科技云报道原创。
11月24日—27日,INSEC WORLD成都·世界信息安全大会成功举行。克服了疫情等不利因素,本届大会在总规模、演讲嘉宾层级、参会观众数量等方面,比上届有着显著提高。
本次大会由中外3大院士共同领衔,逾40家网安品牌同台,近60位海内外演讲嘉宾倾情奉献,近百家媒体全程报道,突破2,000位线下参会人士出席,开幕式及主论坛网上直播吸引了逾70万名全球观众,成为安全行业见面交流的大型峰会现场。
作为每年热门的分论坛之一,【漏洞攻防与安全研究】论坛备受关注。此次论坛邀请到了来自深信服、Checkmark、腾讯、Cyberbit、知道创宇等信息安全领域知名企业的技术专家们,就漏洞攻防技术在企业中的实际应用和案例进行了分享。
值得注意的是,今年该论坛更加注重安全技术的实战化研究,专家们的演讲内容也是避虚就实,就威胁猎捕、红蓝对抗、漏洞挖掘、业务安全人机对抗等多种实战性的安全话题进行了深度探讨。
本文精选【漏洞攻防与安全研究】论坛上的精彩发言和观点,以飨读者。
庞思铭丨深信服安全架构师
随着攻击商业模式逐步成熟,攻击者所需的技术门槛也在不断降低。黑产技术的差异正在变得逐步模糊,包括把相关的武器库披露到安全圈里面,大大降低了黑产工具和漏洞利用的成本。
同时,所有的安全防御厂商都面临一个实际的难点,那就是如何把攻击团队和产品团队做成一个有效闭环的机制,把攻击团队的攻击技巧转化为具体安全检测实践的能力,这中间存在很大的鸿沟。
因为对于攻击团队来说,他们的知识领域更多体现在如何开发漏洞、利用漏洞;但对于安全产品团队来说,他们的知识来自5-10年传统的检测技术,比如IDS、基于特征匹配的技术。
两者在知识上的鸿沟,造成了安全解决方案不能及时对应最新的攻击技巧。
我认为应对思路有两部分:
第一,来自于组织建设,例如:情报体系构建的意义,就在于攻击团队与产品团队有效的对接。
技术体系的建设,包括:情报体系的建设,攻击技术的研究,对抗检测能力方面的研究。例如:在攻击技术研究环节,会覆盖多种场景,如:跟踪热门的跟踪技术、构建攻击场景的数据级,构建攻击场景,完成攻击场景的自动化等。
庞思铭丨深信服安全架构师
李亭丨Checkmarx中国区技术总监
现在的DevOps都要引入安全策略。因为如果上线前发现有问题了,到底是“带病”上线,还是解决了这个问题之后再上线,会是一个很大的问题。所以,DevOps往后发展就涉及到安全问题了。
安全策略其实有很多,其中关于应用安全的,叫做漏洞管理策略。例如:
应用安全的漏洞一直会有,所以企业需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,这就是一种策略。
研发部门和安全部门关心的内容不一样,哪些漏洞是双方都认为一定不能接受的,这也是一种策略。
那么,企业应该如何在DevOps流程中实施漏洞管理策略呢?
制定策略方面:安全策略要有针对性,确认优先级;
实施方面:从编码阶段到验收测试的整个DevOps过程中,建议越早开始考虑安全策略越好。
效率方面:考虑到DevOps的流水化作业和效率特点,安全策略和漏洞扫描工具也需要是自动化的。
管理方面:综合考虑安全策略、管理和监控KPI,以便对实施情况、时间成本、人力成本等多方面进行考量。
李亭丨Checkmarx中国区技术总监
李龙丨腾讯安全策略高级研究员
新基建到来后,黑产也发生了新的动向,如:IPV6地址量庞大,黑产可以使用的资源接近于无限;5G到来正在突破旧的安全策略;黑产的平台和工具也在倾向于平台化和云化。
面对黑产技术的升级、获取资源的海量化,业务安全从业者该如何应对呢?
第一,情报与策略的联动。通过情报和蓝军对自动机手法的分析,可以反哺到策略,定制一些安全策略。还有可以摸清黑产到底使用的是哪些资源,从资源层进行对抗。如果知道了黑产是谁,还可以直接联合警方进行线下法务打击。
产品与策略的联动。策略结合产品,可以进一步提升黑产对抗的成本。以腾讯的黑名单共享平台的对抗策略为例:
腾讯通过联合各个业务之间的联动,已经覆盖了所有的安全主线。当用户在第一个环节登录,如果发现恶意,基本上就会进入黑名单,那么后面的各个环节也能够使用这样的恶意结果。同时,不同业务场景积累的黑产资源,也能够复用到其他业务场景,取得非常好的效果。
安全不光光是一个业务或者是一个团队的职责,它需要所有人一起来共建,建立一个黑产对抗的枢纽,不光是通过数据层的协作、模型层的共建,还有服务层的打通。腾讯还联合业务方一起来共同治理,来确保腾讯业务的健康发展。
李龙丨腾讯安全策略高级研究员
朱凯丨Cyberbit中国区安全技术总经理
调研数据显示,只有20%的网络安全专家是经历过真实事件网络安全事件的处置。大部分的企业的安全团队都是在工作中,才第一次经历到这样一个网络安全的发生和处置。在面临实际的安全事件时,会感到各种各样的压力。
佛罗斯特咨询公司曾表示,在高级安全分析中,价值是来自人,软件不提供答案。所以,Cyberit主要做高效蓝队的训练平台,帮助人在安全防守上做一个高效的提升。在这样一套平台上,花4个月的时间,就能把一个新人变成一个真正的网络战士。
我们主要通过三个方面来做人才培养,包含:技术训练、高级训练、扩展性训练。在这个平台上通过模拟游戏的方式,让大家比较快速、轻松地去接受实战性的训练,获得相应的经验。
在平台中,网络安全工作分为7大类,33个领域,52个工作角色,628个知识,374个技能,以及176种能力。在这样的框架中,可以很好地指明每个人在信息安全领域中的方向和角色,以及需要具备的技能,补齐自己的短板。
百闻不如一见,希望通过这个平台,对安全团队提供动手的实战,而不是停留在听说过安全事件。
朱凯丨Cyberbit中国区安全技术总经理
李松林丨知道创宇404实验室安全研究员
RDP协议是微软创建的远程桌面协议,它允许系统用户通过图形界面连接到远程系统。主要流行的应用包括微软系统自带的mstsc.exe,以及最成熟的开源应用freerdp。
今天我们来探讨一下如何攻击rdp协议当中的图像处理通道。因为图像处理通道,相对来说比较复杂,而且各种运算、规模也比较大。
对图形处理通道进行攻击,有两条路径:第一,静态虚拟通道API处理。第二,动态扩展通道。在找到路径后,对API路径进行fuzzing。
但在实际fuzzing中会有一个问题,发现的路径越多,包括投递的样本越多,越难继续深入发现其它更深的样本。另外,还有因素会阻止发现新路径,比如在路径上发现了一枚漏洞,导致程序崩溃。这种时候就需要手动做一些补丁。
我们目标不仅是发现free rdp漏洞,更高的目标是发现微软的漏洞。微软用的都是rdp协议,他们程序的API和free rdp的API也可能是一样的。所以,对微软的mstsc的API路径进行fuzzing后,同样也得到了一些漏洞。
当然,我们挖掘到了漏洞,还要以黑客的方式去思考,怎样才能利用漏洞去攻击。我认为主要有两种方式:一是,缓存投毒,指向恶意服务器。二是,控制服务,再通过跳板进一步控制其他用户,反向攻击客户端。
李松林丨知道创宇404实验室安全研究员
结语
这些年随着黑客事件频发和日趋严格的安全监管,企业对于信息安全更加重视,也投入了大量预算采购安全产品、招募安全团队。但有了设备和团队不等于有效果,毕竟实战才是检验安全防护能力的唯一标准。
可以看到,本次INSEC WORLD大会紧跟安全防护走向实战化的趋势,【漏洞攻防与安全研究】分论坛更是聚焦红蓝对抗、人机对抗、威胁猎捕等实战性话题,分享了来自行业一线的安全观点以及最前沿的技术方法,相信能够为企业提升安全防护能力提供更多思路,将安全需求进一步落到实处。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。