12月下月的上海,有些綿長清寂。
而 FIT2018 大會現場,卻充斥著色彩斑斕。除了燈光音樂以及各色雞尾酒,數位白帽的分享也讓人應接不暇。
這是一場「磁變」,Alpha Go 熱潮堪堪褪去,其代表的人工智慧時代剛剛開始。在此期間,信息洩露已成常態,安全事件高潮迭起,勒索軟體接踵而至,後門、入侵,各家廠商紛紛淪陷。傳統防禦手段無法抵禦層出不窮的攻擊,安全行業更需要新的思路。
AI磁場正在改變安全行業,探索安全的新方向。
AI+安全「人工智慧會成為未來的基礎設施。」鬥象科技CEO袁勁松表示,而在安全領域,AI也早有應用。比如從前的垃圾郵件識別就用到了機器學習算法。事實上,在傳統的九大安全領域——包括反欺詐與身份管理、移動安全、安全自動化、行為分析與異常檢測、物聯網安全、應用安全等方面,AI都能夠發揮自己的優勢。除此之外,隨著大數據的發展,其在安全方面的應用也愈加廣泛。
當然,AI 技術在安全領域的應用與其他任何技術一樣,都具有雙面性,在解決某些困境,抵禦威脅的同時也會被黑產利用,成為網絡攻防戰中的一部分。
AMP端點與威脅智能認知隨著移動網際網路、物聯網等的發展,越來越多的設備接入網絡,成為網絡中一個又一個端點,這些設備在給生活帶來方便,給企業帶來效率和利潤提升的同時,也成為了病毒滋生的溫床,為黑客入侵提供了更多的入口。端點威脅的分析和防護成為了當下安全領域研究的重要課題之一。
除此之外,黑客在進行網絡攻擊時,都會通過一定的技術加密隱藏、偽裝攻擊行為,以欺騙、繞過防禦檢測軟體。Gartner 認為,2019 年將有一半的惡意軟體活動採用某種加密技術來掩蓋惡意軟體傳送、命令和控制活動或數據洩露。而目前,大多數組織都不具有可檢測到加密流量中的惡意內容的解決方案。
思科安全全球 SVP Jeffrey Richard Reed 現場進行了《深度學習感知、智能協作的創新安全架構》的主題分享,表示在任何時候,網際網路環境的安全都只是暫時的,每一次威脅從發生、檢測到響應直至解決問題都需要一個過程,我們持續的努力正是為了儘可能縮短這個過程的時間。而人工智慧與數據分析在高級威脅檢測中的作用就是:端到端可視性、多層機器學習、ETA 擴展NetFlow。
思科認為,從發生威脅,到檢測威脅,再到安全響應,整個環節的時間要足夠短才能夠保證安全。而要縮短響應時間,不能依靠傳統的方法。在思科 Stealthwatch 和 Stealthwatch Cloud 中就應用了機器學習檢測加密流量中的安全威脅。加密流量分析(ETA)並非解密加密協議而是採集大量數據,利用機器學習技術尋找流量包特徵,並且對威脅進行分類。
構建威脅情報互聯、高交互的安全神經網絡道高一尺,魔高一丈。
近年來 AI 在惡意軟體、網絡攻擊的應用愈發嫻熟,可想而知,未來攻擊鏈會更為複雜。Fortinet 的全球安全戰略官 Derek Manky 從威脅環境的發展進程進行了大膽的預測,他認為具備自我學習能力的 HiveNet 與 SwarmBot 等類殭屍網絡病毒、下一代 Morphic 惡意軟體等會在未來崛起。除此之外,未來攻擊鏈會更加複雜。從計劃、入侵、擴展、聚集到滲透,都需要預防,而作為防禦方,每個階段都將用到人工智慧與機器學習。
人工智慧與黑客帝國還記得《黑客帝國》嗎?
故事的開頭,人類和機器(AI)展開一場末日對決,而人類很快潰敗。那時候的機器是依賴於太陽能的,於是人類設法用覆蓋整個地球的黑雲屏蔽了陽光,試圖以此阻止機器。結果卻絲毫也沒有起到作用,人類依舊完敗。
影視劇場景不乏誇張成分,但依然折射出世人對 AI 高度發達的進程中人類地位的擔憂。未來,究竟是人類統治世界,還是 AI 機器人統治甚至幹掉人類?
知道創宇 CEO 趙偉以《從機器人大腦到黑客帝國:安全AlphaGo離我們有多遠?》為主題,從一個悲觀主義者的視角想像了一個強人工智慧出現後,人類被機器統治的世界。在《西部世界》中,弱人工智慧在人類製造的困境中不斷學習覺醒,最終發展成為強人工智慧,並對人類產生威脅。這與安全行業的攻防發展,也頗有點相似之處,趙偉認為,人工智慧的發展速度超乎想像。
我們現在還處於弱人工智慧時代,未來強人工智慧的能力不可估量,強人工智慧可以解決開放問題。與目前的識別功能不同,未來的強人工智慧可能是為了戰鬥而學習。如果你一手掌握了數據,一手掌握了強人工智慧,你將成為上帝本身。
趙偉認為,人工智慧的發展速度超乎想像,而人們在發展技術的同時,也許應當對自然和科技都抱有敬畏之心,同時,也關注自身的安全與覺醒。
解鎖場景化風險感知如果你有關注不久前剛更新的 OWASP Top 10 2017,就會發現新增了三個不甚眼熟的複雜新威脅。
無論是不久前 Uber 的數據洩露事件還是大疆漏洞的獎勵,可以看出攻擊正在向底層發展,前端框架、WEB 框架、 存儲組件等技術組件都經歷了一定的發展,而與技術組件關係最緊密的認證授權流程,也日漸複雜。
鬥象科技聯合創始人兼 CTO 張天琪以《大道至簡:解鎖「場景化」風險感知》為主題,在攻防對抗現狀愈加嚴峻的情景下提出把資產作為線索,構建資產基線,依然能夠讓攻擊和風險有跡可循。
解構 Hadoop 安全攻防技術Hadoop 是一個開源框架,它允許使用簡單的編程模型在計算機集群中對大型數據集進行分布式處理。大數據時代下,Hadoop 成為各大企業處理數據的首選。
然而,Hadoop 沒有成熟的安全機制,如設計之初並未過多考慮安全性問題,對於安全配置默認不開啟,以及開源組件的問題等,因此的安全性是飽受爭議的話題之一。觀數科技尖針實驗室負責人王鵬鳴就以《解構 Hadoop 安全攻防技術》為主題,先通過自行定義 HADOOP_USER_NAME 變量(web端在URL後添加user.name)冒充任意用戶的案例展示了其存在的大量漏洞。
另外,如何攻破 Hadoop 集群進行遠程控制?
王鵬鳴概括為六步,首先啟動 msf 攻擊框架,隨後生成一個後門 test.pay|oad,然後提交 Hadoop 任務,之後執行後門回連埠,運行後門返回系統 shell,獲得最高權限。
他還提到,大數據的常見保護思路包括:邊界模式、架構模式、數據模式,各有各的優劣。而理想的大數據安全解決方案應該從合規性、數據治理、安全事件、敏感數據四個層面考慮。
Hack Demo 環節當屬是整場的高潮,安恆海特實驗室研究員 GeekPwn 名人堂選手張凱和徐凱翼在現場演示環節中,場外研究員將一個小巧的攻擊裝置放到汽車上後,場內的研究員便通過簡訊指令讓汽車熄火。
黑客遠程操控汽車早就不是新鮮事了。不論是被無數黑客拿來開刀的特斯拉,還是被黑上癮的寶馬、奔馳,只不過這次有了新花樣。
雷鋒網不久前也報導過OBD車載盒子被爆漏洞,任你老司機也要翻車,實際上此次黑掉汽車有一個「中間人」—— OBD 車載智能盒子。
OBD盒子輸入輸出的邏輯是——發動機是汽車的心臟,OBD 盒子的心臟則是盒子裡面的 MCU,它將汽車各個 ECU 通過 CAN 總線經過 16 針口的數據經過加工分析,然後通過藍牙(或其他連接方式)輸出到手機 App 上,通過手機呈現給車主。
也就是說,車機本身可以連接在汽車系統裡,且多會提供手機 App 控制功能,雖然這些 App 並不會執行某些惡意操作,但是卻丟出一條路來,一旦沒有封好就會被壞人拿走控制車輛的權利。
而安恆海特實驗室研究員的破解便是利用了這條通道,OBD 盒子漏洞成為了一個攻擊入口,通過該攻擊入口向車內網絡發送攻擊指令,實現入侵。
路由器寬帶帳號密碼可攜式竊取攻防實驗
在這場攻防實驗開始前,先是一段情景劇。
住在單身公寓的小玉妹紙記性不太好,不小心忘記了自家路由器的密碼,此時又趕上周末,維修人員休息。無奈的她抱著試一試的心態敲響了隔壁白帽子大神的門(沒錯,男一號就是議題演講者 360 天馬安全團隊安全研究員楊芸菲),而大神也很樂於助人,只用一隻手機就幫妹紙獲取了密碼。
這個情景劇當然不止是展現一種撩妹手段,更為楊芸菲以《路由器寬帶帳號密碼可攜式竊取攻防實驗》為主題的演講鋪墊。實際上,路由器帳號密碼獲取過程主要是利用 PPPoE 協商過程的漏洞,通過手機建立 PPPoE 伺服器,然後強制路由器使用存在漏洞的 PAP 協議,從而獲得密碼。
實際上,目前還有很多協議,包括常見的 GSM 和 GPS 都還存在問題,之所以沒有修復是因為更新迭代的成本太高,難度太大,因此需要各方共同努力,提升這些缺陷協議的安全性。
不過楊芸菲也表示,在一般場景下,針對普通家庭寬帶進行攻擊需要在物理接觸到路由器條件下才能實現,因此具有一定門檻,用戶不必過於擔心。
基於Unicron-Engine的開源Windows可執行文件沙盒實現解析Comodo 反病毒引擎研發技術負責人,FreeBuf 年度作者王偉波分享《基於 Unicron-Engine 的開源 Windows 可執行文件沙盒實現解析》,unicorn-engine 是一個基於 QEMU 的 cpu 模擬執行框架,具有支持多平臺多指令集,支持多語言接口調用,運行速度快等多重優勢。
而本次議題的主角 wxemu 就是一個基於 unicorn-engine 的可執行文件沙盒。經過原理介紹後,王偉波現場演示了 xshell 在 wxemu 沙盒中的運行過程,通過 wxemu 沙盒能夠高效便捷地在沙盒中運行可疑文件提取關鍵信息。
滴滴美國研究所 nEINEI 帶來《GDI魔術:漏洞利用中的利器》,GDI(Graphics Device Interface )是微軟為應用程式提供圖形設備接無關的一組API。
Nt 早期版本將窗口管理和圖形系統運行在用戶地址空間,導致性能問題,從 NT4.0 開始將窗口和圖形移到內核態。nEINEI 先以 Bitmap 的利用為例來講解。要翻轉利用 Bitmap 漏洞,首先要控制指針。2015年Keen Team 的研究人員提出如何在優雅並且穩定的控制任意內核地址的數據的方法。利用這種方法就可以對任意地址進行讀寫。
nEINEI 表示,由 GDI 引發終端安全攻防的思考。漏洞不斷可以挖掘,安全攻防永無止境。未來的終端安全的發展是什麼?把眼前的做好,就夠了。
智能之上,安全的新可能深信服資深專家、數據挖掘領域博士蔣振超帶來 《智能之上,安全的「新可能」》主題演講。蔣振超表示,人工智慧可能會被錯誤應用:使用神經網絡猜測密碼;使用遞歸皮質神經網絡自動打碼;基於面部識別的殺人武器;無人機蜂群……這些例子有些可怕,但的確已經實現。
但我們同樣可以利用 AI 進行反擊。數據科學家結合安全分析師再結合人工智慧,此時形成的人機共智相當於攻防專家。
所謂,兵無常事,水無常形,我們要擁抱 AI,但不限於 AI。
Web 安全從入門到放棄FIT 2018 第二天的議程從青藤雲安全分析師 CplusHua 以《Web安全從入門到放棄》為主題的演講開始。
他曾經向螞蟻金服提交漏洞,並且獲得了 36 萬元的大獎,在本次演講中他詳細闡述了新版 OWASP TOP 10 中增加的三種攻擊方式,並從新增的漏洞中可以看出一些新的趨勢和思路。
對於白帽子而言,在分析公司業務資產時,信息收集是基本步驟,然後要進行整理和檢測。除了技術本身的漏洞,很多企業在業務上也存在很多漏洞。宮華表示,在這些過程中,不僅要分析業務場景,還可以分析程式設計師最初寫代碼的思考,從這個角度或許可以發現程式設計師思維上的缺陷或漏洞,進而獲取其他人無法挖掘到的漏洞。
他以黑盒業務功能攻擊為例,為我們詳細展開了從易被忽略的角度找到漏洞的過程。例如,在用戶註冊過程中,利用伺服器返回 cookie 的特點獲取用戶名密碼等。黑盒網絡攻擊的跨雲攻擊也是如此:在交換器的環境下,訪問策略的缺陷可能是很多廠商容易發生的問題。還有很多漏洞是雲服務自身特點導致的,也是現階段難以避免的。
那為什麼 web 安全要從入門到放棄呢?
宮華認為:如果白帽子為了賺點小錢而狂刷一些意義不大的洞,其實可以放棄了,因為這種方式浪費時間而且並不賺錢,觀察 BTC 漲勢圖可以知道,挖洞遠不如 BTC 賺錢;但如果白帽子是真正的在挖洞,那麼一定要堅持下去,去做更深入的研究、分析與挖掘。
高並發開源軟體 WAF 在企業安全實戰中的探索根據 Gartner 發布的 2017 年度 Web 應用防火牆(WAF)魔力象限報告,WAF 的全球市場規模不斷增長,越來越多的企業需要用 WAF 產品和技術保護自己的安全。而在這個開放共享的時代裡,開源產品也越來越受到歡迎。
盛洋的演講議題是《高並發開源軟體WAF在企業安全實戰中的探索》。現階段,隨著 Web 應用越來越多,相關問題日益突出,貼近 Web 端的防火牆(WAF)比普通的 WAF 更具優勢。但高性能是 WAF 的一項重要指標,脫離了這一點,WAF 就難以落地。此外,成本問題、使用體驗,都是需要考慮的因素。在此背景下,開源 WAF 以其成本較低(免費)、部署靈活(源碼開放)、兼容性高等特點佔據了優勢。當然,開源 WAF 軟體也存在更新不及時等缺點。
今天更多別人們提到的開源WAF系統,更多已經變成了基於Nginx LUA的WEB防火牆系統,這種防火牆系統的特點是基於最常見的nginx服務,使用Lua語言及API來實現WAF功能,使用LUA不像使用C寫模塊的維護成本那麼高,LUA小巧性能優越,降低了開發難度和維護成本。
Nginx被廣泛的應用HTTP7層相關的應用開發,很多人都不陌生。Nginx+lua的開源WAF興起之後,開源WAF的發展隨著Openresty的發展進入了新軌道,國內的開發人員開始基於Openresty寫了很多的中間件服務,社區越來越活躍。
目前比較活躍的幾款開源 WAF 軟體有:loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF 等。企業可以通過串行連接、並行連接、串並同行、靶機設定等多種方式來完成開源 WAF 軟體的落地測試。
雲時代 DDoS 溯源實踐與解析除了 WAF 產品之外,這兩年抗 DDoS 攻擊的產品又重新受到青睞。金山雲高級安全產品經理梁洋洋分享了《雲時代DDoS溯源實踐與解析》。
作為一個 1995 年就已經出現的攻擊,DDoS 在這兩年又開始受到高度關注,因為近兩年棋牌類遊戲蓬勃發展,導致 DDoS 防禦需求越來越多。
而 DDoS 溯源意義可概括為三點:
面對行業內惡意競爭,為高防用戶提供攻擊證據鏈技術支持,方便警方立案;
購買高防服務期間,降低用戶遭受 DDoS 攻擊峰值,減少高防支出;
公有雲高防服務的輔助產品。
梁洋洋表示,DDoS 溯源流程包括: 攻擊數據獲取(有4層和7層攻擊數據獲取方式)、攻擊數據清洗(有4層攻擊源偽造處理、CC攻擊特徵分析)、攻擊樣本獲取(攻擊源定向滲透)及、控制端溯源,最後一步則是進行進行團夥溯源,要知道攻擊是如何發生的、目的是什麼,最終分析其社交關係以及行業競爭關係,最終產出商業競爭溯源報告,向警方提供攻擊證據鏈。
根據這一過程,DDoS 溯源自動化可以採取一些手段,例如在攻擊數據獲取階段,可以採取全流量溯源系統,加入 7 層 CC 防護日誌;在攻擊數據清洗階段,加入回掃分析和 IP 信譽 API、使用路由追蹤系統、自動化分析腳本;在攻擊樣本獲取階段,加入 M3 滲透測試小組;在控制端溯源階段,加入 M3 滲透測試小組,加入商業威脅情報溯源 API;在團夥溯源階段,加入 M3 滲透測試小組,利用溯源分析平臺和情報交換系統進行深度分析。
情報驅動下的安全閉環建設美麗聯合集團安全總監石喬演講了《情報驅動下的安全閉環建設》議題。對於企業而言,安全團隊的建設是一大重點。企業安全團隊建設初期,受限於資源、管理層不重視等因素,團隊初期的防護能力:發現能力、阻斷能力、復盤能力都受到一定的限制。理想狀態下,企業安全建設應當圍繞這些能力賦予更充分的發展。
石喬以美麗聯合集團為例,圍繞 Begis/ 開發組件、Cobra/代碼審計、Eagle/黑盒掃描、Gaea/WAF/Wolverine/主機安全、Turtle/堡壘機系統、GuGu/ 入網管控等七點,建立了一個安全規則平臺,利用這個平臺,可以不必把整個公司的安全能力放在某個安全工作人員或白帽子的頭上,而是全面發展,形成閉環。
此外,在對情報進行評估時,可以考慮數據敏感、業務複雜度、集群數量、可控保護等四個維度,進而快速響應,實現安全閉環。
網絡安全中的潛在威脅
Unit 42 威脅情報專家組、Palo Alto Networks 高級分析師 Vicky Ray 以 Orcus RAT 木馬工具為例,向大家揭露了網絡安全中除了攻擊實施者之外的其他威脅。
在地下論壇中,充斥著不同的人,他們各自扮演著自己的身份,推動這個這個滋生很多網絡犯罪的平臺發展。在這裡,有實施攻擊的人、有惡意程序和利用工具的開發者、還有其他的技術支持者,他們相互合作,將惡意工具從開發到擴散到實際利用各個環節一一打通,形成了網絡攻擊的完整產業鏈。
以 Orcus RAT 木馬攻擊為例,這個工具因其「用戶友好」的特點,受到不少犯罪分子的歡迎,近些年來使用率不斷上升。這也引起了研究人員的注意。Orcus 遠控軟體非常強大,它能夠監控用戶的電腦,開啟攝像頭卻不觸發指示燈。除此之外,跟很多病毒一樣它能夠檢測虛擬機系統,防止被分析。
研究人員針對這個狡猾的惡意軟體,使用了 NETMON、TCPVIEW、WIRESHARK 三種檢測技術,同時使用沙盒技術進行分析,最終解密了 Orcus,並發布了分析報告。
嚴格來說,Orcus 作者並沒有直接發起攻擊,但他開發了惡意工具並提供給其他犯罪分子實施攻擊。這類惡意工具開發者也是網絡安全中的一大隱患。研究人員需要對此提高警惕,共享威脅分析報告,提供證據,與執法人員合作,打擊此類惡意工具開發者,才有助於阻止潛在威脅。
如何構建基於 SOAPA 架構的智能安全蘭雲科技聯合創始人、高級副總裁周宏斌以《入侵事件的高效發現,分析與取證:如何構建基於SOAPA架構的智能安全》為主題進行了演講。
企業面臨的安全之困可以概括為四點:
告警泛濫,有價值信息淹沒在海洋中;
基於特徵檢測,未知威脅發現能力弱;
安全產品各自為戰,無法形成防禦體系;
入侵事件發生後,分析,取證,還原難。
在此背景中,提高未知威脅檢測能力、提高入侵事件分析能力成為了首選的脫困之道。
SOAPA (安全運作與分析平臺架構)就是融合了這兩種能力的平臺。 SOAPA 平臺可以將安全信息和事件管理(SIEM)、事故響應平臺(IRP)、用戶行為分析(UBA)、漏洞掃描器和安全資產管理、端點檢測/響應工具(EDR)、網絡流量分析(NTA)、反惡意軟體沙箱和威脅情報(TI)等手段和技術結合在一起,實現高效的未知威脅檢測和入侵事件分析。對於企業而言也是一個不小的啟發。
結語
弗洛伊德認為,人都有生本能與死本能,而死本能某種程度上更接近破壞。
那白帽子的死本能是否比普通人更強烈?
他們為技術著迷渴望,在內心的「破壞欲」催動下打破陳規尋找漏洞,他們手持利器又克制自持,他們低調又執著改變世界,但也正是這樣,才讓他們與那些循規蹈矩的人區別開來。
兩天時間,數個議題,FIT 2018 大會已落下帷幕,但對這些負重前行之人,仍是新的開始。
雷鋒網宅客頻道關注先鋒科技領域,微信公眾號(letshome),歡迎關注雷鋒網(公眾號:雷鋒網)宅客頻道。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。