freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FIT 2019收官日主论坛全记录,明年见!
2018-12-13 23:21:04

FIT 2019大会会期为2018年12月12日-13日,今日已圆满落下帷幕。昨天的大会主论坛议程聚焦「全球高峰会」、「WitAwards颁奖盛典」、「X-TECH技术派对」、「HACK DEMO」四大版块内容,同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也在特色分会场同期举行。回顾首日盛况,请看:安全圈年终大趴,FIT 2019首日盛况全程回顾

前沿安全论坛部分PPT链接: https://pan.baidu.com/s/1Z45k1c_sJiXxzjEJ58zvoQ 提取码: ippr,复制这段内容后打开百度网盘手机App,操作更方便哦。

今天的大会主论坛包含「WIT2018现场最受欢迎奖颁奖」和「前沿安全神盾局」两大主题,此外独立分设「白帽LIVE」及 「企业安全俱乐部」两大分论坛,与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽专家、研究机构等同展开演讲与探讨。在今天的主论坛上,我们通过现场投票的方式角逐出了“WIT2018现场最受欢迎奖”,演讲嘉宾与我们分享了2018年度安全行业创新硕果,共同探索和展望未来安全新边界。

微信图片_20181213225359.jpg

WIT 2018现场最受欢迎奖

本次WitAwards 2018采用7+1的形式,在七大奖项——年度创新产品、年度技术变革、年度品牌影响力、年度安全人物、年度国家力量、年度安全团队、年度热门产品及服务的基础上,组委会特别新设「WIT现场最受欢迎奖」,旨在为获奖者提供更多展示核心技术和产品的机会。

入围本次WIT 2018现场最受欢迎奖角逐的有「年度创新产品」腾讯云、「年度安全团队」无糖信息、「年度技术变革」百度安全以及「年度安全人物」看雪学院段钢。在今天的大会现场,经过观众与评委的共同票选,WIT 2018现场最受欢迎奖最终花落「百度安全」

微信图片_20181213225359.jpg

前言安全神盾局

物联网、人工智能、区块链、互联网+等前沿客季在2018年引起了一波又一波的话题热潮,逐渐成为信息时代产业发展的主要技术经济形态,它们在各种社会领域中的参与度越来越高。在新趋势、新变化带来便利的同时,网络安全隐患日益彰显,安全隐患源头与种类越来越多,成为了影响行业发展乃至国家安全的重要因素。FIT 2019第二日主论坛特设「前沿安全神盾局」版块,汇聚国内外顶级专家学者,带来多个新鲜议题,共话前沿安全。

IoT安全的To B和To C

f7ab66ff-a190-43be-a7fb-49e1df0433a0.jpg

率先上台的是海康威视CSO王滨,带来的议题是《IoT安全的To B和To C》。他从公众眼中的IoT安全和安全研究人员眼中的安全作为出发点讨论了他对于“To B”和"To C"的区别理解,对于目前的IoT设备安全态势而言,这是一种很好的厘清方式。因为对于C端而言,消费者看到的很多安全方面的报道都存在很大的局限性,因为很多问题的根源来自于上游设备,而不是IoT本身。

要做好 IoT to C 的安全,首先要做好云安全,其次是 APP安全、设备安全、端到端加密以及口令安全。由于开放接口多、用户安全意识淡薄、系统网络环境复杂、历史问题堆积、纵深防御难实施等多个问题,IoT to B 的安全需要厂商提供更高的产品安全需求,同时为用户提供轻管理的安全防护方案。

尤其是漏洞这一块,王滨还有以下特别呼吁:

目前业界遵循的90天的漏洞披露策略对于无有效升级途径的物联网设备并不适用;

POC的检测更推荐采用版本检测的方式;

用户设置周期性固件更新计划任务,弱口令一定要避免;

厂商加强设备的安全设计、开发、测试和应急响应;

行业主管机构必须要有强制的检查和通报机制。

Apollo智能网联汽车信息安全实践

167a262d-98c8-4486-9679-7755d870c50c.jpg

百度安全工程师汪明伟在他的议题《Apollo智能网联汽车信息安全实践》中表示:

随着车联网程度层层深入,随之对于车联网的攻击手段花样迭出。虽是大势所趋,但安全性上的内忧外患不解决,用户始终对智能网联汽车望而却步,甚至随时都可能成为交通环境中的定时炸弹。

百度安全实验室在车联网这一领域已经深耕了15年,积累了80款车型数据。2016年8月,实验室实现了国内首例完整入侵案例,如何通过层层步骤接管车辆。从实践经验出发,汪明伟谈到:

解决车联网的内忧外患问题要从流程端和技术端双管齐下。

围绕云、车机、网关、ECU四大领域构建快速反应能力、应用和系统可信体系、隔离及检测解决方案、源以及内容的可信架构,最终实现完整的骑着信息安全测试体系。

此外,建立专门的机制,尤其是决策层的推动非常关键。

IoT攻击实践:高效协议分析

167a262d-98c8-4486-9679-7755d870c50c.jpg

IoT市场规模极具扩张,设备数量大大增长也导致了DDoS攻击的攻击面、攻击量、攻击效果大大提升。骇极安全CEO Zenia从攻击者的思路出发,以「协议逆向」为突破口讨论了IoT安全,她带来的议题是《IoT攻击实践:高效协议分析》。

针对如何高效实现协议逆向,Zenia提出了“进化树”的理念:

在进化系统中,影响生物特征变化巨大的基因(例如控制肺叶和腮体征变化等)其基因多样性变化率远远小于在功能和体征上引起较小变化的基因;

同样这种统计特征出现在一些IoT协议中,例如设备标识符这类决定设备唯一性的字段(基因)在一堆协议数据中基本保持不变,其变化率远远小于那些控制数据字段,例如温度,亮度等操作数据,也就是说字段变化次数: 设备标识符 < 操作标识符 < 数据字段。

因此通过聚类分析,跟踪标识符来:

聚类噪声信号,可以定向的分析有用数据;

可以快速标识出变化字节;

通过状态机有效识别出信号的关联关系,避免在繁杂的数据中寻找关联。

最终,实现对未知协议的安全测试的能力提升,满足大量安全检测需求,构建自动化FUZZ平台。

巧用EvilUSB攻击智能路由器

94769139-098e-4668-b904-02047ee38ad9.jpg

“前沿安全神盾局” 下午的下午场首先由联想安全实验室研究员杨欢带来了《巧用EvilUSB攻击智能路由器》的议题分享,在现场带来了智能路由器攻击测试的演示视频。

BadUSB安全漏洞是在2014年由国外安全研究人员发现并公布于Blackhat大会上的,目前市面上仍存在多款路由器都具有相同的安全问题。杨欢通过对该漏洞的发现过程、利用过程,以及针对国内两款路由器发动攻击获取路由器Shell的讲解和演示,详细演示了包含开启危险方法、openwrt-rpcd服务ACL配置错误等多洞结合getshell以及绕过有限制的二次命令注入漏洞。

通过现场讲解和展示,杨欢总结出三条安全建议和防护方法:

1. 配置项的审计与源代码审计同样重要;

2. 对于无关的功能模块应当予以删除;

3. 用正确的协议实现正确的功能。

智能IoT安全遇到的挑战

ee45f164-37bb-457b-9438-885d0baa722c.jpg

接着讲IoT~Rokid公司安全负责人白嘎力与大家分享“智能IoT安全遇到的挑战”。白嘎力表示预计2020年底,将有10亿设备接入物联网,如此大体量的设备面临着4个维度威胁:硬件、软件、云安全、设备互联和4个严重态势:车联网、智慧医疗、智慧城市、智能家居。

很多智能设备也做了安全防护,但是内部存在开放的可调试接口,只要打开外壳即可访问内部系统。还有部分语音控制模块具备设备操作功能,如果通过模拟声纹的方式来进行攻击可轻易得手。包括版本更新机制、OTA劫持等针对弱网络发起的攻击也很普遍。此外AI等新兴技术在进入安全领域的同时也带来了很多安全风险,比如AI对抗:算法样本对抗AI模型或者算法被攻击,导致人工智能所驱动识别系统出现混乱、误判或者失效;攻击者还可以通过修改现有的训练集生成恶意样本,比如病毒样本的优化,攻击载荷的逃避监测系统等等案例。

白嘎力提出了5个关键的安全加固节点:

安全审计:代码中的安全漏洞进行审计;

安全SDK:安全开发生命周期引入,标准化;

代码保护:程序核心代码逻辑进行保护;

加固:加固、加壳子防止易被逆向破解;

IoT平台:风险及时感知,实时监控监测。

AI安全实践:探索图模型异常检测

c694786c-0a50-4720-a5e9-201943144114.jpg

除了IoT,AI无疑也是当今的前沿技术。来自斗象科技的高级研究员孟雷以图模型的异常检测为例,讲述AI的安全实践。他带来的议题是《AI安全实践:探索图模型异常检测》。

从设立问题到构建模型,再到人工设立异常阈值检测,最后使用多目标回归模型实现动态阈值,最终获得更精准检测。孟雷提出了一个完整的AI图模型检测。其中的核心是图节点角色模型:

从多个设备告警日志中,抽取关联信息单元,构成告警关联图。根据图方法中的计算指标,对原始告警依赖图做递归特征提取,生成特征矩阵。依据前置的角色度量属性,对特征矩阵做非负矩阵分解,计算每个节点各角色概率分布信息。生成各节点角色分布图

今天我的生活越来越数字化,每天都在产生大量网络安全问题,为了保障安全而在外围部署大量解决方案和节点,这样的会产生大量的数据。面对如此海量的数据,通过构建攻击链图模型可解构网络攻击方式,提供更强的可视性和多设备检测融合分析支持。

威胁与安全AI市场上的决斗

5c3d5dcc-9a44-420a-aa77-f725cea77cd7.jpg

如今全球网络犯罪组织在不断进化,很多环节或攻击技术都用到了AI,飞塔中国技术总监张略带来了《威胁与安全AI战场上的决斗》的议题分享,聊一聊安全领域的AI对抗。

不断进化的网络犯罪组织也应用了AI技术,网络安全威胁在AI的加持下也发生了如下的变化:

自动识别出变种模式被发觉,并自动改变变种模式;

自动发现并攻击高价值目标(震网病毒);

自动躲避疑似蜜罐,并释放假病毒,迷惑防御者;

自动撰写,并发送给高价值目标钓鱼邮件;

自动识别防御体系,并采用绕过策略和变种。

一言以蔽之,AI和自动化显著降低了攻击时间,速度是未来AI对决的主题。

张略表示:AI在国内安全领域的应用大体上还处于机器学习和深度学习阶段,还没有真正达到人工智能的水平。算法并不是现阶段发展AI安全技术的最大堡垒,而是样本的量、训练和反馈的持续性远远不够,需要行业共同努力。

多维度对抗Windows Applocker

1b288397-239b-4032-83c3-681e9951603e.jpg

360企业安全云影实验室研究员计东带来的议题是《多维度对抗Windows Applocker》。首先,他从三个维度指出了对抗安全策略的意义:

运维视角:采用系统安全策略等手段提高系统的安全性;

黑客视角:寻求系统中自带数字签名的可执行文件或脚本、程序集,通过它们旁路攻击绕过安全策略;

终极目的:实现低权限下让恶意文件突破策略运行。

在现场的展示中,他从Powershell入手,假设当前系统已经限制了Powershell的执行,该如何突破?切入点就是多种“攻击向量”,包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。

在完成展示后,他还和与会观众分享了一款360企业安全云影实验室出品的开源工具:

支持Metasploit ShellCode,自动生成攻击向量(可执行文件或程序集);

支持Regasm、InstallUtil 两种方式载入;

项目地址https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass

以太坊态势感知系统构思与实践

f8bdc447-f6c2-4328-b7bc-9af3a0747137.jpg

以太坊的出现直接将区块链技术的发展带入到了2.0时代。随着相关技术越来越成熟,而攻击于防御的对抗方式也逐步升级,以太坊作为智能合约的先行者,在区块链主链技术实现中具有一定代表性。

很多人都把注意力放在了合约的安全性上,而忽略了对于行为的检测。针对这样的现状,玄猫科技安全研究员叶树佳带来《以太坊态势感知系统》议题分享,阐述了对合约、节点、账户等层面监控与分析的概念和时间,并为合约蜜罐、安全事件、异常转账、钓鱼诈骗、非法交易等进行预警并追踪溯源提供了思路。

他也提出了对区块链安全领域的展望:

区块链的安全性逐步提高;

攻击方式更加深入,细分;

安全产品种类会愈加丰富。

还有一款开源shockwave工具分享:https://github.com/XuanMaoSecLab/shockwave,支持爬取合约、静态检测、regex/match、人工审计等功能。

现场花絮

微信图片_20181213231057.jpg

微信图片_20181213230835.jpg主会场——前沿安全神盾局

31c6f54b-4846-4e2e-aa49-9f127cde1947.jpgf0aa59f0-b220-4cbd-9de2-313b337de49e.jpg

分会场——企业安全俱乐部

112b59b7-142b-45ec-92f0-196362665d24.jpg分会场——白帽Live

6a85a286-ea7e-4138-9240-49f743e8c551.jpgce3b795b-aa1d-46fa-9d8f-9453c3678c54.jpg漏洞马拉松现场

微信截图_20181213230959.png最后,致敬热爱安全的你~

*本文作者:Freddy,转载请注明来自FreeBuf.COM

# FIT 2019 # 前沿安全神盾局
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者