标、电脑全部经过物件透检，再比如频谱分析，对异常信号进行分析排查等等，这个层面跟我们现在的信息安全管控确实关系不太大，而这个层面恰恰是很多公司没有做到的。

还有一个概念是“物理风控”，这个层面包括会议安防评估、日常敏感区域巡检等等，物理风控就是从物理层面对风险进行管控，完善现有的研发环境监管 。在不侵犯员工个人隐私的情况下，对现有的商业数据等进行保护，这方面现在牵头部门通常有安全、法务、行政和HR等。

声明：本文来自看雪学院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。