相約FIT 2020,我們不見不散 | FIT 2019收官日主論壇全記錄
FIT 2019大會會期為2018年12月12日-13日,今日已圓滿落下帷幕。昨天的大會主論壇議程聚焦「全球高峰會」、「WitAwards頒獎盛典」、「X-TECH技術派對」、「HACK DEMO」四大版塊內容,同時「中國首席資訊保安官高峰論壇」、「漏洞馬拉松線下邀請賽」也在特色分會場同期舉行。回顧首日盛況,請看: ofollow,noindex" target="_blank">安全圈年終大趴,FIT 2019首日盛況全程回顧
今天的大會主論壇包含「 WIT2018現場最受歡迎獎頒獎 」和「前沿安全神盾局」兩大主題,此外獨立分設「白帽LIVE」及 「企業安全俱樂部」兩大分論壇,與來自全球的安全從業者、優秀技術專家、企業安全建設者、白帽專家、研究機構等同展開演講與探討。在今天的主論壇上,我們通過現場投票的方式角逐出了“WIT2018現場最受歡迎獎”,演講嘉賓與我們分享了2018年度安全行業創新碩果,共同探索和展望未來安全新邊界。
WIT 2018現場最受歡迎獎
本次WitAwards 2018採用7+1的形式,在七大獎項——年度創新產品、年度技術變革、年度品牌影響力、年度安全人物、年度國家力量、年度安全團隊、年度熱門產品及服務的基礎上,組委會特別新設「WIT現場最受歡迎獎」,旨在為獲獎者提供更多展示核心技術和產品的機會。
入圍本次WIT 2018現場最受歡迎獎角逐的有「年度創新產品」騰訊雲、「年度安全團隊」無糖資訊、「年度技術變革」百度安全以及「年度安全人物」看雪學院段鋼。在今天的大會現場,經過觀眾與評委的共同票選,WIT 2018現場最受歡迎獎最終花落 「百度安全」 。
前言安全神盾局
物聯網、人工智慧、區塊鏈、網際網路+等前沿客季在2018年引起了一波又一波的話題熱潮,逐漸成為資訊時代產業發展的主要技術經濟形態,它們在各種社會領域中的參與度越來越高。在新趨勢、新變化帶來便利的同時,網路安全隱患日益彰顯,安全隱患源頭與種類越來越多,成為了影響行業發展乃至國家安全的重要因素。FIT 2019第二日主論壇特設「前沿安全神盾局」版塊,匯聚國內外頂級專家學者,帶來多個新鮮議題,共話前沿安全。
IoT安全的To B和To C
率先上臺的是海康威視CSO王濱,帶來的議題是《IoT安全的To B和To C》。他從公眾眼中的IoT安全和安全研究人員眼中的安全作為出發點討論了他對於“To B”和”To C”的區別理解,對於目前的IoT裝置安全態勢而言,這是一種很好的釐清方式。因為對於C端而言,消費者看到的很多安全方面的報道都存在很大的侷限性,因為很多問題的根源來自於上游裝置,而不是IoT本身。
要做好 IoT to C 的安全,首先要做好雲安全,其次是 APP安全、裝置安全、端到端加密以及口令安全。由於開放介面多、使用者安全意識淡薄、系統網路環境複雜、歷史問題堆積、縱深防禦難實施等多個問題,IoT to B 的安全需要廠商提供更高的產品安全需求,同時為使用者提供輕管理的安全防護方案。
尤其是漏洞這一塊,王濱還有以下特別呼籲:
目前業界遵循的90天的漏洞披露策略對於無有效升級途徑的物聯網裝置並不適用;POC的檢測更推薦採用版本檢測的方式;使用者設定週期性韌體更新計劃任務,弱口令一定要避免;廠商加強裝置的安全設計、開發、測試和應急響應;行業主管機構必須要有強制的檢查和通報機制。
Apollo智慧網聯汽車資訊保安實踐
百度安全工程師汪明偉在他的議題《Apollo智慧網聯汽車資訊保安實踐》中表示:
隨著車聯網程度層層深入,隨之對於車聯網的攻擊手段花樣迭出。雖是大勢所趨,但安全性上的內憂外患不解決,使用者始終對智慧網聯汽車望而卻步,甚至隨時都可能成為交通環境中的定時炸彈。
百度安全實驗室在車聯網這一領域已經深耕了15年,積累了80款車型資料。2016年8月,實驗室實現了國內首例完整入侵案例,如何通過層層步驟接管車輛。從實踐經驗出發,汪明偉談到:
解決車聯網的內憂外患問題要從流程端和技術端雙管齊下。圍繞雲、車機、閘道器、ECU四大領域構建快速反應能力、應用和系統可信體系、隔離及檢測解決方案、源以及內容的可信架構,最終實現完整的騎著資訊保安測試體系。此外,建立專門的機制,尤其是決策層的推動非常關鍵。
IoT攻擊實踐:高效協議分析
IoT市場規模極具擴張,裝置數量大大增長也導致了DDoS攻擊的攻擊面、攻擊量、攻擊效果大大提升。駭極安全CEO Zenia從攻擊者的思路出發,以「協議逆向」為突破口討論了IoT安全,她帶來的議題是《IoT攻擊實踐:高效協議分析》。
針對如何高效實現協議逆向,Zenia提出了“進化樹”的理念:
在進化系統中,影響生物特徵變化巨大的基因(例如控制肺葉和腮體徵變化等)其基因多樣性變化率遠遠小於在功能和體徵上引起較小變化的基因;
同樣這種統計特徵出現在一些IoT協議中,例如裝置識別符號這類決定裝置唯一性的欄位(基因)在一堆協議資料中基本保持不變,其變化率遠遠小於那些控制資料欄位,例如溫度,亮度等操作資料,也就是說欄位變化次數: 裝置識別符號 < 操作識別符號 < 資料欄位。
因此通過聚類分析,跟蹤識別符號來:
聚類噪聲訊號,可以定向的分析有用資料;可以快速標識出變化位元組;通過狀態機有效識別出訊號的關聯關係,避免在繁雜的資料中尋找關聯。
最終,實現對未知協議的安全測試的能力提升,滿足大量安全檢測需求,構建自動化FUZZ平臺。
巧用EvilUSB攻擊智慧路由器
“前沿安全神盾局” 下午的下午場首先由聯想安全實驗室研究員楊歡帶來了《巧用EvilUSB攻擊智慧路由器》的議題分享,在現場帶來了智慧路由器攻擊測試的演示視訊。
BadUSB安全漏洞是在2014年由國外安全研究人員發現並公佈於Blackhat大會上的,目前市面上仍存在多款路由器都具有相同的安全問題。楊歡通過對該漏洞的發現過程、利用過程,以及針對國內兩款路由器發動攻擊獲取路由器Shell的講解和演示,詳細演示了包含開啟危險方法、openwrt-rpcd服務ACL配置錯誤等多洞結合getshell以及繞過有限制的二次命令注入漏洞。
通過現場講解和展示,楊歡總結出三條安全建議和防護方法:
配置項的審計比原始碼審計更為重要;對於無關的功能模組應當予以刪除。以usb儲存為例,ext檔案系統可以不予支援; 用正確的協議實現正確的功能。
智慧IoT安全遇到的挑戰
接著講IoT~Rokid公司安全負責人白嘎力與大家分享“智慧IoT安全遇到的挑戰”。白嘎力表示預計2020年底,將有10億裝置接入物聯網,如此大體量的裝置面臨著4個維度威脅:硬體、軟體、雲安全、裝置互聯和4個嚴重態勢:車聯網、智慧醫療、智慧城市、智慧家居。
很多智慧裝置也做了安全防護,但是內部存在開放的可除錯介面,只要開啟外殼即可訪問內部系統。還有部分語音控制模組具備裝置操作功能,如果通過模擬聲紋的方式來進行攻擊可輕易得手。包括版本更新機制、OTA劫持等針對弱網路發起的攻擊也很普遍。此外AI等新興技術在進入安全領域的同時也帶來了很多安全風險,比如AI對抗:演算法樣本對抗AI模型或者演算法被攻擊,導致人工智慧所驅動識別系統出現混亂、誤判或者失效;攻擊者還可以通過修改現有的訓練集生成惡意樣本,比如病毒樣本的優化,攻擊載荷的逃避監測系統等等案例。
白嘎力提出了5個關鍵的安全加固節點:
安全審計:程式碼中的安全漏洞進行審計;安全SDK:安全開發生命週期引入,標準化;程式碼保護:程式核心程式碼邏輯進行保護;加固:加固、加殼子防止易被逆向破解;IoT平臺:風險及時感知,實時監控監測。
AI安全實踐:探索圖模型異常檢測
除了IoT,AI無疑也是當今的前沿技術。來自鬥象科技的高階研究員孟雷以圖模型的異常檢測為例,講述AI的安全實踐。他帶來的議題是《AI安全實踐:探索圖模型異常檢測》。
從設立問題到構建模型,再到人工設立異常閾值檢測,最後使用多目標迴歸模型實現動態閾值,最終獲得更精準檢測。孟雷提出了一個完整的AI圖模型檢測。其中的核心是圖節點角色模型:
從多個裝置告警日誌中,抽取關聯資訊單元,構成告警關聯圖。根據圖方法中的計算指標,對原始告警依賴圖做遞迴特徵提取,生成特徵矩陣。依據前置的角色度量屬性,對特徵矩陣做非負矩陣分解,計算每個節點各角色概率分佈資訊。生成各節點角色分佈圖
今天我的生活越來越數字化,每天都在產生大量網路安全問題,為了保障安全而在外圍部署大量解決方案和節點,這樣的會產生大量的資料。面對如此海量的資料,通過構建攻擊鏈圖模型可解構網路攻擊方式,提供更強的可視性和多裝置檢測融合分析支援。
威脅與安全AI市場上的決鬥
如今全球網路犯罪組織在不斷進化,很多環節或攻擊技術都用到了AI,飛塔中國技術總監張略帶來了《威脅與安全AI戰場上的決鬥》的議題分享,聊一聊安全領域的AI對抗。
不斷進化的網路犯罪組織也應用了AI技術,網路安全威脅在AI的加持下也發生瞭如下的變化:
自動識別出變種模式被發覺,並自動改變變種模式;自動發現並攻擊高價值目標(震網病毒);自動躲避疑似蜜罐,並釋放假病毒,迷惑防禦者;自動撰寫,併發送給高價值目標釣魚郵件;自動識別防禦體系,並採用繞過策略和變種。
一言以蔽之,AI和自動化顯著降低了攻擊時間,速度是未來AI對決的主題。
張略表示:AI在國內安全領域的應用大體上還處於機器學習和深度學習階段,還沒有真正達到人工智慧的水平。演算法並不是現階段發展AI安全技術的最大堡壘,而是樣本的量、訓練和反饋的持續性遠遠不夠,需要行業共同努力。
多維度對抗Windows Applocker
360企業安全雲影實驗室負責人計東帶來的議題是《多維度對抗Windows Applocker》。首先,他從三個維度指出了對抗安全策略的意義:
運維視角:採用系統安全策略等手段提高系統的安全性;黑客視角:尋求系統中自帶數字簽名的可執行檔案或指令碼、程式集,通過它們旁路攻擊繞過安全策略;終極目的:實現低許可權下讓惡意檔案突破策略執行。
在現場的展示中,他從Powershell入手,假設當前系統已經限制了Powershell的執行,該如何突破?切入點就是多種“攻擊向量”,包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。
在完成展示後,他還和與會觀眾分享了一款360360企業安全雲影實驗室出品的開源工具:
支援Metasploit ShellCode,自動生成攻擊向量(可執行檔案或程式集);支援Regasm、InstallUtil 兩種方式載入;專案地址: https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass 。
以太坊態勢感知系統構思與實踐
以太坊的出現直接將區塊鏈技術的發展帶入到了2.0時代。隨著相關技術越來越成熟,而攻擊於防禦的對抗方式也逐步升級,以太坊作為智慧合約的先行者,在區塊鏈主鏈技術實現中具有一定代表性。
很多人都把注意力放在了合約的安全性上,而忽略了對於行為的檢測。針對這樣的現狀,玄貓科技安全研究員葉樹佳帶來《以太坊態勢感知系統》議題分享,闡述了對合約、節點、賬戶等層面監控與分析的概念和時間,併為合約蜜罐、安全事件、異常轉賬、釣魚詐騙、非法交易等進行預警並追蹤溯源提供了思路。
他也提出了對區塊鏈安全領域的展望:區塊鏈的安全性逐步提高;攻擊方式更加深入,細分;安全產品種類會愈加豐富。
還有一款開源shockwave工具分享: https://github.com/XuanMaoSecLab/shockwave,支援爬取合約、靜態檢測、regex/match、人工審計等功能。
現場花絮
主會場——前沿安全神盾局
分會場——企業安全俱樂部
分會場——白帽Live
漏洞馬拉松現場