看雪2019安全开发者峰会已圆满落幕，现在我们对每一个议题进行具体分析、回顾总结。无论你有没有来到现场，现在都可以好好学习啦，快，拿起你的小本本记重点吧！（文章末尾有惊喜哦～）

议题点评

安全是一个整体。这场演讲揭秘了全新的商业间谍手段，如通过攻击供应链和后勤来取得商业敏感数据（你的公司为你采购的工作用电脑或许根本就不安全），如通过隐写术将商业代码嵌入MP3带出公司。

新的间谍手段层出不穷，这要求公司对频率 、对无线、对人身各方面进行管控。TSCM关心的是强化对现有信息安全补充的物理安全以及商业隐私保护。在可预知的将来，TSCM将会成为越来越受到重视的技术。

嘉宾介绍

​

杨叔（Longas），RC2反窃密实验室负责人，ZerOne无线安全团队创始人，“商业安全&隐私保护”系列认证课程的创始人与推广人。 

16年信息安全行业及隐私保护从业经验，并多年致力于无线攻防/通信安全防窃密的研究与实践。曾任职NSFOCUS、华为、阿里巴巴等行业大公司的安全团队负责人、专家组组长及安全研究员等。曾应邀在三十多个国内外黑客/安全会议及沙龙上担任演讲嘉宾。也是《无线网络攻防实战》系列书籍原创作者。

演讲具体内容

在过去一年里，我们接触的国内100强里面，包括BAT等等，明确出现过源码泄露的企业有很多，包括历史上比较有名的公司，百分之七八十都是由内部程序员疏忽或者程序员内部所引发的，这种出现新的威胁趋势和以往信息安全面对的威胁类型不太一样。

这里有一个来自全美商会的数据，在2018年，全美企业有500亿美金损失，是由商业窃密行为所致，这里百分之七八十是内鬼造成，还有一些是外部和员工疏忽等所致，这里有三分之一内容是跟源码直接有关系。

在这种情况下，有这样一个受关注的内容，产品涉及所有的企业信息，但是并不是所有的企业信息都属于企业核心数据。

举个例子，一般情况下我们认为信息安全是这样的环节，涉及到企业敏感数据时，有这样一些环节被认为是现在主要防御的对象，比如，除了最简单的物理盗拍外，还包括我们常说的信息安全领域的各种网络渗透、内网入侵等等出现的问题。

在过去的10多年我去过很多BAT企业，大家都知道现在BAT比较讲究开放，包括研发环境也是开放的，但是从过去我们接触的很多案例中发现，开放确实方便沟通和交流，但是可能会导致更多问题。

作为企业来说，至少有超过20多个研发主管询问过我们如何加强研发环境的管控。现在研发部门已经上了很多技术手段，比如说有一些常见的像DLP—最常见的数据防泄露机制，包括对开发人员等等权限的管控，现在已经变得完善。

但是我今天提的不仅仅是这个层面，之前我们做信息安全时接触的主要是信息安全部门，但我们现在要接触的都是法务、HR、行政部门，而且在很多大企业里，行政部门就是我说的办公室，办公室主管就是内控内审。

在这个层面而言，我们面临的窃密的方式，跟原有的信息安全方式，有这样很大区别，一般分两大类：我们之前案例中出现了开发人员在内部保密项目中或者在一些比较重要的项目对屏幕的代码进行拍摄，这是最基本的。

还有一些通过其他的信号传输方式，将屏幕内容用其他方式传输到外网等等，这样的方式作为我们现有的信息安全防控体系，完全没有办法进行识别和进行拦截。

所以在技术层面跟以往的信安并不一样，甚至是有本质区别。现在研发部门环境中有很多设备、器材，它们本身是否经过严格检测、是否存在漏洞，包括研发人员使用的电脑本身是否经过这方面的检测？也没有。

我们企业所有的部门特别是内部研发部门的电脑、配件全部来自于供应链或者后勤部门，而这个层面的防护现在完全几乎是没有的。

比如之前我们去大企业研发部门，发现老牌企业对研发部门管控要求任何访问 者不得携带电脑、不得携带手机，研发部门将手机全部存放在研发区域外部，而且进门要做安保检测。

但即使是这样，我们在8年前那个时候，发现很多工具可以将源码直接转成另外的文件带出，比如MP3文件。这种行为就可以躲过现有的某些针对窃密行为操作的监控，虽然MP3转录出来虽然有损耗，但是可以保持百分之七八十甚至九十的源码。

其它的包括“内鬼”人员使用无线偷拍器材，对屏幕进行高清录屏、翻页录屏，将源码传输出去。

现有企业的的所谓无线防御系统只能针对2.4G的WIFI起作用，对其他频段完全是无效的，在这些技术反窃密方面我们以往的防护能力确实存在有很大问题。

再举些简单的例子，以往我们给企业研发部门做检测，发现我们的研发部门现有设备，电话、会议系统、鼠标等，比如无线鼠标在放到会议室里面的时候有没有做过物理检查？这里面除了它本身信号之外有没有无线电发射装置？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！