【原创】腾讯有个技术军团，“疯起来”连自己都打

某个安静的午后，一个男人在LS(腾讯技术工程事业群总裁）办公室门口徘徊，形迹可疑。

终于，他出手了。

只见他飞快拿出一张卡片，嘀的一声，总裁办公室的门，就……就开了

这个敢破老板办公室门禁的男人，叫Lake。用来破门的工具，是他在一小时前研制出来的。

原来，当天上午LS和Lake打了个赌，看Lake能不能黑掉他的门禁。显然，lake赢了。

“想不到吧，哈哈哈，我复制了你秘书的工卡。”见到LS，Lake笑得很猖狂

“看来，我要在办公室门口加一个摄像头了。”LS故作淡定回答

“赌赢了，我可以提前下班了吧。”说完，Lake帅气地背起书包，关门扬长而去。

当然，Lake发现的门禁易被复制问题马上同步给了公司行政部。很快，公司门禁系统进行了一次升级和修复。

在停车场“练习抬杠”

这个敢对老板痛下狠手的男人，来自腾讯TEG安全平台部，这是一支专注于黑客角色扮演的内部攻击队伍。

他们的使命是在合规流程下，以黑客视角持续渗透公司资产，协助提升业务系统安全性，完善安全系统能力。

在业内，这样自己打自己的人被称为“蓝军”。就像军事演习中的红蓝军对抗，网络安全中，红蓝军对抗则是一方扮演黑客【蓝军】，一方扮演防御者【红军】。

在腾讯内部，类似的“蓝军”团队有不少。大家日常使用的腾讯APP和服务，在内部可能已经被他们善意地“攻破”过n次了。

就连腾讯大厦的停车场他们都未曾放过——让没有登记过的陌生车辆自由进入仅供内部使用的腾大停车场！

（心疼保安哥哥10秒）

这种对自家大楼进行的模拟攻击场景，其实是家常便饭。就像港片里入侵者破解系统，把自己数据加入进去，成为合法进入者一样。

但每一次“入侵”完毕，蓝军们都会将发现的问题提交给负责团队，避免出现同样问题，甚至催生出产品。

比如停车场的漏洞报告，除了推动腾讯大厦设备供应商进行修复，还催生了可以对外输出的智能楼宇/智能设备安全的标准和能力。

活好话少，专注“打自己”

门禁、停车场还是业余活动，他们最常做的还是“进攻”腾讯自家产品和服务，也就是真正的“自己打自己”。

截至目前，腾讯各个蓝军团队已经联动各个产品业务进行过数百场红蓝军对抗演习。

如大家现在天天使用的微信小程序，在正式上线之前就接受过蓝军的多轮模拟攻击检测。

“我们消失了10多天，就是去广州微信团队驻场，搞特训营，吃喝拉撒都在一起，跟着业务红军做对抗测试。”小五回忆当时的场景。

为期10天的持续对抗，最终确保了小程序上线前修复已有的安全漏洞，立了一功。

“一部手机游云南”也进行过红蓝测试，同样是在产品发布前及时发现和解决了安全风险。

还有腾讯云、QQ、微信、微信支付、黄金红包、区块链电子发票等等业务，在上线前也没少被“蓝军”们折腾。

每一个被折腾完的业务都觉得：wow，自己打自己，好爽

这种“自打神功”墙内开花，墙外也香。

2018公安部组织的贵阳大数据及网络安全攻防演练中，腾讯TEG安全平台部与腾讯云安全、腾讯安全科恩实验室、腾讯企业IT部、数字广东组成的联合安全团队获得技术创新一等奖。

“黑客思维”的年轻人

“防的人要懂得攻。我们会尝试从黑客的角度去思考，他们会从哪里下手。大部分的漏洞都是人导致的，人性就是最大的安全漏洞。”年轻却资深的工程师小五如此说道。

“现实生活，他们活好话少非常低调，虚拟世界里，那叫一个狂野，像不突破不死心的斗士。”经常跟他们打交道的juju调侃道。

这群极客般的工程师对技术攻防乐此不疲，就连团建也不忘敲代码——

读书也要读《反欺骗的艺术》——

谋划作战的时候一定是谋定而后动——

“红蓝较量”无终止

腾讯的业务很多，流量很大，安全挑战也很大，腾讯各蓝军团队担子一点儿也不轻。

不过，“和业务团队、安全红军一起守护这么大体量的用户安全，是很有使命感和自豪感的”。小五说起这个美滋滋的。

毕竟，他们一方面可以通过合规授权的方式进行攻击演练，很刺激；帮被攻击业务团队发现问题得到感谢，又很满足。

他们就是这样，躲在你常用的腾讯产品背后以攻为守，保护业务也是保护用户的安全。

在腾讯，这种自己打自己的“红蓝较量”不会休止。