11月24日—27日,INSEC WORLD成都·世界信息安全大會成功舉行。克服了疫情等不利因素,本屆大會在總規模、演講嘉賓層級、參會觀眾數量等方面,比上屆有著顯著提高。
本次大會由中外3大院士共同領銜,逾40家網安品牌同臺,近60位海內外演講嘉賓傾情奉獻,近百家媒體全程報導,突破2,000位線下參會人士出席,開幕式及主論壇網上直播吸引了逾70萬名全球觀眾,成為安全行業見面交流的大型峰會現場。
作為每年熱門的分論壇之一,【漏洞攻防與安全研究】論壇備受關注。此次論壇邀請到了來自深信服、Checkmark、騰訊、Cyberbit、知道創宇等信息安全領域知名企業的技術專家們,就漏洞攻防技術在企業中的實際應用和案例進行了分享。
值得注意的是,今年該論壇更加注重安全技術的實戰化研究,專家們的演講內容也是避虛就實,就威脅獵捕、紅藍對抗、漏洞挖掘、業務安全人機對抗等多種實戰性的安全話題進行了深度探討。
本文精選【漏洞攻防與安全研究】論壇上的精彩發言和觀點,以饗讀者。
隨著攻擊商業模式逐步成熟,攻擊者所需的技術門檻也在不斷降低。
黑產技術的差異正在變得逐步模糊,包括把相關的武器庫披露到安全圈裡面,大大降低了黑產工具和漏洞利用的成本。
同時,所有的安全防禦廠商都面臨一個實際的難點,那就是如何把攻擊團隊和產品團隊做成一個有效閉環的機制,把攻擊團隊的攻擊技巧轉化為具體安全檢測實踐的能力,這中間存在很大的鴻溝。
因為對於攻擊團隊來說,他們的知識領域更多體現在如何開發漏洞、利用漏洞;但對於安全產品團隊來說,他們的知識來自5-10年傳統的檢測技術,比如IDS、基於特徵匹配的技術。
兩者在知識上的鴻溝,造成了安全解決方案不能及時對應最新的攻擊技巧。
龐思銘丨深信服安全架構師
我認為應對思路有兩部分:
第一,來自於組織建設,例如:情報體系構建的意義,就在於攻擊團隊與產品團隊有效的對接。
第二,技術體系的建設,包括:情報體系的建設,攻擊技術的研究,對抗檢測能力方面的研究。
例如:在攻擊技術研究環節,會覆蓋多種場景,如:跟蹤熱門的跟蹤技術、構建攻擊場景的數據級,構建攻擊場景,完成攻擊場景的自動化等。
現在的DevOps都要引入安全策略。因為如果上線前發現有問題了,到底是「帶病」上線,還是解決了這個問題之後再上線,會是一個很大的問題。所以,DevOps往後發展就涉及到安全問題了。
安全策略其實有很多,其中關於應用安全的,叫做漏洞管理策略。例如:
應用安全的漏洞一直會有,所以企業需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,這就是一種策略。
研發部門和安全部門關心的內容不一樣,哪些漏洞是雙方都認為一定不能接受的,這也是一種策略。
李亭 Checkmarx中國區技術總監
那麼,企業應該如何在DevOps流程中實施漏洞管理策略呢?
制定策略方面:安全策略要有針對性,確認優先級;
實施方面:從編碼階段到驗收測試的整個DevOps過程中,建議越早開始考慮安全策略越好。
效率方面:考慮到DevOps的流水化作業和效率特點,安全策略和漏洞掃描工具也需要是自動化的。
管理方面:綜合考慮安全策略、管理和監控KPI,以便對實施情況、時間成本、人力成本等多方面進行考量。
新基建到來後,黑產也發生了新的動向,如:IPV6地址量龐大,黑產可以使用的資源接近於無限;5G到來正在突破舊的安全策略;黑產的平臺和工具也在傾向於平臺化和雲化。
面對黑產技術的升級、獲取資源的海量化,業務安全從業者該如何應對呢?
第一,情報與策略的聯動。通過情報和藍軍對自動機手法的分析,可以反哺到策略,定製一些安全策略。
還有可以摸清黑產到底使用的是哪些資源,從資源層進行對抗。如果知道了黑產是誰,還可以直接聯合警方進行線下法務打擊。
李龍 騰訊安全策略高級研究員
第二,產品與策略的聯動。策略結合產品,可以進一步提升黑產對抗的成本。以騰訊的黑名單共享平臺的對抗策略為例:
騰訊通過聯合各個業務之間的聯動,已經覆蓋了所有的安全主線。
當用戶在第一個環節登錄,如果發現惡意,基本上就會進入黑名單,那麼後面的各個環節也能夠使用這樣的惡意結果。同時,不同業務場景積累的黑產資源,也能夠復用到其他業務場景,取得非常好的效果。
安全不光光是一個業務或者是一個團隊的職責,它需要所有人一起來共建,建立一個黑產對抗的樞紐,不光是通過數據層的協作、模型層的共建,還有服務層的打通。騰訊還聯合業務方一起來共同治理,來確保騰訊業務的健康發展。
調研數據顯示,只有20%的網絡安全專家是經歷過真實事件網絡安全事件的處置。
大部分的企業的安全團隊都是在工作中,才第一次經歷到這樣一個網絡安全的發生和處置。在面臨實際的安全事件時,會感到各種各樣的壓力。
佛羅斯特諮詢公司曾表示,在高級安全分析中,價值是來自人,軟體不提供答案。
所以,Cyberit主要做高效藍隊的訓練平臺,幫助人在安全防守上做一個高效的提升。在這樣一套平臺上,花4個月的時間,就能把一個新人變成一個真正的網絡戰士。
朱凱 Cyberbit中國區安全技術總經理
我們主要通過三個方面來做人才培養,包含:技術訓練、高級訓練、擴展性訓練。在這個平臺上通過模擬遊戲的方式,讓大家比較快速、輕鬆地去接受實戰性的訓練,獲得相應的經驗。
在平臺中,網絡安全工作分為7大類,33個領域,52個工作角色,628個知識,374個技能,以及176種能力。
在這樣的框架中,可以很好地指明每個人在信息安全領域中的方向和角色,以及需要具備的技能,補齊自己的短板。
百聞不如一見,希望通過這個平臺,對安全團隊提供動手的實戰,而不是停留在聽說過安全事件。
RDP協議是微軟創建的遠程桌面協議,它允許系統用戶通過圖形界面連接到遠程系統。主要流行的應用包括微軟系統自帶的mstsc.exe,以及最成熟的開源應用freerdp。
今天我們來探討一下如何攻擊rdp協議當中的圖像處理通道。因為圖像處理通道,相對來說比較複雜,而且各種運算、規模也比較大。
對圖形處理通道進行攻擊,有兩條路徑:第一,靜態虛擬通道API處理。第二,動態擴展通道。在找到路徑後,對API路徑進行fuzzing。
但在實際fuzzing中會有一個問題,發現的路徑越多,包括投遞的樣本越多,越難繼續深入發現其它更深的樣本。
另外,還有因素會阻止發現新路徑,比如在路徑上發現了一枚漏洞,導致程序崩潰。這種時候就需要手動做一些補丁。
李松林 知道創宇404實驗室安全研究員
我們目標不僅是發現free rdp漏洞,更高的目標是發現微軟的漏洞。微軟用的都是rdp協議,他們程序的API和free rdp的API也可能是一樣的。所以,對微軟的mstsc的API路徑進行fuzzing後,同樣也得到了一些漏洞。
當然,我們挖掘到了漏洞,還要以黑客的方式去思考,怎樣才能利用漏洞去攻擊。
我認為主要有兩種方式:一是,緩存投毒,指向惡意伺服器。二是,控制服務,再通過跳板進一步控制其他用戶,反向攻擊客戶端。
結語
這些年隨著黑客事件頻發和日趨嚴格的安全監管,企業對於信息安全更加重視,也投入了大量預算採購安全產品、招募安全團隊。
但有了設備和團隊不等於有效果,畢竟實戰才是檢驗安全防護能力的唯一標準。
可以看到,本次INSEC WORLD大會緊跟安全防護走向實戰化的趨勢,【漏洞攻防與安全研究】分論壇更是聚焦紅藍對抗、人機對抗、威脅獵捕等實戰性話題,分享了來自行業一線的安全觀點以及最前沿的技術方法,相信能夠為企業提升安全防護能力提供更多思路,將安全需求進一步落到實處。
【科技雲報導原創】
轉載請註明「科技雲報導」並附本文連結