科技云報道原創(chuàng)。
11月24日—27日,INSEC WORLD成都·世界信息安全大會成功舉行??朔艘咔榈炔焕蛩?,本屆大會在總規(guī)模、演講嘉賓層級、參會觀眾數(shù)量等方面,比上屆有著顯著提高。
本次大會由中外3大院士共同領(lǐng)銜,逾40家網(wǎng)安品牌同臺,近60位海內(nèi)外演講嘉賓傾情奉獻,近百家媒體全程報道,突破2,000位線下參會人士出席,開幕式及主論壇網(wǎng)上直播吸引了逾70萬名全球觀眾,成為安全行業(yè)見面交流的大型峰會現(xiàn)場。
作為每年熱門的分論壇之一,【漏洞攻防與安全研究】論壇備受關(guān)注。此次論壇邀請到了來自深信服、Checkmark、騰訊、Cyberbit、知道創(chuàng)宇等信息安全領(lǐng)域知名企業(yè)的技術(shù)專家們,就漏洞攻防技術(shù)在企業(yè)中的實際應(yīng)用和案例進行了分享。
值得注意的是,今年該論壇更加注重安全技術(shù)的實戰(zhàn)化研究,專家們的演講內(nèi)容也是避虛就實,就威脅獵捕、紅藍對抗、漏洞挖掘、業(yè)務(wù)安全人機對抗等多種實戰(zhàn)性的安全話題進行了深度探討。
本文精選【漏洞攻防與安全研究】論壇上的精彩發(fā)言和觀點,以饗讀者。
龐思銘丨深信服安全架構(gòu)師
隨著攻擊商業(yè)模式逐步成熟,攻擊者所需的技術(shù)門檻也在不斷降低。黑產(chǎn)技術(shù)的差異正在變得逐步模糊,包括把相關(guān)的武器庫披露到安全圈里面,大大降低了黑產(chǎn)工具和漏洞利用的成本。
同時,所有的安全防御廠商都面臨一個實際的難點,那就是如何把攻擊團隊和產(chǎn)品團隊做成一個有效閉環(huán)的機制,把攻擊團隊的攻擊技巧轉(zhuǎn)化為具體安全檢測實踐的能力,這中間存在很大的鴻溝。
因為對于攻擊團隊來說,他們的知識領(lǐng)域更多體現(xiàn)在如何開發(fā)漏洞、利用漏洞;但對于安全產(chǎn)品團隊來說,他們的知識來自5-10年傳統(tǒng)的檢測技術(shù),比如IDS、基于特征匹配的技術(shù)。
兩者在知識上的鴻溝,造成了安全解決方案不能及時對應(yīng)最新的攻擊技巧。
我認為應(yīng)對思路有兩部分:
第一,來自于組織建設(shè),例如:情報體系構(gòu)建的意義,就在于攻擊團隊與產(chǎn)品團隊有效的對接。
?
技術(shù)體系的建設(shè),包括:情報體系的建設(shè),攻擊技術(shù)的研究,對抗檢測能力方面的研究。例如:在攻擊技術(shù)研究環(huán)節(jié),會覆蓋多種場景,如:跟蹤熱門的跟蹤技術(shù)、構(gòu)建攻擊場景的數(shù)據(jù)級,構(gòu)建攻擊場景,完成攻擊場景的自動化等。龐思銘丨深信服安全架構(gòu)師
李亭丨Checkmarx中國區(qū)技術(shù)總監(jiān)
現(xiàn)在的DevOps都要引入安全策略。因為如果上線前發(fā)現(xiàn)有問題了,到底是“帶病”上線,還是解決了這個問題之后再上線,會是一個很大的問題。所以,DevOps往后發(fā)展就涉及到安全問題了。
安全策略其實有很多,其中關(guān)于應(yīng)用安全的,叫做漏洞管理策略。例如:
應(yīng)用安全的漏洞一直會有,所以企業(yè)需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,這就是一種策略。
研發(fā)部門和安全部門關(guān)心的內(nèi)容不一樣,哪些漏洞是雙方都認為一定不能接受的,這也是一種策略。
那么,企業(yè)應(yīng)該如何在DevOps流程中實施漏洞管理策略呢?
制定策略方面:安全策略要有針對性,確認優(yōu)先級;實施方面:從編碼階段到驗收測試的整個DevOps過程中,建議越早開始考慮安全策略越好。效率方面:考慮到DevOps的流水化作業(yè)和效率特點,安全策略和漏洞掃描工具也需要是自動化的。管理方面:綜合考慮安全策略、管理和監(jiān)控KPI,以便對實施情況、時間成本、人力成本等多方面進行考量。李亭丨Checkmarx中國區(qū)技術(shù)總監(jiān)
李龍丨騰訊安全策略高級研究員
新基建到來后,黑產(chǎn)也發(fā)生了新的動向,如:IPV6地址量龐大,黑產(chǎn)可以使用的資源接近于無限;5G到來正在突破舊的安全策略;黑產(chǎn)的平臺和工具也在傾向于平臺化和云化。
面對黑產(chǎn)技術(shù)的升級、獲取資源的海量化,業(yè)務(wù)安全從業(yè)者該如何應(yīng)對呢?
第一,情報與策略的聯(lián)動。通過情報和藍軍對自動機手法的分析,可以反哺到策略,定制一些安全策略。還有可以摸清黑產(chǎn)到底使用的是哪些資源,從資源層進行對抗。如果知道了黑產(chǎn)是誰,還可以直接聯(lián)合警方進行線下法務(wù)打擊。
產(chǎn)品與策略的聯(lián)動。策略結(jié)合產(chǎn)品,可以進一步提升黑產(chǎn)對抗的成本。以騰訊的黑名單共享平臺的對抗策略為例:騰訊通過聯(lián)合各個業(yè)務(wù)之間的聯(lián)動,已經(jīng)覆蓋了所有的安全主線。當用戶在第一個環(huán)節(jié)登錄,如果發(fā)現(xiàn)惡意,基本上就會進入黑名單,那么后面的各個環(huán)節(jié)也能夠使用這樣的惡意結(jié)果。同時,不同業(yè)務(wù)場景積累的黑產(chǎn)資源,也能夠復(fù)用到其他業(yè)務(wù)場景,取得非常好的效果。
安全不光光是一個業(yè)務(wù)或者是一個團隊的職責(zé),它需要所有人一起來共建,建立一個黑產(chǎn)對抗的樞紐,不光是通過數(shù)據(jù)層的協(xié)作、模型層的共建,還有服務(wù)層的打通。騰訊還聯(lián)合業(yè)務(wù)方一起來共同治理,來確保騰訊業(yè)務(wù)的健康發(fā)展。
李龍丨騰訊安全策略高級研究員
朱凱丨Cyberbit中國區(qū)安全技術(shù)總經(jīng)理
調(diào)研數(shù)據(jù)顯示,只有20%的網(wǎng)絡(luò)安全專家是經(jīng)歷過真實事件網(wǎng)絡(luò)安全事件的處置。大部分的企業(yè)的安全團隊都是在工作中,才第一次經(jīng)歷到這樣一個網(wǎng)絡(luò)安全的發(fā)生和處置。在面臨實際的安全事件時,會感到各種各樣的壓力。
佛羅斯特咨詢公司曾表示,在高級安全分析中,價值是來自人,軟件不提供答案。所以,Cyberit主要做高效藍隊的訓(xùn)練平臺,幫助人在安全防守上做一個高效的提升。在這樣一套平臺上,花4個月的時間,就能把一個新人變成一個真正的網(wǎng)絡(luò)戰(zhàn)士。
我們主要通過三個方面來做人才培養(yǎng),包含:技術(shù)訓(xùn)練、高級訓(xùn)練、擴展性訓(xùn)練。在這個平臺上通過模擬游戲的方式,讓大家比較快速、輕松地去接受實戰(zhàn)性的訓(xùn)練,獲得相應(yīng)的經(jīng)驗。
在平臺中,網(wǎng)絡(luò)安全工作分為7大類,33個領(lǐng)域,52個工作角色,628個知識,374個技能,以及176種能力。在這樣的框架中,可以很好地指明每個人在信息安全領(lǐng)域中的方向和角色,以及需要具備的技能,補齊自己的短板。
百聞不如一見,希望通過這個平臺,對安全團隊提供動手的實戰(zhàn),而不是停留在聽說過安全事件。
朱凱丨Cyberbit中國區(qū)安全技術(shù)總經(jīng)理
李松林丨知道創(chuàng)宇404實驗室安全研究員
RDP協(xié)議是微軟創(chuàng)建的遠程桌面協(xié)議,它允許系統(tǒng)用戶通過圖形界面連接到遠程系統(tǒng)。主要流行的應(yīng)用包括微軟系統(tǒng)自帶的mstsc.exe,以及最成熟的開源應(yīng)用freerdp。
今天我們來探討一下如何攻擊rdp協(xié)議當中的圖像處理通道。因為圖像處理通道,相對來說比較復(fù)雜,而且各種運算、規(guī)模也比較大。
對圖形處理通道進行攻擊,有兩條路徑:第一,靜態(tài)虛擬通道API處理。第二,動態(tài)擴展通道。在找到路徑后,對API路徑進行fuzzing。
但在實際fuzzing中會有一個問題,發(fā)現(xiàn)的路徑越多,包括投遞的樣本越多,越難繼續(xù)深入發(fā)現(xiàn)其它更深的樣本。另外,還有因素會阻止發(fā)現(xiàn)新路徑,比如在路徑上發(fā)現(xiàn)了一枚漏洞,導(dǎo)致程序崩潰。這種時候就需要手動做一些補丁。
我們目標不僅是發(fā)現(xiàn)free rdp漏洞,更高的目標是發(fā)現(xiàn)微軟的漏洞。微軟用的都是rdp協(xié)議,他們程序的API和free rdp的API也可能是一樣的。所以,對微軟的mstsc的API路徑進行fuzzing后,同樣也得到了一些漏洞。
當然,我們挖掘到了漏洞,還要以黑客的方式去思考,怎樣才能利用漏洞去攻擊。我認為主要有兩種方式:一是,緩存投毒,指向惡意服務(wù)器。二是,控制服務(wù),再通過跳板進一步控制其他用戶,反向攻擊客戶端。
李松林丨知道創(chuàng)宇404實驗室安全研究員
結(jié)語
這些年隨著黑客事件頻發(fā)和日趨嚴格的安全監(jiān)管,企業(yè)對于信息安全更加重視,也投入了大量預(yù)算采購安全產(chǎn)品、招募安全團隊。但有了設(shè)備和團隊不等于有效果,畢竟實戰(zhàn)才是檢驗安全防護能力的唯一標準。
可以看到,本次INSEC WORLD大會緊跟安全防護走向?qū)崙?zhàn)化的趨勢,【漏洞攻防與安全研究】分論壇更是聚焦紅藍對抗、人機對抗、威脅獵捕等實戰(zhàn)性話題,分享了來自行業(yè)一線的安全觀點以及最前沿的技術(shù)方法,相信能夠為企業(yè)提升安全防護能力提供更多思路,將安全需求進一步落到實處。
來源:科技云報道
免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關(guān)。文章僅供讀者參考,并請自行核實相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 不愿成為微信的支付寶,注定失敗
- 大廠年終獎全靠猜?京東帶頭透明化
- MediaTek 發(fā)布天璣 8400 移動芯片,開啟高階智能手機全大核計算時代
- 榮耀攜手“哪吒”鬧新春,2025魔法科技年貨節(jié)同步開啟
- 榮耀Magic7系列全面升級大王影像,AI超級長焦讓百倍望遠也清晰
- 2024中國互聯(lián)網(wǎng)哈哈榜之2: 十大事件
- 榮耀Magic7 RSR保時捷設(shè)計正式發(fā)布,提升手機影像畫質(zhì)
- 榮耀攜手“哪吒”鬧新春,開啟2025魔法科技年貨節(jié)
- 微信小店“送禮”功能怎么用?微信小店“送禮”入口在哪里?
- 榮耀Magic7系列全面升級大王影像,首發(fā)AI超級長焦拍遠更清晰
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。