科技云報(bào)道原創(chuàng)。

11月24日—27日，INSEC WORLD成都·世界信息安全大會(huì)成功舉行。克服了疫情等不利因素，本屆大會(huì)在總規(guī)模、演講嘉賓層級(jí)、參會(huì)觀眾數(shù)量等方面，比上屆有著顯著提高。

本次大會(huì)由中外3大院士共同領(lǐng)銜，逾40家網(wǎng)安品牌同臺(tái)，近60位海內(nèi)外演講嘉賓傾情奉獻(xiàn)，近百家媒體全程報(bào)道，突破2,000位線下參會(huì)人士出席，開幕式及主論壇網(wǎng)上直播吸引了逾70萬名全球觀眾，成為安全行業(yè)見面交流的大型峰會(huì)現(xiàn)場(chǎng)。

作為每年熱門的分論壇之一，【漏洞攻防與安全研究】論壇備受關(guān)注。此次論壇邀請(qǐng)到了來自深信服、Checkmark、騰訊、Cyberbit、知道創(chuàng)宇等信息安全領(lǐng)域知名企業(yè)的技術(shù)專家們，就漏洞攻防技術(shù)在企業(yè)中的實(shí)際應(yīng)用和案例進(jìn)行了分享。

值得注意的是，今年該論壇更加注重安全技術(shù)的實(shí)戰(zhàn)化研究，專家們的演講內(nèi)容也是避虛就實(shí)，就威脅獵捕、紅藍(lán)對(duì)抗、漏洞挖掘、業(yè)務(wù)安全人機(jī)對(duì)抗等多種實(shí)戰(zhàn)性的安全話題進(jìn)行了深度探討。

本文精選【漏洞攻防與安全研究】論壇上的精彩發(fā)言和觀點(diǎn)，以饗讀者。

龐思銘丨深信服安全架構(gòu)師

隨著攻擊商業(yè)模式逐步成熟，攻擊者所需的技術(shù)門檻也在不斷降低。黑產(chǎn)技術(shù)的差異正在變得逐步模糊，包括把相關(guān)的武器庫披露到安全圈里面，大大降低了黑產(chǎn)工具和漏洞利用的成本。

同時(shí)，所有的安全防御廠商都面臨一個(gè)實(shí)際的難點(diǎn)，那就是如何把攻擊團(tuán)隊(duì)和產(chǎn)品團(tuán)隊(duì)做成一個(gè)有效閉環(huán)的機(jī)制，把攻擊團(tuán)隊(duì)的攻擊技巧轉(zhuǎn)化為具體安全檢測(cè)實(shí)踐的能力，這中間存在很大的鴻溝。

因?yàn)閷?duì)于攻擊團(tuán)隊(duì)來說，他們的知識(shí)領(lǐng)域更多體現(xiàn)在如何開發(fā)漏洞、利用漏洞；但對(duì)于安全產(chǎn)品團(tuán)隊(duì)來說，他們的知識(shí)來自5-10年傳統(tǒng)的檢測(cè)技術(shù)，比如IDS、基于特征匹配的技術(shù)。

兩者在知識(shí)上的鴻溝，造成了安全解決方案不能及時(shí)對(duì)應(yīng)最新的攻擊技巧。

我認(rèn)為應(yīng)對(duì)思路有兩部分：

第一，來自于組織建設(shè)，例如：情報(bào)體系構(gòu)建的意義，就在于攻擊團(tuán)隊(duì)與產(chǎn)品團(tuán)隊(duì)有效的對(duì)接。

?

龐思銘丨深信服安全架構(gòu)師

李亭丨Checkmarx中國區(qū)技術(shù)總監(jiān)

現(xiàn)在的DevOps都要引入安全策略。因?yàn)槿绻暇€前發(fā)現(xiàn)有問題了，到底是“帶病”上線，還是解決了這個(gè)問題之后再上線，會(huì)是一個(gè)很大的問題。所以，DevOps往后發(fā)展就涉及到安全問題了。

安全策略其實(shí)有很多，其中關(guān)于應(yīng)用安全的，叫做漏洞管理策略。例如：

應(yīng)用安全的漏洞一直會(huì)有，所以企業(yè)需要了解，哪些漏洞可以接受，哪些漏洞不可以接受，這就是一種策略。

研發(fā)部門和安全部門關(guān)心的內(nèi)容不一樣，哪些漏洞是雙方都認(rèn)為一定不能接受的，這也是一種策略。

那么，企業(yè)應(yīng)該如何在DevOps流程中實(shí)施漏洞管理策略呢？

李亭丨Checkmarx中國區(qū)技術(shù)總監(jiān)

李龍丨騰訊安全策略高級(jí)研究員

新基建到來后，黑產(chǎn)也發(fā)生了新的動(dòng)向，如：IPV6地址量龐大，黑產(chǎn)可以使用的資源接近于無限；5G到來正在突破舊的安全策略；黑產(chǎn)的平臺(tái)和工具也在傾向于平臺(tái)化和云化。

面對(duì)黑產(chǎn)技術(shù)的升級(jí)、獲取資源的海量化，業(yè)務(wù)安全從業(yè)者該如何應(yīng)對(duì)呢？

第一，情報(bào)與策略的聯(lián)動(dòng)。通過情報(bào)和藍(lán)軍對(duì)自動(dòng)機(jī)手法的分析，可以反哺到策略，定制一些安全策略。還有可以摸清黑產(chǎn)到底使用的是哪些資源，從資源層進(jìn)行對(duì)抗。如果知道了黑產(chǎn)是誰，還可以直接聯(lián)合警方進(jìn)行線下法務(wù)打擊。

騰訊通過聯(lián)合各個(gè)業(yè)務(wù)之間的聯(lián)動(dòng)，已經(jīng)覆蓋了所有的安全主線。當(dāng)用戶在第一個(gè)環(huán)節(jié)登錄，如果發(fā)現(xiàn)惡意，基本上就會(huì)進(jìn)入黑名單，那么后面的各個(gè)環(huán)節(jié)也能夠使用這樣的惡意結(jié)果。同時(shí)，不同業(yè)務(wù)場(chǎng)景積累的黑產(chǎn)資源，也能夠復(fù)用到其他業(yè)務(wù)場(chǎng)景，取得非常好的效果。

安全不光光是一個(gè)業(yè)務(wù)或者是一個(gè)團(tuán)隊(duì)的職責(zé)，它需要所有人一起來共建，建立一個(gè)黑產(chǎn)對(duì)抗的樞紐，不光是通過數(shù)據(jù)層的協(xié)作、模型層的共建，還有服務(wù)層的打通。騰訊還聯(lián)合業(yè)務(wù)方一起來共同治理，來確保騰訊業(yè)務(wù)的健康發(fā)展。

李龍丨騰訊安全策略高級(jí)研究員

朱凱丨Cyberbit中國區(qū)安全技術(shù)總經(jīng)理

調(diào)研數(shù)據(jù)顯示，只有20%的網(wǎng)絡(luò)安全專家是經(jīng)歷過真實(shí)事件網(wǎng)絡(luò)安全事件的處置。大部分的企業(yè)的安全團(tuán)隊(duì)都是在工作中，才第一次經(jīng)歷到這樣一個(gè)網(wǎng)絡(luò)安全的發(fā)生和處置。在面臨實(shí)際的安全事件時(shí)，會(huì)感到各種各樣的壓力。

佛羅斯特咨詢公司曾表示，在高級(jí)安全分析中，價(jià)值是來自人，軟件不提供答案。所以，Cyberit主要做高效藍(lán)隊(duì)的訓(xùn)練平臺(tái)，幫助人在安全防守上做一個(gè)高效的提升。在這樣一套平臺(tái)上，花4個(gè)月的時(shí)間，就能把一個(gè)新人變成一個(gè)真正的網(wǎng)絡(luò)戰(zhàn)士。

我們主要通過三個(gè)方面來做人才培養(yǎng)，包含：技術(shù)訓(xùn)練、高級(jí)訓(xùn)練、擴(kuò)展性訓(xùn)練。在這個(gè)平臺(tái)上通過模擬游戲的方式，讓大家比較快速、輕松地去接受實(shí)戰(zhàn)性的訓(xùn)練，獲得相應(yīng)的經(jīng)驗(yàn)。

在平臺(tái)中，網(wǎng)絡(luò)安全工作分為7大類，33個(gè)領(lǐng)域，52個(gè)工作角色，628個(gè)知識(shí)，374個(gè)技能，以及176種能力。在這樣的框架中，可以很好地指明每個(gè)人在信息安全領(lǐng)域中的方向和角色，以及需要具備的技能，補(bǔ)齊自己的短板。

百聞不如一見，希望通過這個(gè)平臺(tái)，對(duì)安全團(tuán)隊(duì)提供動(dòng)手的實(shí)戰(zhàn)，而不是停留在聽說過安全事件。

朱凱丨Cyberbit中國區(qū)安全技術(shù)總經(jīng)理

李松林丨知道創(chuàng)宇404實(shí)驗(yàn)室安全研究員

RDP協(xié)議是微軟創(chuàng)建的遠(yuǎn)程桌面協(xié)議，它允許系統(tǒng)用戶通過圖形界面連接到遠(yuǎn)程系統(tǒng)。主要流行的應(yīng)用包括微軟系統(tǒng)自帶的mstsc.exe，以及最成熟的開源應(yīng)用freerdp。

今天我們來探討一下如何攻擊rdp協(xié)議當(dāng)中的圖像處理通道。因?yàn)閳D像處理通道，相對(duì)來說比較復(fù)雜，而且各種運(yùn)算、規(guī)模也比較大。

對(duì)圖形處理通道進(jìn)行攻擊，有兩條路徑：第一，靜態(tài)虛擬通道API處理。第二，動(dòng)態(tài)擴(kuò)展通道。在找到路徑后，對(duì)API路徑進(jìn)行fuzzing。

但在實(shí)際fuzzing中會(huì)有一個(gè)問題，發(fā)現(xiàn)的路徑越多，包括投遞的樣本越多，越難繼續(xù)深入發(fā)現(xiàn)其它更深的樣本。另外，還有因素會(huì)阻止發(fā)現(xiàn)新路徑，比如在路徑上發(fā)現(xiàn)了一枚漏洞，導(dǎo)致程序崩潰。這種時(shí)候就需要手動(dòng)做一些補(bǔ)丁。

我們目標(biāo)不僅是發(fā)現(xiàn)free rdp漏洞，更高的目標(biāo)是發(fā)現(xiàn)微軟的漏洞。微軟用的都是rdp協(xié)議，他們程序的API和free rdp的API也可能是一樣的。所以，對(duì)微軟的mstsc的API路徑進(jìn)行fuzzing后，同樣也得到了一些漏洞。

當(dāng)然，我們挖掘到了漏洞，還要以黑客的方式去思考，怎樣才能利用漏洞去攻擊。我認(rèn)為主要有兩種方式：一是，緩存投毒，指向惡意服務(wù)器。二是，控制服務(wù)，再通過跳板進(jìn)一步控制其他用戶，反向攻擊客戶端。

李松林丨知道創(chuàng)宇404實(shí)驗(yàn)室安全研究員

結(jié)語

這些年隨著黑客事件頻發(fā)和日趨嚴(yán)格的安全監(jiān)管，企業(yè)對(duì)于信息安全更加重視，也投入了大量預(yù)算采購安全產(chǎn)品、招募安全團(tuán)隊(duì)。但有了設(shè)備和團(tuán)隊(duì)不等于有效果，畢竟實(shí)戰(zhàn)才是檢驗(yàn)安全防護(hù)能力的唯一標(biāo)準(zhǔn)。

可以看到，本次INSEC WORLD大會(huì)緊跟安全防護(hù)走向?qū)崙?zhàn)化的趨勢(shì)，【漏洞攻防與安全研究】分論壇更是聚焦紅藍(lán)對(duì)抗、人機(jī)對(duì)抗、威脅獵捕等實(shí)戰(zhàn)性話題，分享了來自行業(yè)一線的安全觀點(diǎn)以及最前沿的技術(shù)方法，相信能夠?yàn)槠髽I(yè)提升安全防護(hù)能力提供更多思路，將安全需求進(jìn)一步落到實(shí)處。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。