何必对安全行业如此悲观?看ISC 2016的那些干货议题

2016-08-18 312907人围观 ,发现 5 个不明物体 活动特别企划

* FreeBuf官方报道,作者/欧阳洋葱,转载请注明来自FreeBuf(FreeBuf.COM)

360公司副总裁谭晓生在今天的ISC 2016主论坛上说:“安全,贩卖的是恐惧吗?”这话的意思是说,不管一个系统设计得如何周密,都无法做到滴水不漏,万物皆可破解。在没有绝对安全的情况下,安全行业本质上贩卖的究竟是什么?

他的演讲主题,题为“我有病,你有药么?”主旨讨论的是安全擂台中,攻守双方的角色。这里的病指的就是可被破解的安全问题,而“有药”的那一方就是安全企业。双方的这种不公平表现在很多方面,比如进行攻击的黑客总是收获大量关注,而对企业的防御者而言,如果系统没有被入侵却只会被人认为这是应该的——这大概很能引起安全从业者的共鸣。

DSC_6082.jpg

讲得如此悲观,乍听颇有点儿昨天McAfee未来人类在安全中沦陷的意思。如果说,昨天的主论坛由McAfee奠定安全行业前途扑朔迷离的基调,那么今天的ISC 2016大会则是负责解决和回应这个问题的,像SCADA StrangeLove研究团队负责人Sergey Gordeychik说的:“其实没必要那么担心。”于是第二天的干货议题自然也比前一天多了很多。

云计算是安全行业的拐点

有关云计算对安全行业的变革,实际上我们先前也已经谈得够多了,不过微软可信赖计算机网络安全战略总监褚诚云仍尝试将这个问题做更有意思的解读:加拿大的卡尔加里大学网络先前遭遇勒索软件,在安全人员宣布无力解锁数据之后,卡尔加里大学选择了向勒索软件作者支付赎金。这件事在业内引起了广泛的探讨。

“但勒索软件根本就没有太高的技术含量,某些勒索软件利用十几年前宏病毒特性——这已经是相当陈旧的技术。这对安全行业而言,不得不说是种悲哀。”这种问题未来解决的出路究竟在哪里?

褚诚云将安全领域的努力分成“产品安全”和“安全产品”。“安全产品”也就是安全企业推出的产品,如反病毒软件、防火墙等等;而产品安全,则相对是指如操作系统这样的产品,在设计的时候本身要将安全考量融入其中——对Windows系统而言,在XP时代冲击波病毒产生影响力之后,微软后续便为系统引入了UAC、BitLocker这样的安全特性,这就是产品安全。

DSC_5962.jpg

微软可信赖计算机网络安全战略总监 褚诚云

产品安全和安全产品原本是没有太大关联的,但在过去20年的发展中,双方越来越开始相互影响。比如系统的Secure Boot,将反病毒产品作为链接库加载。最终将这两者进行融合,在褚诚云看来是安全真正有所作为,不致再出现勒索软件这种悲哀的出路。

达成这种融合的终极目标就是云计算的广泛应用,尤其对“产品安全”这一方来说,从原先只需要关注产品、代码安全,到开始关注运营安全、用户数据安全,甚至企业内网安全、云服务租户环境。虽然有为Azure做广告的嫌疑,这却的确是近些年来安全行业在反复强调的SaaS化转变过程,也是云计算对传统安全行业的挑战。

DSC_5971.jpg

美国资深硅谷安全技术专家、天使投资人 卜峥

美国资深硅谷安全技术专家、天使投资人卜峥在谈这个行业的“变革”时,甚至将云的到来称作近10年一度的科技热点革新(甚至成为推翻旧传统的新机制)。可能褚诚云谈到的这种融合,也算是协同联动的表现(虽然这其实有了“聚力”的意味)——云将安全力量汇聚到一起,这是各个层面的,或许也的确是抵御未来McAfee噩梦般预言的方式。

以认知技术来抵御威胁

有关人工智能应对安全问题的话题也是近两年来的热门,来自IBM的安全事业部威胁防护与认知安全首席技术官Barny Sanchez虽然在话语中主要还是为IBM的Watson做宣传,不过这类方案的确为企业应对安全问题提供了一些新的思路。

所谓的“认知安全”究竟是什么?本质上是深度学习在安全领域中的应用,具体到IBM的Watson产品(熟悉人工智能的应该都不会陌生)。有关深度学习的应用其实不必再多做解释,比如说Sanchez自己举的例子:先前日本有名女子患了白血病,治疗效果一直不佳,但皆由深度学习,让Watson很快阅读大量有关白血病的文档,实现对这名女子病情的有效分析。本质就是让机器像人一样,对收集到的资讯进行思考、归类,真正理解这些资讯。

这种技术和安全有什么关系?本质上主要是对安全资料、威胁情报的收集,这就是所谓的“认知安全”。说穿了就是收集、消化大量的数据,然后模拟人类的认知能力。比如说我们去看一份专业论文,读完之后人类是可以总结出一些信息,甚至对这些信息进行归类的,最终还能内化成自己的知识体系。那么认知技术就是这样一个过程。

DSC_5952.jpg

IBM的安全事业部威胁防护与认知安全首席技术官 Barny Sanchez

Sanchez举了个比较有意思的例子,企业内的安全从业者其实每天在进行重复工作,发现安全问题、着手解决,还有获取一手的威胁情报。问题是人力实在有限,一方面我们每天获取的安全资料其实很不全面,用Sanchez的话来说:可能这一天某个人通过Podcast做了一期节目,就包含了很多安全资讯或者相关安全的经验性质的内容,这些一般会被大量安全从业者错过。

机器通过深度学习的方式,不光是将文本内容做整合,还有音频信息,以及图像,甚至影像资料做分析整合。情报的来源包含了威胁数据库、研究报告、安全教材、热门网站、博客与社交网络等等,这些是人类根本无力快速进行的。

另一方面人类在对安全问题做判断的时候,经验上可能会认为,2个月前的威胁信息并不存在太大的意义,所以在做安全问题判断的时候默认忽略了一些线索。但认知技术显然不会这样,在对大量数据做关联之后,显得更有意义。

整个“认知安全”的过程是获取信息,学习,测试,成为经验。其中Watson的学习过程仍然需要人类加以干预,就好像告诉它应该怎么去阅读文件,这也是认知安全的核心所在;而测试部分就是我们对其提出问题,看看它能不能把有用的数据呈现出来。

最终呈现出的效果是,静态信息变为动态内容。其实我们现在就想,以人工智能谈让机器来自己挖洞、做攻防,甚至DEF CON机器攻防赛传说中那样几秒内就发现人类可能几个月才意识到的漏洞,或许还为时尚早,但类似认知安全这样的技术,用来协助安全研究人员工作,提供有效的分析资讯,提高工作效率都是相当有意义的。

DSC_5980.jpg

360公司副总裁 谭晓生

更多议题简要

“认知安全”并不是天方夜谭,这算得上是对McAfee一直对安全行业抱持怀疑态度的一种回应,这表达的是人类科技进步本身对安全行业的推动。卜峥在谈安全行业的变革时,实际上也将大数据和人工智能纳入在内了。所以我们才说,今天的ISC大会议题,是对McAfee提出的问题做回应。除了如上述这种大方向的把握,还有一些值得一闻的干货议题内容:

没必要那么担心工控系统

Gordeychik是今天在主论坛上第一个发言的,他谈到的主要是关键基础设施的网络攻击,比如说针对ATM机、针对银行的巧妙攻击。而在演讲的绝大部分时间内,他谈的实际上都跟工控系统沾边。

DSC_5946.jpg

SCADA StrangeLove研究团队负责人Sergey Gordeychik在谈蓝屏的问题…

就像我们昨天谈到的,工控系统有互连的趋势——这可以算得上是技术进步的结果,但因此也让工控系统更容易遭受攻击。中国的某些工控系统已经直接暴露在互联网上了,据说信息安全的学生只需要大概2天时间就能发现工控系统的漏洞。其中一个相当重要的原因在于,许多工控系统,比如列车自动控制系统还基于Windows NT 4.0系统(基于联锁的铁路计算机),这是个已经有20年高龄的系统了,利用USB设备伪装成HID设备,搭配漏洞来入侵铁路工控系统其实都已经易如反掌了。

不过Gordeychik的意思是,其实没必要太担心,因为“只要共同努力就行”,政府部门、研究人员、ICS供应商、安全供应商、关键基础设施操作员协力,还是能够将这些问题解决好的。实际上也就是“协同联动”的意思。(当然他也没有忘记宣传SCADASOS,让这些关键基础设施脱离互联网,自然可提升安全性)

移动广告中的安全和隐私危险及对策

这个议题来自加州大学戴维斯分校计算机系教授陈浩。他们在做的这个项目,主体上是研究一种叫克隆应用的东西:即在调查中,研究人员就发现,安全市场或者互联网上出现了很多的克隆应用,在功能和使用上,和原作者发布的版本没有任何差别,区别只在于将其中广告内容替换掉。

所以加大戴维斯分校的研究人员对这些克隆应用的情况进行了分析,了解对原作者和广告商而言,存在怎样的损失。其实陈浩花了好大的篇幅来叙述研究方法,毕竟开发者或者广告商不可能直接将克隆应用的数据奉上。他们从17个应用市场,抽取了26.5万款应用,发现每个市场其实都有相当数量的克隆应用存在。

DSC_6033.jpg

加州大学戴维斯分校计算机系教授 陈浩

好在应用的广告请求中会包含client ID,那么从网络流量中抓取这个ID基本就能了解到更具体的情况了,包括对应用原开发者而言,损失了多少利益,甚至因为克隆应用又损失了多少原有的用户。

另一方面,克隆应用的广告呈现还存在点击欺骗、在后台默默请求广告等情况。这些对原有的广告商而言也是存在较大损失的。另一方面,对整个Android生态都存在消极影响,包括开发者对应用开发的动力和热情,以及其本身的收入等。

基于业务场景的逻辑漏洞攻防对抗

来自斗象科技漏洞盒子团队高级安全研究员陆柏廷每次都能在业务场景逻辑漏洞问题上讲出些新花样来。所谓业务场景的逻辑漏洞,比如在某网站重置个陌生账户的密码,由于其逻辑漏洞,通过某些简单的操作就能完成;或者篡改响应包来实现Cookie检测绕过;甚至由于逻辑混乱,误打误撞就能登进某些站点的管理员后台(不知怎么的,就登上管理员账户了…)。

DSC_6067.jpg

斗象科技漏洞盒子团队高级安全研究员 陆柏廷

比如某站点支付密码重置过程,选择其中的邮箱验证+证件号码进行重置。这个过程原则上需要知道证件号码是多少,还得黑入对方邮箱来获取验证码。但居然由于该业务场景的逻辑漏洞,三两步就搞定身份证号、修改邮箱,达成密码重置;另外还有像是某站点重置密码过程中,URL地址明确写着userEmail、userName、userData这样的标识,通过逻辑漏洞的利用,找出其中的加密信息,并绕过实现密码重置。

很多业务场景的逻辑漏洞听起来是比较悲剧的,通常工具很难检测到这样的问题,设备也无法防护,开发人员较难察觉和排查。所以总结起来,还是应该对业务场景首先进行建模,在对业务流程做梳理,并在此基础上做风险点识别。整个过程实际上算不上复杂,有这类相对科学的方法,是避免业务场景逻辑漏洞需要去做的。

APT攻击中的虚假情报

APT攻击从来都不是黑客炫技的手段,这类攻击都是带有非常强烈的目的性,其终极目标应该是神不知鬼不觉地就获取到了数据或者达成了破坏效果。这决定了APT攻击中带有预设陷阱的属性——即干扰调查的内容。

360追日团队高级研究员胡星儒分享的这一议题还是相当有趣的。他举了不少360在追踪APT攻击过程中发现的一些虚假情报。比如360在调查“洋葱狗”的过程中,居然还发现了ICEFOG——要知道ICEFOG可是2013年就已经披露的,整个攻击过程并未释放ICEFOG样本。这其实很容易让安全研究人员找寻洋葱狗与ICEFOG的联系,但最终也证明不过是烟幕弹罢了。

DSC_6046.jpg

360追日团队高级研究员 胡星儒

还有更有意思的DUQU2.0,首先是企图嫁祸予其他APT攻击组织,另外在标识方面误导安全研究人员,让人误以为它可能来自罗马尼亚。还有孟加拉国央行、越南先锋银行被黑的相关恶意代码疑似与Lazarus组织存在关联性,这不过这些复用的代码早就已经公开了,又存在较多疑问。

所以我们才说,APT攻击要溯源是相当有难度的,因为要突破其陷阱和伪装原本就是相当有难度的事。避开这些陷阱也成为胡星儒谈论的重头戏。

移动支付解决方案实践

虽然华为高级安全总监王梓在这个议题中反复在宣传自家的海思芯片,不过我们从海思芯片针对伪基站和支付安全在芯片层面的努力看来,其实要解决某些用户层面问题,从不同的层面做探讨也会显得比较有意思。

比如说伪基站的问题:伪基站实际产生于GSM的单向鉴权,而且当前的手机通讯网络,打电话的时候就会会落到GSM,所以伪基站给我们发来消息是很常见的事情。要消除伪基站的问题,昨天360就谈过以大数据来画移动伪基站的动态图,达到取缔的效果;运营商实际也在想办法解决这样的问题。

DSC_6091.jpg

华为高级安全总监 王梓

而华为的思维是,从海思芯片层面不让用户连接伪基站——不过这其中也存在难点,即为伪基站画像,据说海思的工作人员为此是会进行长期路测的,不知道我们在用的Kirin950是否真的带上了这样的安全属性(这个路测说明了,企业间合作的确还是相当有必要!)。

针对移动支付的恶意软件防护,如果在系统层面长时间进行事件收集(访问位置、读取通信录、访问摄像头等),并进行事件分析,实际上可以起到较好的效果,但对手机这类产品而言耗电量太大。所以据说海思有专门用于规则分析匹配的芯片,配合Android本身API的步进,得以对整个过程实现低功耗。如果这种改进的确存在,那么大概就不止是对移动支付有意义了。

另外还有一点:王梓认为,当前电子支付方案中,U盾类的方案在用户体验方面非常不友好,毕竟你需要再用个东西才能完成支付。所以海思是借由ARM的TrustZone,来实现类似U盾的芯片级支付方案,这样可有U盾支付的安全性,同时又不会破坏使用体现——我们不清楚这其中的具体机制(不是所有ARM芯片都支持么?),但听起来还是相当不错。

DSC_6038.jpg

由于实在分身乏术,许多非常有意思的议题还是没能赶上,比如说从第二个议题开始就火热到不再放人进入现场的电子取证与发展论坛,其中有类似“SSD技术与硬盘取证”这样相当有意思的内容我们还是错过了。

即便这届ISC展会上,不少嘉宾都在为安全行业的前景担忧,尤其在McAfee的领衔下,提及黑客的动作远快于我们,致漏洞、黑客攻击不可避免,都是相当消极的看法。好在尚且还有协同联合的理念在提,即表明安全行业已经相当清楚,凭任何企业的一己之力已难应对黑客;还有云计算、人工智能这样的技术为安全的变革做进一步的支撑,大概我们真的没必要太悲观。

更多有趣花絮:

DSC_5996.jpg

展区黑客集市展示了一款“特洛伊木码”,用Android手机扫码安装某“恶意”APK应用,你最近的联系人、短信内容等都会显示在大屏幕上

DSC_6004.jpg

DSC_5998.jpg

黑客集市还有个“网络透明人”,模拟过安检的时候,将你的银行卡放在下面这个篮子里;只要将银行卡放上去,对面的屏幕上就会显示这张卡的卡号等信息(据说还有交易记录),不过貌似现场大家都很不信任这台设备,所以没人敢去放…

DSC_6012.jpg

DSC_6011.jpg

展区现场有个WiFi名为SheepWall,连接后,网页浏览记录就会在这个大屏幕上显示!教育各位不要随便连WiFi!

DSC_6013.jpg

DSC_6019.jpg

DSC_6020.jpg

威努特在现场演示的一套工控安全攻防演练平台,右边那台攻击客户端发起攻击时,整个模拟的微型工控系统就会出现故障,但统一安全管理中心会发出警报。

DSC_6027.jpg

一只含着牌子的熊本熊…

DSC_6079.jpg

盘古两名讲述iOS 9越狱的首席科学家和联合创始人(糊了…FreeBuf专访传送门

DSC_6006.jpg

正在射箭活动的永信至诚展台…

DSC_6003.jpg

DSC_6000.jpg

DSC_6001.jpg

* FreeBuf官方报道,作者/欧阳洋葱,转载请注明来自FreeBuf(FreeBuf.COM)

这些评论亮了

  • xfkxfk 回复
    很水,我只能说,就是上去show ,吹吹流B
    )18( 亮了
发表评论

已有 5 条评论

取消
Loading...
css.php