freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

火锅味、白帽江湖气和邬院士的“拟态防御”亮点 | INSEC WORLD 2020
2020-11-29 21:45:31

成都很冷,但INSEC WORLD很“热”。或许是疫情把大家“耽搁”得太久了,难得一见,那就聊个痛快。

虽然此前已经对今年的大会有所期待,但现场依然给了我们一些惊喜。去年,当我们说INSEC WORLD不是中国版Black Hat的时候,没有想到2020年的疫情黑天鹅,也没有想到疫情下的INSEC WROLD依然保持线下,同样更没有想到,这场信息安全大会的话题会如此贴近中国。

“会议要好久开始哦”

“这个嘉宾讲得还阔以嘛”

“等哈我们去展位逛一圈儿”

2天的成都INSEC WORLD之旅,不仅有着火锅味,还有白帽江湖气和新基建引发的安全深思。1606451207_5fc0800730fe98f228b31.png!small?1606451210134

数字经济时代的幽灵:未知的未知威胁

一个信息系统可能有成千上万行的软件代码,但只要存在一个高危漏洞或者后门,那么就可能导致整个产品生命周期服务功能的不可信。

目前,普遍存在一个安全悖论,即软件总是存在漏洞的,而解决漏洞的办法是打补丁,但补丁本身的安全性却又是无法完全确认的。这也是邬院士所说的,即便加密、认证等算法的安全性在数学意义上可能已经足够强大。但其物理或逻辑实现载体的安全性也无法给出理论与工程意义上令人信服的证明。

由邬江兴院士开启的大会第一个议题,将全场人引入到新基建安全痛点与内生安全的拟态防御的思考中去。

1606451361_5fc080a1a4b8d2f7ce73b.png!small?1606451365543

图左:中国工程院院士、中国国家数字交换系统工程技术研究中心主任邬江兴  图右:四川省委​网信办副主任宁方伟

2013年,邬院士提出基于拟态计算的变结构协同计算模式的内生安全特性来构建拟态防御的设想,这也是内生安全的初步诞生。而在新基建的浪潮下,内生安全问题无可避免,并且至少存在四个方面的内生安全问题。

软硬件设计缺陷导致的漏洞不可避免

信息产品生态圈存在的软硬件后门无法杜绝

现阶段人类科技能力还不能彻查漏洞后门问题

信息安全产品质量无有效控制办法

众多因素导致新基建安全性不能确保,而可度量的安全设计依然是世界难题。邬院士说:“新基建需要安全性可量化设计、可验证度量的新一代信息基础设施。”

当没有任何厂商可以保证“自主可控”不存在安全漏洞,没有任何安检机构敢为送检设备/装置作无漏洞安全担保,那么,安全技术如何能够自证清白?

未知威胁已经足够令人头疼,而基于未知漏洞、未知后门、未知攻击构成的未知的未知安全威胁该如何抵抗?

邬院士认为,内生安全的缺陷可以用互补性构造解决。作为内生安全理论的技术实践,拟态防御的前提就是不依赖(但不排斥)先验知识条件下,管控内生安全威胁。将“未知的未知安全威胁”转变为“已知的未知安全问题”,这一过程将无法量化控制的问题转变为基于可控概率的问题,为网络空间防御的游戏规则的改变提供新的发展范式。

简单来说,拟态防御是以异构冗余可靠性技术架构为基础,通过导入基于拟态伪装策略的多维动态重构机制,建立动态异构冗余的拟态系统构造,增强防御迷雾,形成了一个测不准效应,从而在机理上阻止试错或者是盲目攻击。

如同安恒副总裁林明峰所说,在过去,网络安全是边缘化的,而现在,如果说新基建是数字经济时代下新型的基础设施,那么网络安全就是新基建的“基础设施”。

新基建应该是一种新技术,新产业结构升级的蓝海市场,新基建的发展需要颠覆性的技术创新,在新一代信息技术与产业洗牌之际,拟态防御思路和理论应用非常值得期待。

“网络穿行者们”的故事与分享

20年前,中国互联网的大门就向公众开放了,但个人计算机对绝大多数人来说,依然是件“奢侈品”。尽管没有“风口”与“独角兽”,更遑论谈网络安全,但大家都是草蜢英雄,彼此不问出身。

于是,初代的网络安全江湖上有了中国第一个Hacker组织绿色兵团,叫“#isbase”的房间里,大概每天四五十人在线,这些人就是最早的白帽黑客。后来,中国红客联盟迅速崭露头角,汇聚大批黑客,再后来,当时网名还叫 cbird 的蔡晶晶在 IRC 中注册了一个永久的房间“#Superman”,而在这个房间里,又诞生了赫赫有名的0x557……1606451460_5fc08104d22538ccbd13f.png!small?1606451463445

从左到右依次为彭泉(PP)、龚蔚(goodwell)、黄鑫(冰河)、林勇(Lion)、王俊卿(la0wang)、谢朝霞(Frankie)、张迅迪(xundi)

2020年并不平凡,而聚焦到网络网安行业同样充满变化。PP说,在这样技术和应用带给我们便利的同时,我们也看到了一些风险。在这样的背景下,邀请到一批初代白帽核心人物,现场聊聊中国网络安全和信息化的发展,有些情怀,似乎也有一代白帽对下一代网安从业人的传承。

初代白帽往事

Goodwell:(进入这一行)早期基本上是兴趣,彼时刚起步的计算机网络环境非常开放,当时大家在一个聊天室里,一个朋友生日,另一个朋友就在聊天室里送礼物,怎么送呢?这个朋友发了一个网址,来自某大国国防部网站,但原网址链接前缀保留,后缀网址则被修改了,进入页面后是“祝xx生日快乐,x月x日”。紧接着,聊天室里的第二个群友“签到”,又去改了一遍(生日祝福),再是第三个、第四个……最后,过生日的朋友自己发了一个网址,网页里是“对大家的生日祝福的感谢”。特定时代背景下下,非常有趣的黑客接龙故事。

lion:以前很喜欢玩游戏,而网络限制也少,当时可以说是“游戏修改大师”,算是年少往事。而说到红客联盟,很多人可能都有耳闻,作为“红旗下的黑客”,红客联盟曾经吸纳了全国众多黑客高手,以反击国外一些黑客的攻击。但在红客联盟20周年来临之际,网络环境已经发生了很大的变化,较之20年前更为复杂,网络行走边界愈发明确,越来越多网络安全法律法规的出台的背景下,白帽黑客需要更多的引导和规范。

Frankie:(我)倒是不赞成白帽黑客打游戏,这是“职业”打菜鸟,恃强凌弱的行为。说到1997年,当时新刑法还没有修订,一群小伙伴在网络上穿行,突然发现了一台计算机,很奇怪。这台计算机内存上G,有128个CPU,几百个硬盘。经过一番网络搜索、数据分析后发现,这是欧洲超级计算机中心的主机……

法律不诉及既往,但现在的国际形势、国际舆论和法律环境,已经和二十多年前不一样了。1997年的新刑法里只有两个罪名,非法入侵计算机信息系统罪(主要涉及关键基础设置、尖端领域)、破坏计算机信息系统罪。而现在,想和大家分享的是:依法研究、依法穿行。

虽然网络穿行很爽,但要慎重。目前除了以下3种情况,其他的“穿行”都是违法的。

自己搭建的环境(靶场)

客户授权的攻击渗透测试

国家机关等授权,对犯罪活动进行合法侦察

对于白帽黑客来说,除了注意风险,也要有爱国情怀。网络安全无国界,但黑客有祖国。网络安全问题是世界性问题,但先治国后为世界做贡献。白帽的力量应该为维护国家网络安全空间主权,尤其涉及到核心技术和高位漏洞等信息,最后,少打游戏多陪老婆~

Xundi:现在这种场合都诚惶诚恐,主要是两个原因,一个是经常提醒自己有多老了。第二,觉得现在的年轻人越来越优秀。我们为什么要持续学习,是因为年轻人在不停追赶。那就聊聊为什么这么久还在网络安全这个行业。开始是爱好和兴趣,到了2015年,从乙方到甲方,观念发生了改变,开始尝试从单一地用安全技术解决问题到持续培养安全技术以外的能力,也就是一些推动技术落地的能力。如一个密钥泄露问题,如何说服、调动业务等团队落实“止血”工作。不用技术圈自我限制。身处网络安全行业,一直需要学习,持续提升。

网络安全行业的发展趋势

冰河:网络安全行业的发展从技术角度来说是简单到复杂,这是攻防双方对抗,相互成长的结果。而攻击技术从单一到多种技术组合,攻击面则从单点到面,从服务器到计算机PC、移动,再到物联网。

未来,数据泄露问题,数据的存储、使用、交换的边界需要明确,IoT安全将成为重点关注问题,而在巨大利益驱使下,随着虚拟支付通道的打通、匿名化提高,勒索攻击的被追溯风险降低,这一类攻击行为将进入高发期,而DDoS攻击作为一种报复行为或是勒索行为,同样不会收敛,5G高速连接的特性可能给DDoS攻击带来一定便利,此外,Al的安全问题也是未来的关注趋势。

la0wang:我的职业一直在技术第一线,坦率说我就是会渗透,其他的不会。90年代末20世纪初的环境,给我们提供的空间比较大,有机会去磨炼自己的网络攻击技术,到了现在,虽然环境发生了变化,但我们也能从另外一个角度研究它:CTF、漏洞测试和其他安全比赛。

对于企业来说,要做到两条腿走路,第一是安全设备要发展,种类越来越全,越来越好。第二就是人,即企业内部的人对安全知识掌握的程度。同时,也希望我们能够承认漏洞的存在,承认我们可能防不住某个攻击,用这样的态度去面对问题并去解决它。

安全圈的新人与大佬

此外,现场还可以看到安全圈“吴彦祖”杨卿的卫星系统安全浅析与新基建安全教育思考,现场放出小电影,直观卫星系统安全问题。今年的CSO还是熟悉的味道,大佬们直言CSO酸甜苦辣,常常是背锅侠,而复杂的网络攻击环境,对CSO提出了更大的挑战1606451546_5fc0815a605b2a4c2816c.png!small?1606451550398

现场还有很多来自成都高校的学生,而他们之中十之八九可能将是中国网络安全行业的未来安全从业者。有些簇拥在安全展位前,好奇安全防御产品的发展,有些聚在主论坛,拍下大佬们的PPT……这一次INSEC WORLD之行,是否会为他们未来的选择带来一些影响?

1606451556_5fc0816444ebd4fa29056.png!small?1606451559588

在网络安全行业快速发展的当下,安全对抗的核心是人,而年轻的网络安全从业者将带着创新的技术、产品、理念去面临更为复杂的网络环境,在数字经济时代里,寻找网络安全的平衡。

现场直播回看

# 拟态防御 # 新基建
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录