智能引力引爆安全未来,借势创新探索全新篇章——FreeBuf 2018互联网安全创新大会(FIT 2018)次日纪实

2017-12-15 284093人围观 ,发现 6 个不明物体 活动资讯

感谢大家冒着绵绵细雨来到 FIT 2018 第二天的大会现场。这已经是第三届 FIT 大会了,很开心能获得这么多人的关注和支持。我们的 FIT 一般都在年末或年初举行,主要是为了总结安全行业过去一年的发展与变化,展望未来一年安全从业者的工作方向。 

在 FIT 2018 大会的第二天,主办方斗象科技联合创始人兼 COO 谢忱在舞台上如是说。的确,FIT 大会的初衷也是为业内人士提供交流的平台,为安全从业者呈现不同的观点和看法,让大家能在思想的碰撞中找到新的发展角度和方向。在大会第一天,多位安全专家、学者、业内人士围绕人工智能与安全展开不同层面的探讨,全球高峰会、WitAwards 2017 颁奖典礼、X-TECH 技术派对、HACK DEMO等环节精彩纷呈。第二天,大会延续了「智能引力」的主题,从安全防御在企业中的应用以及产业创新的角度,展现了不同的议题。

现场.jpg

白帽 Live:白帽子眼中的企业安全问题

还记得 FreeBuf 曾经邀请过一位 36W 白帽大佬来给大家分享过公开课吗?没错,就是那位蚂蚁金服36W单个漏洞现金奖励得主、青藤云安全分析师宫华(CplusHua)。今天,他也来到 FIT 2018 的大会现场,以《 Web安全从入门到放弃》 为议题,从白帽子的角度谈一谈企业安全的问题。

FreeBuf 曾报道过,2017 年 OWASP TOP 10 中发生的几大主要变化,这反映出企业安全面临的威胁其实也在不断变化。对于白帽子而言,在分析公司业务资产时,信息收集是基本步骤,然后要进行整理和检测。除了技术本身的漏洞,很多企业在业务上也存在很多漏洞。宫华表示,在这些过程中,不仅要分析业务场景,还可以分析程序员最初写代码的思考,从这个角度或许可以发现程序猿思维上的缺陷或漏洞,进而获取其他人无法挖掘到的漏洞。

宫华.jpg

事实上,攻防场景中存在很多看不到的攻击面,安全边界难以预设。有些低危漏洞看似无关紧要,但一次成功的入侵可能正是利用了这些漏洞(例如,登录劫持) 。 宫华认为,“白帽子不能为了挖洞而挖洞,更重要的是目标是分析并解决问题”。

他以黑盒业务功能攻击为例,为我们详细展开了从易被忽略的角度找到漏洞的过程。例如,在用户注册过程中,利用服务器返回 cookie 的特点获取用户名密码等。黑盒网络攻击的跨云攻击也是如此:在交换器的环境下,访问策略的缺陷可能是很多厂商容易发生的问题。还有很多漏洞是云服务自身特点导致的,也是现阶段难以避免的。 ​​​

回归标题,为什么 web  安全要从入门到放弃呢?宫华认为,很多白帽子真正热爱 web 安全,所以热衷于挖洞、研究,帮助企业发现问题,这类白帽子是值得鼓励的。但有些白帽子可能只是为了赚钱而挖洞,这种观点驱动的挖洞行为甚至可能会导致目标系统的业务受到影响,因此,这类白帽子也许可以放弃挖洞,换其他方式去赚钱。如此而言,似乎有几分道理。不过我们相信,第一类白帽子还是占大多数的,毕竟心怀对技术的热爱,对安全的责任感,才能走的更远,做得更好。

值得一提的是,宫华大佬在前一天 FIT 大会结束后的白帽 Party 中,也与许多漏洞盒子的白帽子线下见面了。由漏洞盒子新赛季比赛也将开启,丰厚奖励即将开启,属于白帽子的盛宴 Party,就在前方。

白帽 Party.jpg

企业安全工坊:多层次多角度的安全防御建设

《2017 企业安全威胁统一应对指南》

当下环境下,攻击环境日益复杂,企业面临着来自四面八方、不同层面的威胁。面临这些威胁,企业如何量化分析?2017 年,安全行业出现了哪些热词?如何去选择合适的安全产品?这些都是企业在安全防御中的痛点,也是各大厂商都非常关心的问题。

在企业安全工坊的第一个环节,斗象科技联合创始人兼 COO 谢忱上台发布了 FreeBuf 研究院出品的《2017 企业安全威胁统一应对指南》。作为专注安全的媒体平台,FreeBuf 不仅给出最新的报道,也借由自身多年的经验与研究,组建了具有行业研究能力的编辑团队,用专业的视角和详尽的调查,发布一些行业报告,为同行带来启发。今年 FreeBuf 研究院的分析师与各大合作伙伴携手发布了四份重要报告,涵盖的领域包括黑产、移动 app 安全、金融行业应用安全等。而今天发布的这份《企业安全威胁统一应对指南》则聚焦安全行业威胁现状、应对方式、安全行业产品和未来发展趋势,通过调研分析,为企业安全发展给出一些参考和建议。

企业安全威胁统一应对指南.jpg

报告采用企业基础设施安全&访问控制层、企业在线业务&运维层以及企业内部安全这套三层模型,总结量化评估企业安全威胁;同时也加入了安全产品的评测,通过客观全面的评估,为企业提供优秀的企业安全解决方案。完整版报告将在未来的一到两周发布,欢迎大家关注 FreeBuf 官网,获取最新信息。

高并发开源软件WAF在企业安全实战中的探索

前两个议题产生效果立竿见影。新浪安全工程师、FreeBuf年度作者盛洋(糖果L5Q)一上台就表示,“揣测程序员心理进而发掘漏洞”的观点很新颖,也给到了自己一些启发,可以从这个角度来改进 WAF。而《企业安全威胁统一应对指南》也让大家意识到企业安全面临的严峻挑战。其实,这也正好应证了 FIT 大会的初衷:思想的交流、智慧的碰撞。

盛洋.jpg

盛洋的演讲议题是《高并发开源软件WAF在企业安全实战中的探索》。现阶段,随着 Web 应用越来越多,相关问题日益突出,贴近 Web 端的防火墙(WAF)比普通的 WAF 更具优势,百花齐放的 WAF 时代已经来临。但要注意的是,高性能是 WAF 的一项重要指标,脱离了这一点,WAF 就难以落地。此外,陈本问题、使用体验,也都是需要考虑的因素。再次背景下,开源 WAF 以其成本较低(免费)、部署灵活(源码开放)、兼容性高等特点占据了优势。当然,开源 WAF 软件也存在更新不及时等缺点。

目前比较活跃的几款开源 WAF 软件有:loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF等。企业可以通过串行连接、并行连接、串并同行、靶机设定等多种方式来完成开源 WAF 软件的落地测试。

云时代DDoS溯源实践与解析

除了 WAF 产品之外,这两年抗 DDoS 攻击的产品又重新受到青睐。金山云高级安全产品经理梁洋洋与大家分享了“云时代DDoS溯源实践与解析”。作为一个 1995 年就已经出现的攻击,DDoS 在这两年又开始受到高度关注,因为 近两年棋牌类游戏蓬勃发展,导致 DDoS 防御需求越来越多。在当今云时代的 DDoS 防御中,云溯源意义重大:面对行业内恶意竞争,为高防用户提供攻击证据链技术支持,方便警方立;购买高防服务期间,降低用户遭受DDoS攻击峰值,减少高防支出;公有云高防服务的辅助产品。

梁洋洋.jpg

DDoS 溯源流程包括: 攻击数据获取(有4层 和7 层的攻击获取方式)、攻击数据清洗(、攻击样本获取(攻击源定向渗透)及C&C 外联获取(DPI数据合作等)、控制端溯源(逆向、CC 服务器、威胁情报、身份)。但这还没结束,最后还要进行团伙溯源,攻击时如何发生的、目的是什么,最终分析其社交关系、分析行业竞争关系,最终产出商业竞争溯源报告、向警方提供攻击证据链。

按照这个过程,DDoS 溯源自动化可以采取一些手段,例如在攻击数据获取阶段,可以采取全流量溯源系统,加入7层CC防护日志;在攻击数据清洗阶段,加入回扫分析和IP信誉API、使用路由追踪系统、自动化分析脚本;在攻击样本获取节段,进行M3渗透测试;在控制端溯源阶段,进行 M3渗透测试,加入商业威胁情报溯源API;在团伙溯源阶段,加入M3渗透测试小组,利用溯源分析平台和情报交换系统进行深度分析。

情报驱动下的安全闭环建设

美丽联合集团安全总监石乔为大家带来“情报驱动下的安全闭环建设”议题。对于企业而言,安全团队的建设是一大重点。企业安全团队建设初期,受限于资源、管理层不重视等因素,团队初期的防护能力:发现能力、阻断能力、复盘能力都受到一定的限制。理想状态下,企业安全建设应当围绕这些能力赋予更充分的发展。

石乔

以美丽联合集团为例,围绕Begis/ 开发组件、Cobra/代码审计、Eagle/黑盒扫描、Gaea/WAF/Wolverine/主机安全、Turtle/堡垒机系统、GuGu/ 入完管控等七点,建立了一个安全规则平台,利用这个平台,可以不必把整个公司的安全能力放在某个安全工作人员或白帽子的头上,而是全面地发展,形成闭环。这个系统取名为骨螺,就像骨螺会利用周身的刺吸收周围营养,逐渐壮大一样,这个系统可以把收取到的不同威胁情报分类处理,进而不断壮大安全能力。

此外,在对情报进行评估时,可以考虑数据敏感、业务复杂度、集群数量、可控保护等四个维度,进而快速响应,实现安全闭环。美丽联合集团的安全规则平台,可以给其他企业带来一些思考和参考。

网络安全中的潜在威胁

今天的大会现场依旧有外国嘉宾的身影。Unit 42威胁情报专家组、Palo Alto Networks 高级分析师 Vicky Ray 以 Orcus RAT 木马工具为例,向大家揭露了网络安全中除了攻击实施者之外的其他威胁。

在地下论坛中,充斥着不同的人,他们各自扮演着自己的身份,推动这个这个滋生很多网络犯罪的平台发展。在这里,有实施攻击的人、有恶意程序和利用工具的开发者、还有其他的技术支持者,他们相互合作,将恶意工具从开发到扩散到实际利用各个环节一一打通,形成了网络攻击的完整产业链。

 Vicky Ray

以 Orcus   RAT 木马攻击为例,这个工具因其“用户友好”的特点,受到不少犯罪分子的欢迎,近些年来使用率不断上升。这也引起了研究人员的注意。那么利用这个工具赚钱的背后开发者到底是什么身份呢?经过追踪与分析,发现这个开发者本身其实是一个加拿大人。不得不说,Orcus 远控软件非常强大,它能够监控用户的电脑,开启摄像头却不触发指示灯。除此之外,跟很多病毒一样它能够检测虚拟机系统,防止被分析。 ​​​

研究人员针对这个狡猾的恶意软件,使用了 NETMON、TCPVIEW、WIRESHARK三种检测技术,同时使用沙盒技术进行分析,最终解密了 Orcus,并发布了分析报告。有趣的是,作者 Armanda 还去这篇博客下评论表示赞赏。这可以看做是对网络安全研究者的一种挑衅。

严格来说,Orcus 作者并没有直接发起攻击,但他开发了恶意工具并提供给其他犯罪分子实施攻击。这类恶意工具开发者也是网络安全中的一大隐患。研究人员需要对此提高警惕,共享威胁分析报告,提供证据,与执法人员合作,打击此类恶意工具开发者,才有助于阻止潜在威胁。

入侵事件的高效发现,分析与取证:如何构建基于SOAPA架构的智能安全

兰云科技联合创始人、高级副总裁周宏斌以“入侵事件的高效发现,分析与取证:如何构建基于SOAPA架构的智能安全”为主题分享了自己的观点。当下情形下,企业其实面临着不少安全困境:告警泛滥,有价值信息淹没在海洋中;基于特征检测,未知威胁发现能力弱;安全产品各自为战,无法形成防御体系;入侵事件发生后,分析,取证,还原难。在此背景中,提高未知威胁检测能力、提高入侵事件分析能力成为了首选的脱困之道。

周宏斌

SOAPA (安全运作与分析平台架构)就是融合了这两种能力的平台。 SOAPA 平台可以将安全信息和事件管理(SIEM)、事故响应平台(IRP)、用户行为分析(UBA)、漏洞扫描器和安全资产管理、端点检测/响应工具(EDR)、网络流量分析(NTA)、反恶意软件沙箱和威胁情报(TI)等手段和技术结合在一起,实现高效的未知威胁检测和入侵事件分析。兰天智能安全平台就是基于 SOAPA 的安全平台,在数据呈现层、数据分析层、数据处理层和数据采集层经过用户异常分析、漏洞信息关联、事件信息关联、事件态势分析等多个步骤,来实现未知威胁发现、违规访问发现、安全取证等安全能力。这对于企业而言,是一个启发。

产业创新俱乐部:人工智能在安全领域的创新应用与发展

下午的议题回归人工智能,探讨了 AI 与安全结合的现状、创新应用于未来发展。

AI+  安全领域创投机会

当我们说到安全投资时,我们在说什么?根据 Gartner 预测,2018 年信息安全领域支出将达到 960 亿美元。也有报道称,从 2016 年开始 AI 领域的投融资不断走高,屡破纪录。但是在这个大背景下,AI 与安全结合领域的投资依然面临固有挑战:信息安全占企业 IT 支出比例上,中国依然落后于美国;此外,在很多企业的理念中,如果没出问题,就不愿意花钱做安全。 不过我们依然也能看到很多新机遇:随着 IoT  的发展,新的数据、需求和技术也不断涌现,带给我们驱动力。

郑灿

现如今,人工智能的发展已经过了最初萌芽的阶段,进入了真正落地的发展阶段。对于安全行业而言,数据智能已经成为新的落脚点。首先,数据智能可以用于自主学习和主动防御,例如智能分析从基于规则到自主学习,利用海量数据,实时性自主性学习等;其次,可以用于物联网安全,正如我们之前的报道所说,物联网安全问题近期越来越受到关注,其间用的技术也将有更大的发展空间;第三是车联网安全,这其实属于物联网安全,但由于车联网安全问题比较复杂,所以格外需要重视;第四是数据交换安全。企业间情报共享、数据交换都存在巨大市场,如何在这一方面发展数据智能,值得关注;最后还可以应用于区块链和去中心化。依赖中心的方案可能导致安全隐患,有没有可能利用区块链技术建立一个去中心化的dns呢?另一方面,区块链本身也可能存在安全问题包括 51% 问题等。 ​​​因此,这些问题也将带来新的技术需求和发展。

AI+ 安全领域的创投,也许可以在以上几个方面找到突破口。

创新圆桌:「AI x 安全」下一个风口?

德勤(Deloitte)风险咨询合伙人施建俊、联想集团安全实验室总监耿晶鑫、安全威胁情报推进联盟发起人及君源创投管理合伙人金湘宇、斗象科技安全研究能力中心负责人徐钟豪、德国弗劳恩霍夫AISEC研究所-认知信息安全研究组组长肖煌、泰尔终端实验室信息安全部副主任,移动安全联盟秘书长杨正军、线性资本投资总监郑灿共同参与下午的创新圆桌会谈,围绕「AI x 安全,下一个风口?」各抒己见。 ​​​

创新圆桌

主持人施建俊表示,“AI x 安全”的这个 “x” 字很好。二者相辅相成,只要其中一项为0 ,结果就是 0。这的确反映了当下 AI 与安全之间的紧密联系。

那么人工智能在那些安全领域会出现突破?目前存在的问题是什么?

肖煌博士认为当下很多自动化的安全产品是是人工智能较广泛的应用,不过现阶段自动化工具的思路与方法出现了改变。 ​​​传统自动化主要偏向于识别,而当下的人工智能主要是数据驱动的,这可能是其间的区别。

耿晶鑫与金湘宇都认为,安全与 AI 其实如影随形。AI 在 IT 领域的发展是一个必然的方向。安全作为 IT 的一个分支,应用 AI 是必然,而随着 AI 技术越来越多的应用,AI 技术本身也存在安全问题。两方面相辅相成,促进了 AI 与安全的深度结合与发展。AI 不仅是风口也站在浪尖。

创新圆桌

郑灿表示,AI带来的问题和挑战早在 2015 年就在中国的金融市场中出现。但我们更应该考虑的是新技术能够对基础设施带来的推动,技术带来挑战的同时也带来了机遇。此外,国家监管其实需要起到领头作用,走在行业前列才能加大保护力度。

那么终端智能化会带给我们怎样的未来?杨正军认为,数据的收集、公平竞争都是未来可能出现的问题和风险。AI 用于非法途径也是不容忽视的一点。目前黑产中使用的 AI 技术应当引起警惕。

徐钟豪就 AI 赋能安全防御发表了看法:AI 已经发展了几十年,但落地依然不足。目前 AI 用于检测依旧是辅助手段,受限于数据问题,AI 在评估、量化中作为补充,在决策中也只是作为参照。更多时候,安全防御中需要人工结合多种业务模型进行决策和判断。期待在未来,AI 能为安全防御带来更多创新与助力。

深度学习的安全应用及隐患

圆桌会议之后,德国弗劳恩霍夫AISEC研究所博士肖煌与大家分享了《深度学习的安全应用及隐患》。围绕深度学习,有很多课题可以研究,如用户行为分析、自动安全响应、安全事件管理、异常检测、安全对象分析等。但在当今环境中,人们对于机器学习、深度学习也存在一些误解,人工智能技术滥用的情况也不在少数。那么什么是深度学习呢?简单来说,机器学习就是从数据中提炼知识的特点,分为深层与浅层。深度学习和浅层学习的区别就是 layer 的数量,深度学习的 layer 更多,能够解决很多高度非线性的问题。 ​​​

肖煌

当前环境下,攻防愈加复杂,黑客已经逐渐形成自己的攻击体系,但防御者还没有形成合理的合作方式。因此,机器学习将会成为也有必要成为有效的辅助手段。利用深度学习,防御者可以进行恶意病毒分类、控制局域网络的异常检测、代码安全性检测等,能取得较好效果。但是, 深度学习本身值得信赖吗?当前有大量的研究可以通过加入噪点干扰图像识别,这是我们在应用机器学习之前需要考虑的问题。有案例表明,​​​通过20行的python代码,我们可以欺骗深度学习系统,而在以前则是需要超过300行代码。此外,深度学习的发展非常缓慢,调参、人才匮乏都是其中的原因。

总结来说,深度学习非常强大, 对信息安全大势所趋。但深度学习并非总能成功,需要仔细的调整模型,且模型的复杂度必须和数据(问题)匹配。此外深度学习存在潜在的隐患,我们需要设计基于 AI 的值得信赖的安全服务。

强化学习在Web安全领域的应用探索

人气爆棚的 《Web安全之机器学习》 作者刘焱(兜哥)就“强化学习在Web安全领域的应用探索”进项分享。众所周知,机器学习大致可以分为有监督学习、无监督学习与强化学习等。强化学习是指智能体在与环境的交互中不断学习,在摸索中不断进步(掌握知识)。这其中环境(Environment)、智能体(agent)、动作(Action)、状态(Observation)、奖励(Reward)都是关键词。在实践中,强化学习落地的关键因素是动作空间是否有限且明确。

兜哥

目前,强化学习已经有一些实际应用了,例如,恶意软件自动化免杀,这其实和用机器打游戏存在相似之处,只是返回的游戏界面在这里变成了pe文件的特征。 类似地,我们也可以把它应用于自动化测试 WAF 并且有 40% 的成功率,更重要的是它是全程自动化的。此外,在绕过垃圾邮件检测时也可以用强化学习,但是条件是动作空间都需要是有效的。 ​​​当然,针对强化学习模型也存在一些攻击,例如图像识别欺骗等,这也是强化学习在发展中需要克服的困难。

委托式安全代理在业务应用安全中的实践

炼石网络联合创始人岑义涛从另一个角度与代价分享了企业业务应用安全的实践。 现阶段,企业面临很多压力,应用系统的复杂性让企业面临更严峻的挑战。CASB 用broker技术把传统技术塞进了SaaS里。

岑义涛

CASB 形式的委托式安全代理看似与代理非常相似,但存在大量的区别,一般的代理无法处理多请求的关系才能找到上下文,CASB 则更高效。而基于委托式代理的 ​​​CipherGateway 就是一种实践。 ​​​CipherGateway 能够实现的情景是限制低权限用户能够浏览到的信息,并且能够做到在应用内部的权限限制。这种功能通过外挂式的设备是无法做到的。 ​​​限制权限用户的另一个应用是数据脱敏或降维,根据不同用户的权限提供不同程度的敏感信息,这也是企业在业务应用安全中可以考虑的因素。

HACK DEMO 

今天的大会现场,依然有激动人心的 HACK  DEMO 环节。极棒实验室(GeekPwn Lab)总监王海兵为大家展示了人脸识别门禁漏洞挖掘详解。这个破解不仅可以侵入系统,打开门禁,而且还可以通过进一步设置把系统还原,抹去入侵痕迹。

王海兵

王海兵介绍,刷脸系统主要经过数据采集、信息处理、特征识别、特征比对等几个步骤实现人脸识别。在具体分析过程中,可以通过提取固件,逆向分析,修改固件,回刷,或者扫描端口检查开启的服务,进而入侵系统。 ​​​此次破解中用到的的漏洞主要有两个: 信息泄露(型号与序列号);逻辑错误(8位密码中,只要猜对一个就能获取整个密码)。 基于这两个漏洞,抓取正常管理通讯并分析内容,最终实现入侵。

门禁破解.jpg

人脸识别门禁破解

WitAwards 互联网安全年度评选颁奖盛典 Part 2

DSC_9591gallery091.jpg

在今天进行的 WitAwards 2017互联网安全年度评选第二部分的颁奖典礼中,年度品牌影响力奖项由PaloAlto Networks NGFW 防火墙获得;浙江大学智能系统安全实验室 USSLAB 赢得年度安全团队的桂冠,而年度安全人物则花落清华大学诸葛建伟博士。

DSC_9614gallery097.jpg

年度品牌影响力——PaloAlto Networks NGFW 防火墙

DSC_9639gallery107.jpg

年度安全团队——浙江大学智能系统安全实验室 USSLAB

DSC_9671gallery113.jpg

年度安全人物——诸葛建伟

关于 WitAwards 2017互联网安全年度评选的全部内容,可以查看 FreeBuf 官网获奖文章

小结

2017 年,信息安全问题大爆发,网络安全行业面临着新的挑战和机遇。炙手可热的 AI 也进入了安全从业者的视线。这一年,我们见证了勒索病毒、僵尸网络等的肆掠,也见证了很多新技术新产品的落地。AI + 安全的发展,也呈现出良好势头。此次 FIT 2018 大会围绕安全领域与人工智能的结合,与大家探讨了安全技术、安全企业、安全产业等多个方面的应用与发展,带给大家很多思考和启发。希望安全行业能借助智能引力的浪潮,不断创新,探索安全发展的新篇章。

花絮

PPT 下载:链接:https://pan.baidu.com/s/1geNxSo7 密码:q8ao

DSC_8368gallery13.jpg

DSC_8429gallery27.jpg

我在现场,你在哪?

DSC_8268gallery14.jpg

向左走,向右走?

酒单.jpg 

FIT Bar 特色酒单

FIT BAR.jpg

来喝一杯“心脏滴血”吧

投进啦.jpg

投进啦

可爱小周边.jpg 

幸运大转盘.jpg 

幸运大转盘

DSC_9550gallery085.jpg

可爱的幕后工作者

DSC_9843gallery27.jpg

璀璨星空,引力无处不在

DSC_9878gallery33.jpg

DSC_9881gallery35.jpg

下次再见啦

*本文作者:AngelaY,FreeBuf 官方报道,未经许可禁止转载。

这些评论亮了

发表评论

已有 6 条评论

取消
Loading...
css.php