展望未来五年安全新疆界:2017 ISC次日精彩回顾

2017-09-14 139664人围观 ,发现 1 个不明物体 活动

ISC 会议来到了第二天,热度却丝毫不减,上午有安全精英峰会,下午有人工智能技术应用安全论坛,可谓精彩纷呈。

到底谁是影子经纪人

首先给我们带来分享的是Comae Technologies 创始人 Matt Suiche。

1.jpg

什么是影子经纪人?

Matt 觉得这个名字的灵感可能来自于视频游戏——质量效应。而且他们使用英语的方式很蹩脚,他们认为这是一种战略,可以很好的伪装自己。

去年8月,他们就在推特上大肆公开了一些文件,甚至推出了订阅服务,你付费就会定期给你发送一些文件,开始的订阅费用还是100 个零币,后来慢慢升到了16万零币,这是很大的一笔钱了。

到底谁是影子经纪人?

他们在哪,究竟是谁,我们暂时不知,我们甚至不知道他们是团体还是个人。美国的情报系统中有4 万 5 千份合同被盗取,很难不让人怀疑是内鬼在作祟。

WannaCry 的幕后推手?

这些影子经纪人后来开始免费分发一些漏洞利用的工具,比如众所周知的WannaCry勒索病毒的全球爆发,这个病毒利用的就是影子经纪人公开的永恒之蓝网络武器。

WannaCry的出现,使一天之内150个国家遭到了感染,而影子经纪人也只是做了一个很没有诚意的道歉。他们宣布其实还有更多的数据,包括央行和 SWIFT 代码提供商的相关漏洞,甚至还包括俄罗斯、中国、伊朗,朝鲜的一些导弹系统的信息。

软件厂商应更强调安全性,企业也要加强安全意识

我们应将各自的责任肩负起来,软件厂商要强调安全性,对于中小企业来说,他们其实并没有做好准备,也没有安全团队,也更容易被攻击。别再想买完最好,最新的防火墙就能一劳永逸了,这样还远远不够,因为你不知道你不知道什么,你不知道你的攻击者是怎么想的。

影子经纪人可以说是网络时代最有争议的组织了,这个神秘的组织于2016年夏天出现,以匿名方式公布了据称属于美国NSA的黑客工具,他们不仅分享NSAS度敏感的黑客工具,而且还揭示了广泛的操作方式。

网络军火与公共安全

第二位登场的嘉宾是来自 ZDI 的项目负责人 Brian Gorenc,他为我们带来的议题是网络军火与公共安全。

2.jpg

Brian 主要的工作是管理Zero DAY 项目,这个项目主要是为来自世界各地的研究人员厂商提供一个平台,研究人员找到 0day的漏洞时可以找到厂商,厂商再支付相应的赏金,研究人员就可以获取报酬。这样的一个项目已经做了12年了,一共给4000个 0 day漏洞都打上了补丁,去年一年解决的漏洞就超过600个,在整个市场上来看,也是很前列的。

在Brain 的供应商中,微软的漏洞比例在下降, 因为他们投入大量的金钱和精力去减少漏洞,以防这些漏洞被黑客利用。

苹果软件里也有非常非常多的漏洞,苹果这件年的市场份额越来越高,也开始有研究者专门寻找苹果的漏洞。

还有一点让人欣慰的是,漏洞的研究社区在不断发展,越来越多的人都在做这个事情,这可以加强当前的社区生态系统。

人+威胁情报网络世界的真实对抗

30.jpg

负责思科Talos项目的Holger Unterbrink探讨了网络安全面临的威胁,Holger Unterbrink指出勒索软件仍是头号威胁,随着更先进的加密技术的出现,恶意软件的漏洞更难被发现,更严重的是,被勒索的机器可能会被控制或再次感染病毒。如果成为了勒索软件受害者,最佳策略是将机器完全重装。

演讲中介绍了最近两个相对较大的勒索软件,一个是Wannacry,另外一个是Nyetya。Wannacry依靠网络自动感染对全世界的计算机造成了大规模的影响,而Nyetya的出现使形势更加的严峻。Nyetya是以破坏数据为目的的非盈利性软件,依靠攻击me-doc,一款政府要求使用的会计软件执行的进程来将流量重新导向至代理服务器来完成控制,另外,黑客在更新服务器的源码中植入了后门,me-doc的更新将会导致所有客户机器的感染。

31.jpg

面对勒索软件的威胁,用户可以做到百分之百应对。首先,要对文件进行离线备份;其次,要对系统漏洞进行修补;第三,不要点击钓鱼邮件链接;另外,提高对合作伙伴网络安全性的警惕;最后,使用一体化多层的安全架构,将通讯数据和后台信息结合到一起,使用本地算法来发掘威胁。

人工智能在互联网安全的机会与挑战

4.jpg

Gartner 研究副总裁 Tracy Tsai 讨论了当前热门技术人工智能与互联网安全的交集,指出使用人工智能实现产品差异化是推动市场发展,使该技术产品成为必备标准品的有效手段。人工智能在互联网安全之中的应用有降低静态应用分析的误报率,检测恶意软件,检测编码漏洞,还有SEH管理等等,其中用户实体行为模式分析备受关注,是指使用机器学习的方法发现非故障的异常行为,预防可能威胁的产生。与其类似的,机器学习还可用于分析异常流量数据。

然而人工智能在资料收集,训练和测试方面,仍存在技术的难点,需要放真实的数据去模型上进行测试,根据多样性和代表性等标准来修正数据库中的资料。人工智能产品的实际价值,要看产品的自动化程度,方案是否可靠,稳定性是否能够得到保证,是否能够进行关联性的探索。这些指标需要一个可量化的评分标准,与之相匹配的,是相关的数据人才,行销和业务、完备的数据和分析工具。为了应对准确率不断下降的情况出现,需要量化出人工智能网络安全解决方案的实际价值所在,使用自己的数据来评测该解决方案,并掌握组织和流程的变化。

砥砺前进,互联网信息安全未来五年展望

最后给我们带来演讲的是 ISC 执行主席谭晓生。

5.jpg

作为今天上午的压轴嘉宾, ISC 执行主席谭晓生也和我们一起展望了互联网安全的未来五年。

军民融合是一个漫长的过程

其实早在15年,习总书记就提出了军民融合的概念,这个过程中间好像看到了民营企业进入到军工的新机会,因为军工是一个利润很大的行业。在美国,很多安全公司的订单都是来自政府和军队。但在中国,可能没有那么乐观。

谭晓生认为,民企进入军工领域会面临到保密资质、实战、既得利益方面的阻碍。军民融合肯定是大势所趋,但是过程是非常漫长。

勒索软件还会愈演愈烈

前面思科的嘉宾就已经提到勒索软件,在过去的两三年每年是以数量级的增长,而对于以后,增长的幅度会更大,因为勒索软件有匿名的渠道,有大量的受感染用户,所以它的商业模式非常完美。勒索软件在整个行业里面将是重点作战的方向。

把决策交给 AI ,把创造交给人

人工智能在某些领域着实有效,而在有些领域却很无力。本质原因就是因为 AI 在决策问题的处理上是十分有效的,下棋也好,判断文件好坏也好,这都是一个决策过程,所以 AI 的表现都还不错。

漏洞挖掘就不一样了,漏洞挖掘需要人找出这系统里面它已经存在的若干的机制或者是代码,把它串起来让它去干一件坏事。因为漏洞的挖掘本身是一个创造的过程。而今天人工智能再创造的能力还非常初级。

物联网的两极分化

timthumb.png

物联网的市场其实可以分成两块,普通消费者与政府企业。

对于普通的消费者来说,用户对于智能硬件安全本身不是那么重视,用户关注的更多还是美观性,所以安全性就没那么敏感了,所以现在的厂商很多都在做成本的竞争,售价的竞争,很难在安全上有太多的投入,所以对于消费市场,安全性的提升还是很难的。

对于政府和企业市场则不一样,因为无论是智慧城市还是新智造都可以归到物联网中,这一些东西关系到国家安全,关系到社会稳定的时候,政府和企业对于它所使用的物联网的安全会比较关注。比如楼宇自动控制系统,排水控制系统,有很多是通过互联网来实现远程控制。这一部分如果出现问题,电梯出问题会死人,排水会影响到人们的市场生活,政府都有动力在安全上进行投入,所以市场上会出现两个分化的情况。

安全人才培训

有人会认为安全人才培训的市场太稀疏,不会像英语培训班那么多人来学,但今年对于安全人才的缺口还是一直在变大,缺口变大说明产业需求巨大,但是现在的培训方法还不行,没有能够跟上市场需求的速度。

培养黑客,进攻者,漏洞挖掘的人不是那么容易,但是我们需要的是几十万的防御者人才,防御者人才是可以批量培养的。

安全行业需要自我救赎

安全从业人员一方面要在军民融合这条路上主动的做一些事情,因为军工的利润是比较丰厚的,如果能进入军工行业,这个行业的未来就会更好一些,但这并不容易。另一方面要考虑产业链重构,对于传统安全企业,产品,服务意识都要去做创新。另外就是协会合作的问题了,要一起把盘子做大,以开放的心态让利润丰厚一点。

人工智能的黑色思考

首先给我们带来演讲的是美国乔治亚大学教授、乔治亚安全与隐私学院院长李康,讲述了自己对于人工智能的黑色思考。

在人工智能的识别结果中可能会出现一些问题,比如宕机,提权接管服务等。这本质上是因为人工智能再强也无法抵抗一些人为上的失误。

IMG_4168.JPG

同时,对于人工智能的识别结果还可以做数据污染攻击,比如在交通路标上贴上假的痕迹,无人驾驶车可能就会被这样的痕迹所误导,发生危险。人工智能的识别结果被污染了,本身的意义也发生了改变。 攻防之间也会用到人工智能技术,比如在选择目标时,会选择那些各项条件下比较好下手的目标。机器学习也很厉害,黑产中时常出现它们的身影。在安全攻防上面,我们需要更广义的人工智能,甚至创建机器,创建图灵机。

深度学习上走过的弯路

有了李老师的铺垫,相信大家对人工智能都有了一个理解。清华大学博士生、360 Team Serious团队成员肖奇学上台为我们分享了在深度学习上遇到的安全漏洞和产生的影响。

IMG_A4611E0D7A68-1.jpeg

他为我们讲述了在AI系统中遇到的拒绝服务攻击,使AI系统不能出现输出预期的结果,长时间占用CPU;程序崩溃也会导致 AI 系统的拒绝服务攻击。并且提出了对抗样本的概念,对抗样本是什么呢?比如说有一张熊猫的图片,对其做一些技术上的处理之后,会被 AI 识别成长臂猿,这表现了 AI 在识别过程中会有一些漏洞,而黑客可以利用这些漏洞做一些别有用心的事情。

来自卡内基梅隆大学的博士研究生鲍由之也为我们分享了他们通过使用 Layout Remediation 和 path Kneading 的方法自动化进行程序攻击的复用。

IMG_C97B5221E2D4-1.jpeg

这是一场人的较量

为期两天的 ISC 大会告一段落,我们有幸知晓那些普通人走向安全从业人员的动人故事,也对于时下人工智能,机器学习在安全领域的应用有了一个浅显的了解。对于安全领域来说,最重要的尺度就是人,虽然人有一些弱点,会犯一些错误,但我们不同于机器的根本区别就是我们具有创造力,从想法到实施到实现的一系列过程,短时间内机器是无法替代的。

任何系统都迟早会被攻破,为什么我们还要为之战斗?

因为,我们是安全人

*FreeBuf 官方报道,作者Liki,禁止转载

发表评论

已有 1 条评论

取消
Loading...
css.php