蚂蚁安全实验室登上全球白帽黑客最高领奖台

日前,被称为全球“安全界奥斯卡”的 Pwnie Awards 大奖揭榜。蚂蚁集团旗下的蚂蚁安全天穹实验室和光年实验室获得“最佳提权漏洞奖”,代表蚂蚁集团登上了全球白帽黑客最高奖项领奖台。这也意味着全球业界对蚂蚁安全科技研究成果的高度认可。

(图:Pwnie Awards 大奖公布,蚂蚁安全实验室研究员上榜)

Pwnie Awards 大奖始创于 2007 年,是为有重大和突出研究成果的信息安全工作者专门设立的重磅奖项,评委均由全球广受尊敬的权威安全研究专家担任。对于全球范围内的信息安全工作者来说,仅获得提名就意味着其研究成果具有世界范围的影响力,摘冠折桂则是技术实力的绝对象征。过去 16 年,中国仅有 5 项安全研究成果获奖。今年全球共有 80 多个项目提报,最终有 30 多个优秀项目入围 11 个奖项的提名,每个提名项目都是在全球安全领域占有一席之地的重要突破。

根据 Pwnie Awards 官方信息,蚂蚁安全实验室研究员蒋宇豪(@danis_jiang)和应鑫磊(@0x140ce)凭借《URB 神剑:破解 VMware 虚拟机逃逸的戈尔迪之结》研究成果,荣膺“最佳提权漏洞奖”。通过该研究成果,可成功在全球虚拟化龙头厂商 VMware 的所有虚拟化产品中完成“虚拟机逃逸”,实现对“宿主机”的攻击和控制。

“虚拟机逃逸”被网络安全领域公认为超高技术难度挑战。近年来,越来越多企业将业务上云,虚拟化技术成为云计算时代的核心技术支撑。它相当于在单一的硬件资源和操作系统之间,增加了一个虚拟化平台,不管硬件是否兼容都可安装运行多台虚拟机,供用户更加灵活高效使用计算机资源。真实世界中的物理服务器被称为宿主机。

云计算时代,每台宿主机都可以搭载成千上万台虚拟机,存储和运转海量数据。一般来讲,这些虚拟机之间完全独立,与宿主机的数据与权限也相互隔绝,是相对安全可靠的。可一旦虚拟机中的操作导致宿主机被控制,将是重大安全事件。“虚拟机逃逸”便是利用挖掘的虚拟化产品漏洞,不仅突破了宿主机对虚拟机的权限禁锢,还可趁机找到和控制整个宿主机。该研究成果提前预演了虚拟化产品潜在漏洞,有助于全球网络安全水位的提升。

近年来,我国加快建设数字安全屏障和数字技术创新体系,全面应对新型风险和挑战。根据权威知识产权机构 IPRdaily《安全科技专利分析报告》显示,中国安全科技发明专利总量全球第一,蚂蚁集团、华为、腾讯等中国科技企业走在世界前列。以蚂蚁集团为例,其多年来在支付风控、反洗钱、反欺诈、数据安全及隐私保护等领域全面布局,建设了一套世界领先的智能风控体系,实现了风控的智能化、主动性、可预测性、隐私保护等世界级难题,不仅支撑了支付宝的资损率连续三年低于亿分之一,还保障了十几亿人的数字化服务体验。

公开资料显示,蚂蚁集团有九大安全实验室,其中天穹实验室专注于风险对抗,光年实验室专注于基础攻防研究,光年实验室隶属于天穹实验室。天穹实验室建立了一套世界领先的智能化风险挖掘和风险攻防技术体系,可实现多维度智能漏洞挖掘、自动化持续风险验证等,进而提升安全防御系统。该实验室屡屡因“白帽子”贡献获国内外同行致谢,在国内外顶级安全攻防赛事中 10 余次夺冠,在 ACM CCS、Blackhat USA/EU/Asia 等重量级舞台多次发布高质量研究成果。