FIT 2019大会会期为2018年12月12日-13日,今日已圆满落下帷幕。昨天的大会主论坛议程聚焦「全球高峰会」、「WitAwards颁奖盛典」、「X-TECH技术派对」、「HACK DEMO」四大版块内容,同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也在特色分会场同期举行。回顾首日盛况,请看:安全圈年终大趴,FIT 2019首日盛况全程回顾。
前沿安全论坛部分PPT链接: https://pan.baidu.com/s/1Z45k1c_sJiXxzjEJ58zvoQ 提取码: ippr,复制这段内容后打开百度网盘手机App,操作更方便哦。
今天的大会主论坛包含「WIT2018现场最受欢迎奖颁奖」和「前沿安全神盾局」两大主题,此外独立分设「白帽LIVE」及 「企业安全俱乐部」两大分论坛,与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽专家、研究机构等同展开演讲与探讨。在今天的主论坛上,我们通过现场投票的方式角逐出了“WIT2018现场最受欢迎奖”,演讲嘉宾与我们分享了2018年度安全行业创新硕果,共同探索和展望未来安全新边界。
WIT 2018现场最受欢迎奖
本次WitAwards 2018采用7+1的形式,在七大奖项——年度创新产品、年度技术变革、年度品牌影响力、年度安全人物、年度国家力量、年度安全团队、年度热门产品及服务的基础上,组委会特别新设「WIT现场最受欢迎奖」,旨在为获奖者提供更多展示核心技术和产品的机会。
入围本次WIT 2018现场最受欢迎奖角逐的有「年度创新产品」腾讯云、「年度安全团队」无糖信息、「年度技术变革」百度安全以及「年度安全人物」看雪学院段钢。在今天的大会现场,经过观众与评委的共同票选,WIT 2018现场最受欢迎奖最终花落「百度安全」。
前言安全神盾局
物联网、人工智能、区块链、互联网+等前沿客季在2018年引起了一波又一波的话题热潮,逐渐成为信息时代产业发展的主要技术经济形态,它们在各种社会领域中的参与度越来越高。在新趋势、新变化带来便利的同时,网络安全隐患日益彰显,安全隐患源头与种类越来越多,成为了影响行业发展乃至国家安全的重要因素。FIT 2019第二日主论坛特设「前沿安全神盾局」版块,汇聚国内外顶级专家学者,带来多个新鲜议题,共话前沿安全。
IoT安全的To B和To C
率先上台的是海康威视CSO王滨,带来的议题是《IoT安全的To B和To C》。他从公众眼中的IoT安全和安全研究人员眼中的安全作为出发点讨论了他对于“To B”和”To C”的区别理解,对于目前的IoT设备安全态势而言,这是一种很好的厘清方式。因为对于C端而言,消费者看到的很多安全方面的报道都存在很大的局限性,因为很多问题的根源来自于上游设备,而不是IoT本身。
要做好 IoT to C 的安全,首先要做好云安全,其次是 APP安全、设备安全、端到端加密以及口令安全。由于开放接口多、用户安全意识淡薄、系统网络环境复杂、历史问题堆积、纵深防御难实施等多个问题,IoT to B 的安全需要厂商提供更高的产品安全需求,同时为用户提供轻管理的安全防护方案。
尤其是漏洞这一块,王滨还有以下特别呼吁:
目前业界遵循的90天的漏洞披露策略对于无有效升级途径的物联网设备并不适用;
POC的检测更推荐采用版本检测的方式;
用户设置周期性固件更新计划任务,弱口令一定要避免;
厂商加强设备的安全设计、开发、测试和应急响应;
行业主管机构必须要有强制的检查和通报机制。
Apollo智能网联汽车信息安全实践
百度安全工程师汪明伟在他的议题《Apollo智能网联汽车信息安全实践》中表示:
随着车联网程度层层深入,随之对于车联网的攻击手段花样迭出。虽是大势所趋,但安全性上的内忧外患不解决,用户始终对智能网联汽车望而却步,甚至随时都可能成为交通环境中的定时炸弹。
百度安全实验室在车联网这一领域已经深耕了15年,积累了80款车型数据。2016年8月,实验室实现了国内首例完整入侵案例,如何通过层层步骤接管车辆。从实践经验出发,汪明伟谈到:
解决车联网的内忧外患问题要从流程端和技术端双管齐下。
围绕云、车机、网关、ECU四大领域构建快速反应能力、应用和系统可信体系、隔离及检测解决方案、源以及内容的可信架构,最终实现完整的骑着信息安全测试体系。
此外,建立专门的机制,尤其是决策层的推动非常关键。
IoT攻击实践:高效协议分析
IoT市场规模极具扩张,设备数量大大增长也导致了DDoS攻击的攻击面、攻击量、攻击效果大大提升。骇极安全CEO Zenia从攻击者的思路出发,以「协议逆向」为突破口讨论了IoT安全,她带来的议题是《IoT攻击实践:高效协议分析》。
针对如何高效实现协议逆向,Zenia提出了“进化树”的理念:
在进化系统中,影响生物特征变化巨大的基因(例如控制肺叶和腮体征变化等)其基因多样性变化率远远小于在功能和体征上引起较小变化的基因;
同样这种统计特征出现在一些IoT协议中,例如设备标识符这类决定设备唯一性的字段(基因)在一堆协议数据中基本保持不变,其变化率远远小于那些控制数据字段,例如温度,亮度等操作数据,也就是说字段变化次数: 设备标识符 < 操作标识符 < 数据字段。
因此通过聚类分析,跟踪标识符来:
聚类噪声信号,可以定向的分析有用数据;
可以快速标识出变化字节;
通过状态机有效识别出信号的关联关系,避免在繁杂的数据中寻找关联。
最终,实现对未知协议的安全测试的能力提升,满足大量安全检测需求,构建自动化FUZZ平台。
巧用EvilUSB攻击智能路由器
“前沿安全神盾局” 下午的下午场首先由联想安全实验室研究员杨欢带来了《巧用EvilUSB攻击智能路由器》的议题分享,在现场带来了智能路由器攻击测试的演示视频。
BadUSB安全漏洞是在2014年由国外安全研究人员发现并公布于Blackhat大会上的,目前市面上仍存在多款路由器都具有相同的安全问题。杨欢通过对该漏洞的发现过程、利用过程,以及针对国内两款路由器发动攻击获取路由器Shell的讲解和演示,详细演示了包含开启危险方法、openwrt-rpcd服务ACL配置错误等多洞结合getshell以及绕过有限制的二次命令注入漏洞。
通过现场讲解和展示,杨欢总结出三条安全建议和防护方法:
1. 配置项的审计与源代码审计同样重要;
2. 对于无关的功能模块应当予以删除;
3. 用正确的协议实现正确的功能。
智能IoT安全遇到的挑战
接着讲IoT~Rokid公司安全负责人白嘎力与大家分享“智能IoT安全遇到的挑战”。白嘎力表示预计2020年底,将有10亿设备接入物联网,如此大体量的设备面临着4个维度威胁:硬件、软件、云安全、设备互联和4个严重态势:车联网、智慧医疗、智慧城市、智能家居。
很多智能设备也做了安全防护,但是内部存在开放的可调试接口,只要打开外壳即可访问内部系统。还有部分语音控制模块具备设备操作功能,如果通过模拟声纹的方式来进行攻击可轻易得手。包括版本更新机制、OTA劫持等针对弱网络发起的攻击也很普遍。此外AI等新兴技术在进入安全领域的同时也带来了很多安全风险,比如AI对抗:算法样本对抗AI模型或者算法被攻击,导致人工智能所驱动识别系统出现混乱、误判或者失效;攻击者还可以通过修改现有的训练集生成恶意样本,比如病毒样本的优化,攻击载荷的逃避监测系统等等案例。
白嘎力提出了5个关键的安全加固节点:
安全审计:代码中的安全漏洞进行审计;
安全SDK:安全开发生命周期引入,标准化;
代码保护:程序核心代码逻辑进行保护;
加固:加固、加壳子防止易被逆向破解;
IoT平台:风险及时感知,实时监控监测。
AI安全实践:探索图模型异常检测
除了IoT,AI无疑也是当今的前沿技术。来自斗象科技的高级研究员孟雷以图模型的异常检测为例,讲述AI的安全实践。他带来的议题是《AI安全实践:探索图模型异常检测》。
从设立问题到构建模型,再到人工设立异常阈值检测,最后使用多目标回归模型实现动态阈值,最终获得更精准检测。孟雷提出了一个完整的AI图模型检测。其中的核心是图节点角色模型:
从多个设备告警日志中,抽取关联信息单元,构成告警关联图。根据图方法中的计算指标,对原始告警依赖图做递归特征提取,生成特征矩阵。依据前置的角色度量属性,对特征矩阵做非负矩阵分解,计算每个节点各角色概率分布信息。生成各节点角色分布图
今天我的生活越来越数字化,每天都在产生大量网络安全问题,为了保障安全而在外围部署大量解决方案和节点,这样的会产生大量的数据。面对如此海量的数据,通过构建攻击链图模型可解构网络攻击方式,提供更强的可视性和多设备检测融合分析支持。
威胁与安全AI市场上的决斗
如今全球网络犯罪组织在不断进化,很多环节或攻击技术都用到了AI,飞塔中国技术总监张略带来了《威胁与安全AI战场上的决斗》的议题分享,聊一聊安全领域的AI对抗。
不断进化的网络犯罪组织也应用了AI技术,网络安全威胁在AI的加持下也发生了如下的变化:
自动识别出变种模式被发觉,并自动改变变种模式;
自动发现并攻击高价值目标(震网病毒);
自动躲避疑似蜜罐,并释放假病毒,迷惑防御者;
自动撰写,并发送给高价值目标钓鱼邮件;
自动识别防御体系,并采用绕过策略和变种。
一言以蔽之,AI和自动化显著降低了攻击时间,速度是未来AI对决的主题。
张略表示:AI在国内安全领域的应用大体上还处于机器学习和深度学习阶段,还没有真正达到人工智能的水平。算法并不是现阶段发展AI安全技术的最大堡垒,而是样本的量、训练和反馈的持续性远远不够,需要行业共同努力。
多维度对抗Windows Applocker
360企业安全云影实验室研究员计东带来的议题是《多维度对抗Windows Applocker》。首先,他从三个维度指出了对抗安全策略的意义:
运维视角:采用系统安全策略等手段提高系统的安全性;
黑客视角:寻求系统中自带数字签名的可执行文件或脚本、程序集,通过它们旁路攻击绕过安全策略;
终极目的:实现低权限下让恶意文件突破策略运行。
在现场的展示中,他从Powershell入手,假设当前系统已经限制了Powershell的执行,该如何突破?切入点就是多种“攻击向量”,包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。
在完成展示后,他还和与会观众分享了一款360企业安全云影实验室出品的开源工具:
支持Metasploit ShellCode,自动生成攻击向量(可执行文件或程序集);
支持Regasm、InstallUtil 两种方式载入;
项目地址:https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass。
以太坊态势感知系统构思与实践
以太坊的出现直接将区块链技术的发展带入到了2.0时代。随着相关技术越来越成熟,而攻击于防御的对抗方式也逐步升级,以太坊作为智能合约的先行者,在区块链主链技术实现中具有一定代表性。
很多人都把注意力放在了合约的安全性上,而忽略了对于行为的检测。针对这样的现状,玄猫科技安全研究员叶树佳带来《以太坊态势感知系统》议题分享,阐述了对合约、节点、账户等层面监控与分析的概念和时间,并为合约蜜罐、安全事件、异常转账、钓鱼诈骗、非法交易等进行预警并追踪溯源提供了思路。
他也提出了对区块链安全领域的展望:
区块链的安全性逐步提高;
攻击方式更加深入,细分;
安全产品种类会愈加丰富。
还有一款开源shockwave工具分享:https://github.com/XuanMaoSecLab/shockwave,支持爬取合约、静态检测、regex/match、人工审计等功能。
现场花絮
主会场——前沿安全神盾局
分会场——企业安全俱乐部
分会场——白帽Live
漏洞马拉松现场
最后,致敬热爱安全的你~
*本文作者:Freddy,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-12-13 23:21:04 by: Freddy
请登录后发表评论
注册