腾讯BladeTeam获封CNVD“最具价值漏洞”奖安全研究显现产业价值

Written by on 2019年12月31日 in 必威电竞怎么充值

2019年12月30日,国家信息安全漏洞共享平台(CNVD)2019年工作会议在北京举行,腾讯安全研究团队Tencent Blade Team受邀参加,凭借此前发现的高通WLAN芯片远程代码执行漏洞,被授予“最具价值漏洞”殊荣,在十个获奖团队中名列第一。此次得奖,也是对Tencent Blade Team全年不间断输出高质量安全研究、积极推动行业建设的肯定。

曾蓉:在我们选择GP,除了上述各位提到的部分,我们在实践过程中还有两点比较关注。第一,我们最为关注的还是“人”,我觉得头部机构也好,本土机构也好,知名机构也好,投资过程中真正核心的还是团队的人,人的专注性、人的专业性、还有团队之间的磨合性,非常重要。如果某一只基金的管理团队成员单个来看,投资能力都很强,但是配合起来的磨合度不强也是不可行的。我们往往会在合作协议里面会对核心成员进行锁定。

前者可让攻击者通过蓝牙模块的内存破坏漏洞,实现“越狱”,进而获取更多权限。此前业界对于这一攻击面的研究极少,谷歌公开的漏洞中,仅有三个能通过Web蓝牙组件实现代码执行、沙箱逃逸,其中Tencent Blade Team就占据了前两席。

曾蓉:大家上午好!非常感谢猎云网给我们一个机会,说到我们单位的名字大家非常陌生——“成都生产力促进中心”。我们中心没有金控、产投这样的大牌子,但我们是成都市首只政府引导基金,我们的目标非常明确,就是聚焦支持科技型中小微企业发展。

此前在美国拉斯维加斯举行的世界顶级黑客大会Blackhat & DEFCON2019的舞台上,Tencent Blade Team斩获了五个议题席位,研究涵盖移动互联网、手机基带、物联网、基础软件库等多方面,创下了国内团队数量之最。

第二,刚才都提到了过往业绩。我一年见的机构也蛮多,告诉我投了这样那样的项目,已投项目固然需要关注,但是我们更关注退了什么项目。

后者则延续了Tencent Blade Team对知名开源数据库SQLite的研究,新发现的SQLite组件漏洞被命名为麦哲伦2.0,进一步完善了SQLite的纵深防御体系。继发现麦哲伦1.0并成功入选Blackhat和DEFCON议题之后,研究员再度发现,SQLite中存在严重漏洞,可让攻击者绕过增设的防御系统,造成程序内存泄露或程序崩溃甚至代码执行。SQLite被广泛应用于所有主流操作系统和软件中,因此该漏洞影响极为广泛,各个系统的谷歌Chrome浏览器,以及安卓上使用Webview的APP,以及一些基于Chromium内核开发的浏览器等都受到影响。目前,漏洞已报给谷歌及SQLite官方,并被确认及修复。

日本作为全球温泉文化最为盛行的国度之一,其境内的温泉景点也受到了中国游客的大量关注。冰岛的蓝湖温泉,今年凭借极美的景观和别具心裁的酒店设计,在多个网络平台受到大量关注。另外,境外目的地涨幅榜前十名中,日本目的地占据了5个席位,分别为静冈、小樽、箱根、函馆、名古屋。“静冈处在日本东京和大阪之间,境内有富士山和以温泉与海景出名的伊豆半岛,因此在冬季受到许多中国游客的关注”,马蜂窝数据研究中心负责人马禹涛表示。此外,小樽、函馆、札幌、登别、旭川等日本北海道城市都有较高的热度增长,涨幅均超过13%。

“今年冬天带孩子到长白山,孩子第一次看到雪,很兴奋。请了个教练教双板,小孩子学习滑雪也很快,才两天就能上中级雪道了。”来自广州的宋女士表示。滑雪作为一项曾经的“高端运动”,在中国越来越普及。携程主题游平台负责人张怡介绍,滑雪这个小众项目正在变得全民化,休闲化。中国滑雪市场潜力巨大,预估目前滑雪游客80%为初学者,90%以上平均每个雪季滑1-2次,一次性体验者占比非常高,中国已经成为全球最大的初级滑雪市场。

(责编:刘佳、连品洁)

此次盛典上,猎云网将通过六个版块分享创业者和投资人在智能制造、文娱、零售、医疗、教育、汽车等领域的启发性的观点和行业前瞻,围绕多个维度,分享科技和产业前沿观点,探讨创新潮流趋势、把握未来新方向。

曾蓉:刚刚交流当中我已经提到了,不管它是政府引导的基金还是市场化的基金,本质还是市场化。

除了在攻防上的持续探索,接下来开放安全能力助力行业也是腾讯Blade Team的重点方向之一。目前,Tencent Blade Team已建立与谷歌、苹果、微软、高通、华为、小米等国内外一流厂商的协作模式。同时,将安全能力开放给产业,通过标准制定、安全认证等多个模式,共同搭建产业安全体系。

探索安全边界,多次发布重大研究成果

Tencent Blade Team自成立以来发现了多项重大安全研究成果。仅在12月,Tencent Blade Team研究员就先后公布了两个重大发现:Chrome浏览器的Web蓝牙模块和SQLite组件均存在严重漏洞,可分别导致Chrome沙盒逃逸和远程代码执行。

曾蓉表示,她在选择合作的GP时最关注的就是“人”。在她看来,无论是什么样的机构,人的专注性、人的专业性、还有团队之间的磨合性非常重要,所以,在基金合伙协议里锁定关键人尤为重要。

陈蜀杰:曾总提到了退出的问题,退出不仅是对于GP非常重要,对于LP来讲也是非常重要的话题。因为我们知道2015年开始政府引导基金大规模爆发式增长。七年左右,2020年,虽然现在是2019年,2020年可能会有一大批基金到退出的阶段。我们可以大概说一下,对于现在基金管理的退出是否乐观?有什么样的挑战?

温泉游以亲子家庭为主 体验最受关注

陈蜀杰:今天来猎云网活动,猎云网也是我们的被投企业,我觉得这是很有意义的平台。因为整个创投权是一个大的生态,政府引导基金再通过GP,一起把钱给到创业者们,就像开辟了一片土地,真正在里面种地、长果实的,要靠在座的创业者们,生长出好的庄稼。所以我们把政策、资源给到他们,最终大家耕耘出具体的成果来。面对2020年,其实是一个新的篇章,有人说2019年是过去十年里面最差的一年,也可能是未来十年当中最好的一年,危中有机,未来新的篇章,大家有什么话想对在座的创业者们说,用一句话总结。

Tencent Blade Team由专注于腾讯内部安全的腾讯安全平台部孵化而成,长期的前沿攻防实战经验也有助于内网安全能力的建设,包括网络保障、漏洞收敛、应用防护、入侵对抗、应急响应、威胁情报、安全质量提升等多方面,以攻促防,打造腾讯内部完善的安全防御体系,并依托腾讯云、互联网+等渠道,将十五年腾讯安全防护最佳实践以产品形态输出,助力数字化产业安全。此次,腾讯安全应急响应中心(TSRC)也斩获了“2019年度漏洞应急工作突出单位”,腾讯安全玄武实验室同样获得了“最佳价值漏洞奖”,彰显了腾讯整体对安全的大力投入。

所以,考虑GP的诉求时,我觉得不要仅仅考虑返投,同时还要做好参股比例、返投比例及让利机制等多方面的权衡。还有一点值得一提,就是基金规模的控制非常重要,因为我是做早期,所以对参股组建基金的整体规模要有一个控制,因为你必须要考虑成都本土该领域内大概有多少可投资的早期初创类项目。

“随着游客出游半径的持续扩大,今年有不少冰雪游客将目光放到了国外,计划到世界知名滑雪场磨练技术,抑或体验冰钓、乘坐雪橇等。从目前来看,出境冰雪游产品价格较为稳定,预计元旦和春节期间会有略微涨幅,有计划休假的游客建议提前锁定相关产品。”途牛旅游网相关负责人表示。

温泉历来都是冬季旅游的热门主题。气温越低,温泉旅游热度越高。今年的温泉旅游主要以亲子家庭为主,年末销假出游的白领群体也不少。从客源地来看,上海、杭州、苏州、南京、广东等地的南方游客更倾向于趋暖避寒。行程安排上,多数游客选择周末出游,通过自驾、高铁前往周边温泉景区,温暖迎冬。驴妈妈旅游网数据统计,长三角地区的南京、常州、苏州、安吉、金华、杭州、无锡;珠三角的茂名、清远;北京周边的古北水镇、张家口等都是温泉游热门目的地。天目湖御水温泉、珠海海泉湾度假区、南京汤山颐尚温泉、北京古北水镇(司马台长城)国际旅游度假区、云澜湾温泉、南京汤山一号温泉、江门古兜温泉小镇、汤山紫清湖旅游区森林温泉、苏州天颐温泉、大连鲁能海洋温泉入选国内最受欢迎的十大温泉景区。

所以,在政府引导当中,其实我们要综合考虑几个因素。第一,政府引导基金的参股比例,这是要做好策略上的选择;第二,返投比例与参股比例的确定,应重点参考本区域内项目的数量与容纳量;第三,要有一定的政府引导,既然是引导,不是主导,我们要有一定的让利机制。比如说要引导资金投向市场不太充分的早期阶段,政府应该有让利和激励举措,目前,天使投资引导资金的退出机制为:四年内是原值退出,4-6年是按照同期贷款利率,6年之后同股同权。

陈蜀杰:最近跟政府打交道感觉到,政府有很优秀的人才,而且政府本身就是一个大企业,在做企业的管理,只不过管理的盘子是更宏观、更复杂一些。如果把政府比作一个企业,这个企业的特点一个是很宽,一个是很长,宽是指什么呢?考虑因素非常多,更多是考虑到社会的发展,考虑到整个地区是不是有多元化的经济,来促进当地发展。更长的话,不是看短期利益,而是看长期利益。所以,政府给我感觉是更高瞻远瞩型的企业,既有企业的思维,又有高瞻远瞩的目标。那么,政府与GP合作过程当中,你们喜欢什么样的GP?你们如何评判?你们希望引进合作的GP关注哪些点?

截至11月底,东部4城市援助甘肃资金实际使用额为26.35亿元。其中,用于“三区三州”深度贫困地区产业扶持、危房改造、安全饮水等项目资金19.32亿元。

为了帮助创业者和投资人重新蓄力,2019年,猎云网携全新品牌“新势力(New Force Summit)”亮相。本次峰会由猎云网主办,锐视角、猎云资本、猎云财经、企业管家协办。

以下为曾蓉圆桌分享实录,猎云网整理:

Tencent Blade Team也深度参与到了腾讯多个产品的安全审计、合规认证中,涵盖支付、智能设备、云安全、区块链等多个领域,充分将攻击思维用于防御建设中,构建完善的纵深防御系统。

12月10日,2019年度CEO峰会暨猎云网创投颁奖盛典在北京望京凯悦酒店隆重举行,近百位知名资本大咖,独角兽创始人、创业风云人物及近千位投资人与创业者共聚“新势力·2019年度CEO峰会暨猎云网创投颁奖盛典”。

为用好帮扶资金,甘肃省扶贫部门与财政部门完善资金管理办法,将东西部扶贫协作资金纳入财政预算管理,建立全方位监督体系,确保援助资金用于解决贫困户稳定收入、“两不愁三保障”等方面的难点。

峰会上,在由联想创投集团执行董事、CMO陈蜀杰主持、以“政府引导基金——如何更好助力产业升级”为议题的高峰论坛上,成都生产力促进中心书记主任曾蓉、武汉光谷金融控股集团副总经理罗志、北京电子商务中心区投资有限公司总经理常学智和南京市创新投资集团基金管理部总经理刘守邦就论坛议题发表了精彩观点。

对于计划年末“清假”以及元旦、春节出游的游客而言,出境温泉游也是不错的选择,途牛截至目前的预订数据显示,日本、德国、法国、瑞士、意大利、土耳其、新西兰、芬兰、冰岛等地温泉游产品关注度较高,游客较青睐的十大温泉(度假区)包括日本草津温泉、德国巴登巴登温泉、日本宇奈月温泉、日本箱根温泉、澳大利亚莫宁顿半岛温泉、新西兰罗拖鲁瓦温泉、日本北海道温泉、土耳其棉花堡温泉、冰岛蓝湖温泉、维吉特尼温泉。

除了在境内冰天雪地撒欢,前往日本、俄罗斯、芬兰、瑞典、冰岛、法国、意大利、奥地利、瑞士等滑雪旅游资源丰富的国家和地区开展冰雪旅游,也是很多滑雪发烧友的心仪之选。从世界范围来看,欧洲方向的冰雪旅游产品由于开发程度更高,配套设施更完善,俄罗斯贝加尔湖、芬兰拉普兰、冰岛冰河湖等受到较多冰雪旅游爱好者青睐。不仅如此,在芬兰、冰岛等地,游客还可在玩雪的同时观看美丽的极光,可谓一举两得。

CNVD是由国家互联应急中心联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。据悉,仅在12月,团队就报送了两个影响范围极大漏洞,分别对Chrom浏览器的Web蓝牙模块和知名开源数据库组件SQLite进行了研究,从攻防的广度和纵深度两个层面拓宽了安全研究的边界。

除了不断探索安全研究的边界外,Tencent Blade Team也在充分利用攻击者视角的优势,参与到防御建设中来,做“安全防线的共建者”。此次在发现麦哲伦2.0的过程中,他们就提出了一种全新的fuzz漏洞挖掘思路和工具,被谷歌采纳,集成到了内部fuzz工具库。据谷歌反馈,这一工具上线后,短期内即发现了SQLite中10余个安全和稳定性问题。

在谈及基金退出问题时,曾蓉认为,一些政府引导基金的管理办法对于退出机制不太明确,导致了后期的退出难题。所以,成都市科技创业天使投资引导资金明确了退出机制,并将之写入管理办法作为顶层设计的一部分。同时,政府基金在退出问题上还需要用政策来加强引导。

成都生产力促进中心在2014年成立第一只政府引导基金——成都市科技创业天使投资引导资金,也是成都市首只政府引导基金。在成都生产力促进中心书记、主任曾蓉看来,政府引导基金本质也是基金,要遵循市场规律,所以在平衡政府引导与市场化运营两方面时,需要考虑好参股比例、返投和让利机制,除此以外,做早期的政府引导基金还需要注意控制基金的整体规模。

产业互联网时代,构建安全生态,需要上下游多方的参与,“安全研究发现问题–厂商协作解决问题–产业合作完善生态”的合作模式正在成为Tencent Blade Team的常态机制。

今年我们跟很多政府形成了政府联合基金,大家一起来给创业者们赋能。所以我们现在可以看到政府是非常积极、非常活跃的力量。在刚刚跟几位政府LP的老师们一起交流的时候也发现现在态度非常open,非常活跃。首先请各位老师介绍一下我们的基金背景。

曾蓉:我想到一句话,鸡蛋从外打破是食物,从内打破是生命;人从外是压力,从内是成长,我们做人是如此,企业也是如此,还是要靠自己。

推广:猎云银企贷,专注企业债权融资服务。比银行更懂你,比你更懂银行,详情咨询微信:zhangbiner870616,目前仅开通京津冀地区服务。

未来,Tencent Blade Team也将继续做好安全边界的探索者,安全防线的共建者,安全生态的打造者,充分保障产品、用户和行业的安全。

陈蜀杰(主持人):非常感谢猎云网给我们一个机会,跟LP们有很好的对接交流。先简单介绍一下联想创投,联想创投是联想集团旗下的CVC,就是我们说的战略投资,就像刚开始老贺跟大家分享的现在投了120多个项目,主要是科技+产业,我们也希望把联想全球的资源跟大家一起对接,赋能给大家。

显现产业价值,全链路合作打造安全生态

曾蓉:中心已经成功退出了三只基金。为什么能退呢?是因为相对合理地设计了退出机制。因为今天的主题是政府引导基金,政府引导基金相对要受到更多政策、规定、办法的限定,比如在对GP的要求、基金投资的要求等方面,制定得非常完美,但是在退出机制的设置上却不太明确,这造成了很多政府引导基金到期之后很难退出。

共建安全防线,从漏洞挖掘到防御建设

cradmin提到,今年团队主导完成了《腾讯物联网安全技术规范》和《腾讯智能门锁安全技术要求》,助力腾讯云成功推出物联网设备安全测评服务;还联合腾讯标准团队制定物联网安全相关标准在ITU-T成功立项,提交区块链安全标准提案在CCSA TC8会议成功立项。

陈蜀杰:现在联想也在跟多只政府引导基金合作,遇到一个比较现实的问题,通俗来讲就是反投的问题。我们知道每一个城市,尤其现在发现北上广深的,他们都有当地独特的资源,希望通过创业的力量把这些资源盘活。说到最真实的需求,政府希望企业到这边来。从政府引导的角度与市场化运营的角度,我不知道各位是怎么平衡的?一方面我们要追求利益的最大化,另一方面希望很多好东西留在当地,符合当地的发展。想听一下各位老师你们的想法。

目前,我们的天使投资引导资金在管理办法当中非常明确地设置了退出机制,至于退出年限可以进一步探讨优化。因此,在体制机制上政府引导基金一定要考虑怎么退的问题,并且写入管理办法作为顶层设计,我觉得这是至关重要的部分。

进入12月,滑雪季正式拉开帷幕。而随着2022年冬季奥运会召开在即,近年来滑雪游人气暴增。从携程滑雪订单中看,来自上海、北京、广州、杭州、哈尔滨、天津、郑州、深圳、西安、昆明、成都的订单最多。目的地方面,国内长白山、张家口、哈尔滨、长春、成都最热门。海外日本、瑞士、加拿大、法国、韩国人气最高。滑雪游客中,单人出行最多,占比29.3%。其次是亲子游客占比27.5%,情侣出行占比22.8%、同事朋友占比20.4%。除了比较资深的滑雪爱好者,亲子游客比例上升较快,携程滑雪订单中,带孩子滑雪年龄最小的仅2.5岁,滑雪成为冬季亲子游的热门选择。

第一,我们在2014年开始成立天使投资引导资金,资金规模不大,只有4个亿,我们目前已经组建13只子基金,基金规模超过14亿,目前已投资了102个项目,投资金额超过7个亿。今年3月份受托管理第二只政府引导基金——成都市知识产权运营母基金,基金规模3个亿,目前已经有3只基金处于组建阶段;第二,我们还有55亿债权融资风险资金池,帮助科技型中小微企业利用企业信用、股权、知识产权获得银行贷款,解决其融资难、融资贵的问题;第三是科技金融资助,主要从贷款贴息、天使投资补助等来降低企业的融资成本。主要就是这三块的工作。

团队技术负责人cradmin表示:“ Tencent Blade Team致力于前沿领域的前瞻安全技术研究,希望最大化显现漏洞价值,从而提升腾讯产品的安全性、创造更安全的互联网生态,发现漏洞只是团队进行安全研究的第一步。”他介绍道,在安全研究的过程中,Tencent Blade Team扮演着三个角色:安全边界的探索者,安全防线的共建者,安全生态的打造者。

第二,退出这个问题真的是难题,想到2020年还是充满着忧郁,今年资本市场冰火两重天,冰的时候据一些报道统计说整体募资下降了有约大概百分之八十几吧,火的话科创板的开板会丰富更多退出通道。我觉得在退出问题上,可以考虑加强政策的引导,譬如,很多创投机构跟我讲,真正税收政策的落地,其实对于他们来讲,可能比政府引导基金的让利更为重要。因此,我觉得除了刚才在座各位讲到的之外,我想强调两点,一个是怎么退,一开始就要设计好思路,再一个就是综合性政策的给予,有更多的渠道或优惠来帮助和实现退出。

«