INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选

科技云报道原创。

11月24日—27日,INSEC WORLD成都·世界信息安全大会成功举行。克服了疫情等不利因素,本届大会在总规模、演讲嘉宾层级、参会观众数量等方面,比上届有着显著提高。

本次大会由中外3大院士共同领衔,逾40家网安品牌同台,近60位海内外演讲嘉宾倾情奉献,近百家媒体全程报道,突破2,000位线下参会人士出席,开幕式及主论坛网上直播吸引了逾70万名全球观众,成为安全行业见面交流的大型峰会现场。

作为每年热门的分论坛之一,【漏洞攻防与安全研究】论坛备受关注。此次论坛邀请到了来自深信服、Checkmark、腾讯、Cyberbit、知道创宇等信息安全领域知名企业的技术专家们,就漏洞攻防技术在企业中的实际应用和案例进行了分享。

值得注意的是,今年该论坛更加注重安全技术的实战化研究,专家们的演讲内容也是避虚就实,就威胁猎捕、红蓝对抗、漏洞挖掘、业务安全人机对抗等多种实战性的安全话题进行了深度探讨。

本文精选【漏洞攻防与安全研究】论坛上的精彩发言和观点,以飨读者。

庞思铭丨深信服安全架构师

随着攻击商业模式逐步成熟,攻击者所需的技术门槛也在不断降低。黑产技术的差异正在变得逐步模糊,包括把相关的武器库披露到安全圈里面,大大降低了黑产工具和漏洞利用的成本。

同时,所有的安全防御厂商都面临一个实际的难点,那就是如何把攻击团队和产品团队做成一个有效闭环的机制,把攻击团队的攻击技巧转化为具体安全检测实践的能力,这中间存在很大的鸿沟。

因为对于攻击团队来说,他们的知识领域更多体现在如何开发漏洞、利用漏洞;但对于安全产品团队来说,他们的知识来自5-10年传统的检测技术,比如IDS、基于特征匹配的技术。

两者在知识上的鸿沟,造成了安全解决方案不能及时对应最新的攻击技巧。

我认为应对思路有两部分:

第一,来自于组织建设,例如:情报体系构建的意义,就在于攻击团队与产品团队有效的对接。

 

技术体系的建设,包括:情报体系的建设,攻击技术的研究,对抗检测能力方面的研究。例如:在攻击技术研究环节,会覆盖多种场景,如:跟踪热门的跟踪技术、构建攻击场景的数据级,构建攻击场景,完成攻击场景的自动化等。

庞思铭丨深信服安全架构师

李亭丨Checkmarx中国区技术总监

现在的DevOps都要引入安全策略。因为如果上线前发现有问题了,到底是“带病”上线,还是解决了这个问题之后再上线,会是一个很大的问题。所以,DevOps往后发展就涉及到安全问题了。

安全策略其实有很多,其中关于应用安全的,叫做漏洞管理策略。例如:

应用安全的漏洞一直会有,所以企业需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,这就是一种策略。

研发部门和安全部门关心的内容不一样,哪些漏洞是双方都认为一定不能接受的,这也是一种策略。

那么,企业应该如何在DevOps流程中实施漏洞管理策略呢?

制定策略方面:安全策略要有针对性,确认优先级;实施方面:从编码阶段到验收测试的整个DevOps过程中,建议越早开始考虑安全策略越好。效率方面:考虑到DevOps的流水化作业和效率特点,安全策略和漏洞扫描工具也需要是自动化的。管理方面:综合考虑安全策略、管理和监控KPI,以便对实施情况、时间成本、人力成本等多方面进行考量。

李亭丨Checkmarx中国区技术总监

李龙丨腾讯安全策略高级研究员

新基建到来后,黑产也发生了新的动向,如:IPV6地址量庞大,黑产可以使用的资源接近于无限;5G到来正在突破旧的安全策略;黑产的平台和工具也在倾向于平台化和云化。

面对黑产技术的升级、获取资源的海量化,业务安全从业者该如何应对呢?

第一,情报与策略的联动。通过情报和蓝军对自动机手法的分析,可以反哺到策略,定制一些安全策略。还有可以摸清黑产到底使用的是哪些资源,从资源层进行对抗。如果知道了黑产是谁,还可以直接联合警方进行线下法务打击。

产品与策略的联动。策略结合产品,可以进一步提升黑产对抗的成本。以腾讯的黑名单共享平台的对抗策略为例:

腾讯通过联合各个业务之间的联动,已经覆盖了所有的安全主线。当用户在第一个环节登录,如果发现恶意,基本上就会进入黑名单,那么后面的各个环节也能够使用这样的恶意结果。同时,不同业务场景积累的黑产资源,也能够复用到其他业务场景,取得非常好的效果。

安全不光光是一个业务或者是一个团队的职责,它需要所有人一起来共建,建立一个黑产对抗的枢纽,不光是通过数据层的协作、模型层的共建,还有服务层的打通。腾讯还联合业务方一起来共同治理,来确保腾讯业务的健康发展。

李龙丨腾讯安全策略高级研究员

朱凯丨Cyberbit中国区安全技术总经理

调研数据显示,只有20%的网络安全专家是经历过真实事件网络安全事件的处置。大部分的企业的安全团队都是在工作中,才第一次经历到这样一个网络安全的发生和处置。在面临实际的安全事件时,会感到各种各样的压力。

佛罗斯特咨询公司曾表示,在高级安全分析中,价值是来自人,软件不提供答案。所以,Cyberit主要做高效蓝队的训练平台,帮助人在安全防守上做一个高效的提升。在这样一套平台上,花4个月的时间,就能把一个新人变成一个真正的网络战士。

我们主要通过三个方面来做人才培养,包含:技术训练、高级训练、扩展性训练。在这个平台上通过模拟游戏的方式,让大家比较快速、轻松地去接受实战性的训练,获得相应的经验。

在平台中,网络安全工作分为7大类,33个领域,52个工作角色,628个知识,374个技能,以及176种能力。在这样的框架中,可以很好地指明每个人在信息安全领域中的方向和角色,以及需要具备的技能,补齐自己的短板。

百闻不如一见,希望通过这个平台,对安全团队提供动手的实战,而不是停留在听说过安全事件。

朱凯丨Cyberbit中国区安全技术总经理

李松林丨知道创宇404实验室安全研究员

RDP协议是微软创建的远程桌面协议,它允许系统用户通过图形界面连接到远程系统。主要流行的应用包括微软系统自带的mstsc.exe,以及最成熟的开源应用freerdp。

今天我们来探讨一下如何攻击rdp协议当中的图像处理通道。因为图像处理通道,相对来说比较复杂,而且各种运算、规模也比较大。

对图形处理通道进行攻击,有两条路径:第一,静态虚拟通道API处理。第二,动态扩展通道。在找到路径后,对API路径进行fuzzing。

但在实际fuzzing中会有一个问题,发现的路径越多,包括投递的样本越多,越难继续深入发现其它更深的样本。另外,还有因素会阻止发现新路径,比如在路径上发现了一枚漏洞,导致程序崩溃。这种时候就需要手动做一些补丁。

我们目标不仅是发现free rdp漏洞,更高的目标是发现微软的漏洞。微软用的都是rdp协议,他们程序的API和free rdp的API也可能是一样的。所以,对微软的mstsc的API路径进行fuzzing后,同样也得到了一些漏洞。

当然,我们挖掘到了漏洞,还要以黑客的方式去思考,怎样才能利用漏洞去攻击。我认为主要有两种方式:一是,缓存投毒,指向恶意服务器。二是,控制服务,再通过跳板进一步控制其他用户,反向攻击客户端。

李松林丨知道创宇404实验室安全研究员

结语

这些年随着黑客事件频发和日趋严格的安全监管,企业对于信息安全更加重视,也投入了大量预算采购安全产品、招募安全团队。但有了设备和团队不等于有效果,毕竟实战才是检验安全防护能力的唯一标准。

可以看到,本次INSEC WORLD大会紧跟安全防护走向实战化的趋势,【漏洞攻防与安全研究】分论坛更是聚焦红蓝对抗、人机对抗、威胁猎捕等实战性话题,分享了来自行业一线的安全观点以及最前沿的技术方法,相信能够为企业提升安全防护能力提供更多思路,将安全需求进一步落到实处。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2020-12-09
INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选
INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选

长按扫码 阅读全文