日前,網(wǎng)絡安全領域的全球最頂級盛會——BlackHat在拉斯維加斯召開。作為網(wǎng)絡安全行業(yè)公認的最高技術盛會,匯聚了全球最新、最強的安全研究成果,前瞻性議題成為BlackHat最大亮點。為保證會議對全球安全行業(yè)的引導力,BlackHat對議題的篩選十分苛刻,入選率不足20%。在本屆大會上,京東安全針對“內核高危漏洞自動化分析和評估”的議題成功入選,同時還發(fā)布了全球首款漏洞可利用性自動化評估工具FUZE,讓安全專家們在黑產對抗的時候,手中掌握了一個“核武器”級的工具。
黑產攻防對抗的“核武器”
事實上,在安全界找漏洞并非難事,難的是如何確定漏洞的安全等級。畢竟不是所有漏洞都能對系統(tǒng)造成威脅,而如果工程師在處理低級漏洞里耗費了大量時間,則會讓高危漏洞有機可乘,這種打擊往往是致命的。以2017年初的Linux內核漏洞事件為例,在安全研究員Andrey Konovalov使用Syzkaller fuzzing工具發(fā)現(xiàn)了DCCP協(xié)議實現(xiàn)中的Linux內核漏洞并公布前,并沒有任何安全專家察覺到。這一漏洞在Linux系統(tǒng)中“潛伏”了十余年,令業(yè)界嘩然。
京東安全表示,一直以來,行業(yè)通用的應對辦法是依靠個人經(jīng)驗,換句話說,只有等別人把漏洞的利用腳本公布出來,大家才知道這個漏洞的危害性很大,這種方法效率是很低的。而FUZE將漏洞評估全面自動化,以提升漏洞應對的針對性和效率。根據(jù)實際測算數(shù)據(jù),在應用FUZE系統(tǒng)后,漏洞評估及應對的效率出現(xiàn)了顯著提升,原來多個安全工作者數(shù)天才能完成的工作量,現(xiàn)在幾分鐘就能自動完成。
除了評估漏洞的安全等級,FUZE還能完整的“回放”漏洞可能被利用的過程,極大的提升了企業(yè)的安全防范能力。以每周為例,一家中型的IT企業(yè)就可能會面對數(shù)以百計甚至數(shù)以千計的軟件漏洞。但對于這家企業(yè)而言,由于安全人員的匱乏和專業(yè)技術的缺失,無法快速完成對軟件所有漏洞的修復。而現(xiàn)在通過FUZE完成對漏洞的評估后,則能夠快速、準確的將企業(yè)有限的資源投入于修復那些高危漏洞。用京東安全專家的話說:“這就像給導彈添加了精準制導的能力。”
內核漏洞防御新機制:以攻為守,實用至上
“之所以選擇內核漏洞,是因為相比其他漏洞,它才是最可怕的。”京東安全專家解釋道,“要防御就要防最難的,連它都防住了,其他自然不在話下。”以造成嚴重安全事故的APT攻擊為例,無論是“綁架”搜索巨頭谷歌數(shù)月的極光攻擊事件,還是日常生活中常見的手機、游戲機的越獄都是利用系統(tǒng)內核得以實現(xiàn)。
與一般漏洞不同,操作系統(tǒng)內核漏洞有其特殊性,攻擊者可繞過內存訪問的安全隔離機制,獲取操作系統(tǒng)和其他程序保護的核心數(shù)據(jù),就好像地基出了問題,門衛(wèi)守得再嚴也沒用,因此往往防不勝防。而京東安全的FUZE則一改傳統(tǒng)防御方法,以攻為守,利用內核模糊和符號執(zhí)行技術,為安全分析師提供了繞過安全緩解的能力,允許安全分析人員自動生成具有不同開發(fā)目標的漏洞攻擊,從而可以評估即使尚未確認或驗證漏洞利用的內核漏洞是否具備生成漏洞的能力。
“在防御方面,我們要采取實用主義態(tài)度。”京東安全專家解釋道:“我們要比攻擊方更了解攻擊,更懂得漏洞的利用,這樣才能比攻擊方快人一步,早發(fā)現(xiàn),早治療,才能立于不敗之地。”據(jù)了解,未來,京東安全還將開源更多防御工具,與全世界的安全人士一道,用實用精神共同守衛(wèi)網(wǎng)絡安全。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 為什么年輕人不愛換手機了
- 柔宇科技未履行金額近億元被曝已6個月發(fā)不出工資
- 柔宇科技被曝已6個月發(fā)不出工資 公司回應欠薪有補償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學
- 窺見“新紀元”,2021元宇宙產業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進,核心技術決定未來
- 新思科技與芯耀輝在IP產品領域達成戰(zhàn)略合作伙伴關系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責聲明:本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。