匯聚安全力量 補天白帽大會議題干貨分享
作者:星期二, 六月 4, 20190

近日,面向白帽子、安全從業者,專注于漏洞響應與防護的盛會——2019補天白帽大會在上海舉行。

 

補天白帽大會是國內規模最大的白帽盛典。本屆也是奇安信集團正式躋身“國家隊”后的首次。除了技術人員外,還有多家企業的安全高管參與,共同就安全漏洞、事件、以及能力建設實踐進行探討。

一、補天五星計劃發布 漏洞品類全覆蓋

針對現階段我國政企機構網絡安全所面臨的新風險,2019補天白帽大會上補天漏洞響應平臺發布了 “補天五星計劃”,以 “重塑安全屬性,再創漏洞價值” 為主旨,將漏洞響應范圍從原來的Web為主,升級為Web、操作系統、IoT、工控、移動五大方向,全面覆蓋了當前新一代網絡安全環境下的各種漏洞風險。由此,補天漏洞響應平臺也為國內第一家全面覆蓋各種漏洞種類的漏洞響應平臺,并躋身全球三大漏洞平臺之列。目前,補天平臺的白帽子注冊數量已經超過5萬多名,響應的漏洞總數已經突破34萬,漏洞涉及到的企業多達7萬多家。

過去、現在和未來,補天漏洞平臺都致力于做好三件事:維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。

補天漏洞響應平臺負責人白健表示,隨著漏洞響應品類的增多,白帽子應該更有專業的平臺,把民間的網絡安全攻防技術達人與企業的安全,更好的關聯在一起。而補天五星計劃,作為一個長期計劃,將以 “協同保護全社會網絡安全” 為使命,堅持平臺的公益屬性,以互聯網眾包的方式匯聚白帽子的安全能力,持續為國內企業的漏洞響應提供支持,實現漏洞的發現與修復,維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。

二、大會議題重點分享

連續舉辦多屆的 “補天白帽大會” 可以說是凝聚了網絡安全產業、技術、監管、攻防等各方力量關注的一個開放的、共享的交流平臺。

奇安信集團總裁吳云坤表示:奇安信希望在整個行業當中不是一家獨大,希望利用這樣一個生態,與行業廣泛的合作,跟白帽子、用戶及很多中小創業公司在一起,能夠構建整個開放的網信安全生態環境,為推動整個國家的數字經濟發展和網絡強國做出更大的貢獻。

1. IOS平臺網絡端口漏洞研究——王鐵磊

隨著應用開發層級越來越多,APP開發者聚焦于高層功能或是邏輯的實現。盤古實驗室對IOS服務做了很多分析,但是始終要對底層的實現保持好奇,底層socket網絡漏洞仍有非常多值得大家關注。對于很多的應用開發廠商來說,因為可以很輕松的找到開源實現,引入的時候要嚴格分析,避免不必要的安全隱患。去年的典型案例是服務器第三方的庫直接使用并公開在8080端口開放的HTTP服務器上,導致敏感信息泄露。然而,風險并未結束,該案例的遺留問題在于庫還被其他哪些應用使用過?由于蘋果自身封閉的生態圈,缺乏對應用市場中大規模審計掃描,導致無法確認存在多少默認打開使用網絡庫的應用程序,無法預估風險規模。

傳統的網絡攻擊可僅通過一個安全地址和一個端口完成,但是這種攻擊仍存在很大的可操作性。王鐵磊表示,由于蘋果應用商店的封閉性,大規模的自動化漏洞分析,實際上是并沒有一個很好的工具或者是統計的,針對于這些APP應用商店上的大規模漏洞掃描,這是一個很有潛力的研究點。

2. 移動生態系統安全研究的在思考——楊珉

復旦大學計算機學院教授、博導楊珉對于十多年來在移動生態系統領域安全研究當中得到的教訓和心得展開分享。他表示安全研究人員要善于切換研究的視角,不要拘泥于攻擊者的角度,要善于用 “發現” 的思路解決問題。轉換角度意味著從 “開發者” 包含應用軟件和系統以及用戶的角度出發,用戶一直是最好的測試工程師發現實際的安全漏洞存在。近期主要是用面向生態、正向支持的思路,在研究安全質量評估的體系,相應的軟件行為怎樣表達,以及相應的惡意軟件的檢測、漏洞檢測和危害評估等。以及我們也在研發面向下一代泛在計算場景中的智能操作系統,以支持在線對 “攻擊” 的感知和 “云端” 防御。

 

復旦大學一直在研究相應的工具,提高自動化效率和能力的方法。楊珉在大會上表示:

學術領域也一直在反思:究竟如何更好的在現有漏洞和經驗中去尋求工具和辦法,達成正向思考、尋找漏洞發現和防御能力的建設等問題的高效解決。

操作系統安全架構設計時需轉換視角:

1)最終用戶

2)系統開發者

3)應用開發者

4)安全架構師

面向生態、正向支持的安全質量評估體系:

1)平臺相關的軟件敏感行為表征方法

2)安全約束的形式化方法與驗證技術

3)基于意圖理解的惡意軟件檢測技術

4)智能的漏洞挖掘和危害評估技術

3. AI在電力物聯網安全中應用的探索——席澤生

國家電網全球能源互聯網研究院信通所席澤生博士帶來了主題分享——AI在電力物聯網中的主題探索。現今基礎的能源企業基礎上面也會向提供共享型、平臺型、樞紐型的企業進行發展,國家電網覆蓋近10億用戶量。

伴隨智能硬件的興起,物聯網發展現在呈一個指數的增長狀態,預計2020年物聯網設備高達200億件,由于電網本身是互聯互動的,對網絡安全管理防護提出了更高的要求。

泛在電力物聯網會成為安全重災區的原因在于:

1)資產規模龐大:整個國家電網公司電表的智能終端接入了5.4億臺,采集增量超過60TB,預計2025年接入終端設備超過10億支,對互動共享等更加開放,導致風險點會不斷擴大;

2)漏洞規模的龐大:不同于工控設備,國家電網從協議到硬件層,包括加密算法都可使用專用或者定制化,比如對于手機終端,所具有的都是處于底層的漏洞,導致了物聯網本身漏洞的危害會先天性很強。

對于人工智能新技術在電網的應用,席澤生博士表示:

從17年國家提出了AI技術白皮書到各個行業響應,再到18年開始做整體的布局,我們調研了國內不少的安全公司、高校研究院所,發現安全還是一個人工智能涉足比較少的領域,安全數據可能不像圖象文本語言具有規律性和可重復性,以至于很難拿到大量的被標注好的安全數據供模型進行訓練。另一個難題是,雖然有建設國家電網的紅藍演練隊伍,但是海量告警信息和安全運維人員能力的不足,導致告警信息處置成為一大難題。

我們對于態勢感知的智能分析機器人的應用,比如網絡安全監測的平臺,已經把所有的安全監測數據做了收集,所以說我們在這些數據收集的基礎上做了一定的數據挖掘分析,從而從這個當中發現潛在隱藏的一些危險,這個就是目前已經廣泛應用于Web的情報,同時對安全日志做自動化分析以及網絡安全的態勢預測,并且對于WAF防火墻的聯動處置。

4. 紅藍演練到實戰化對抗——吳迪

演練和對抗無處不在,對于防御方最大的恐懼和擔憂來源于未知,對于防御者來說,一套針對檢測為主的實戰對抗的檢測框架十分重要,吳迪介紹了紅藍對抗到實戰對抗的經驗。

從演練到對抗中的主要收獲:

1)安全架構隨著演練到對抗的深入,逐步進行調整;

2)自身產品能力,傳統甲方已完成部署包括已有的安全產品,以及自研一套感知的攻防平臺,并不斷優化改善;

3)總結對抗監測框架,將攻防的實踐經驗轉化成整體的模型和數據庫;

4)安全人員能力得到長足進步和提升;

5)整體安全產品的運營,從逐步完善階段進入到實戰化運營水準。

根據吳迪分享的框架應用實際案例,自研的安全檢測平臺的架構,應用框架層面更加靈活,自研平臺的體系架構更加簡單,采集所有終端日志和服務器日志,然后統一傳回大數據平臺,再將告警和威脅輸出到前端。目前,對于防御者統一的社區或者組織很少,建立框架或體系,形成行業經驗分享和交流顯得尤為重要。

5. 從紅隊攻擊看企業安全現狀——黎健欣

黎健欣首先對紅隊攻擊的整體流程進行分析:紅隊攻擊大概分為三個階段,一是前期踩點,對目標企業進行全面的信息收集,包括對目標企業內部的組織架構、外部的關聯企業以及子公司母公司的信息進行收集,同時還對整個上下游軟硬件供應商的信息會關注。最重要的是目標企業在互聯網上暴露的IT資產進行全面收集。比如敏感信息泄露,以及被公開在互聯網的歷史漏洞等信息對后面的階段也是非常有用的;二是外網打點階段,目標大多是內網中比較敏感的系統,選用高危容易利用的進行攻擊,最大限度獲取入口權限,便于在內網進行橫向移動;三是獲得入口權限之后在內網進行橫向移動,利用隧道和工具獲得高價值目標系統中的信息。

總結企業安全狀況普遍問題:

1)員工安全意識不高;

2)資產管理不完善,存在缺乏維護的邊緣業務系統,無法及時、全面推送安全補丁;

3)弱口令、默認口令問題普遍存在;

4)面臨敏感信息泄露造成的風險;

5)缺乏網絡ACL或者是ACL不夠細;

6)缺乏安全層面的監測手段;

7)缺乏專職運營人員運營安全類告警;

8)攻防演練需常態化推進。

6. 安全對抗與數據治理——王天祥

通過攻擊方分享如何在網絡空間中造成攻擊后,那如何實現高效防御呢?要先從攻擊類型分析,常見攻擊可以分為三類:敵對國家企圖破壞我國網絡的政治目的、競爭對手的惡意攻擊、盜取核心數據和企業經營戰略。

根據常見攻擊類型,王天祥分享了多年在安全對抗和數據治理的經驗:一是網絡對抗里的數據風險,二是如何完成數據安全化處理,三是數據治理和基于智能化的想法和經驗分享。

攻防是一個博弈過程,安全風險已經從外部更多轉向內部,絕大多數都是來自于內部的信息泄露,如何對敏感信息的合理、安全且有效的利用,是數據安全的必要條件,也是企業發展的重要基礎。

大數據背景下安全應對措施和處理實踐的思考:

1)全生命周期的數據治理,需要解決如何在海量數據中分析、定位風險點,做到知己知彼,完善數據梳理;

2)發現數據之間的關系,還原數據視圖,查找敏感數據;

3)完成數據脫敏,給用戶提供不帶敏感信息的分析;

4)在無法保證所有風險點抓出的情況下,對圖片和數據進行反識別回溯。

三、國家隊引領 白帽子創造更大價值

此外,根據普華永道的報告,2019年網絡安全人才缺口可能達到150萬。與此同時,在網絡安全領域,白帽子又是一個特殊的群體,由于國內沒有專門針對白帽子的相關政策,以致這個群體常常游走于法律邊緣。

補天漏洞響應平臺作為企業和白帽子之間共贏的漏洞響應平臺,在公益屬性基礎上,以互聯網眾包的方式匯聚白帽子的安全能力,實現漏洞的發現與修復,維護企業網絡安全、解決數據泄露隱患、培養網絡安全人才。這無疑給白帽子提供最好的安全保障和價值平臺。

安全牛評

補天漏洞響應平臺的建設和不斷完善,匯聚了民間網絡安全人才力量,進一步解決各類網絡安全隱患。正如吳云坤所說:安全行業當中不是一家獨大,希望利用這樣一個生態,與行業廣泛的合作,跟白帽子、用戶及很多中小創業公司在一起,能夠構建整個開放的網信安全生態環境,為推動整個國家的數字經濟發展和網絡強國做出更大的貢獻。利用好這個平臺,充分挖掘社會存量網絡安全人才資源,使民間白帽群體為政企網絡安全發揮更大的價值。

相關閱讀

補天五周年:教育+企業+全社會,才能規模化培養安全人才

訪談︱補天 一家不太一樣的漏洞檢測和響應平臺

補天推出眾測新方案 它有哪些不一樣?

 


相關文章

寫一條評論

 

 

0條評論