近日,面向白帽子、安全从业者,专注于漏洞响应与防护的盛会——2019补天白帽大会在上海举行。
补天白帽大会是国内规模最大的白帽盛典。本届也是奇安信集团正式跻身“国家队”后的首次。除了技术人员外,还有多家企业的安全高管参与,共同就安全漏洞、事件、以及能力建设实践进行探讨。
一、补天五星计划发布 漏洞品类全覆盖
针对现阶段我国政企机构网络安全所面临的新风险,2019补天白帽大会上补天漏洞响应平台发布了 “补天五星计划”,以 “重塑安全属性,再创漏洞价值” 为主旨,将漏洞响应范围从原来的Web为主,升级为Web、操作系统、IoT、工控、移动五大方向,全面覆盖了当前新一代网络安全环境下的各种漏洞风险。由此,补天漏洞响应平台也为国内第一家全面覆盖各种漏洞种类的漏洞响应平台,并跻身全球三大漏洞平台之列。目前,补天平台的白帽子注册数量已经超过5万多名,响应的漏洞总数已经突破34万,漏洞涉及到的企业多达7万多家。
过去、现在和未来,补天漏洞平台都致力于做好三件事:维护企业网络安全、解决数据泄露隐患、培养网络安全人才。
补天漏洞响应平台负责人白健表示,随着漏洞响应品类的增多,白帽子应该更有专业的平台,把民间的网络安全攻防技术达人与企业的安全,更好的关联在一起。而补天五星计划,作为一个长期计划,将以 “协同保护全社会网络安全” 为使命,坚持平台的公益属性,以互联网众包的方式汇聚白帽子的安全能力,持续为国内企业的漏洞响应提供支持,实现漏洞的发现与修复,维护企业网络安全、解决数据泄露隐患、培养网络安全人才。
二、大会议题重点分享
连续举办多届的 “补天白帽大会” 可以说是凝聚了网络安全产业、技术、监管、攻防等各方力量关注的一个开放的、共享的交流平台。
奇安信集团总裁吴云坤表示:奇安信希望在整个行业当中不是一家独大,希望利用这样一个生态,与行业广泛的合作,跟白帽子、用户及很多中小创业公司在一起,能够构建整个开放的网信安全生态环境,为推动整个国家的数字经济发展和网络强国做出更大的贡献。
1. IOS平台网络端口漏洞研究——王铁磊
随着应用开发层级越来越多,APP开发者聚焦于高层功能或是逻辑的实现。盘古实验室对IOS服务做了很多分析,但是始终要对底层的实现保持好奇,底层socket网络漏洞仍有非常多值得大家关注。对于很多的应用开发厂商来说,因为可以很轻松的找到开源实现,引入的时候要严格分析,避免不必要的安全隐患。去年的典型案例是服务器第三方的库直接使用并公开在8080端口开放的HTTP服务器上,导致敏感信息泄露。然而,风险并未结束,该案例的遗留问题在于库还被其他哪些应用使用过?由于苹果自身封闭的生态圈,缺乏对应用市场中大规模审计扫描,导致无法确认存在多少默认打开使用网络库的应用程序,无法预估风险规模。
传统的网络攻击可仅通过一个安全地址和一个端口完成,但是这种攻击仍存在很大的可操作性。王铁磊表示,由于苹果应用商店的封闭性,大规模的自动化漏洞分析,实际上是并没有一个很好的工具或者是统计的,针对于这些APP应用商店上的大规模漏洞扫描,这是一个很有潜力的研究点。
2. 移动生态系统安全研究的在思考——杨珉
复旦大学计算机学院教授、博导杨珉对于十多年来在移动生态系统领域安全研究当中得到的教训和心得展开分享。他表示安全研究人员要善于切换研究的视角,不要拘泥于攻击者的角度,要善于用 “发现” 的思路解决问题。转换角度意味着从 “开发者” 包含应用软件和系统以及用户的角度出发,用户一直是最好的测试工程师发现实际的安全漏洞存在。近期主要是用面向生态、正向支持的思路,在研究安全质量评估的体系,相应的软件行为怎样表达,以及相应的恶意软件的检测、漏洞检测和危害评估等。以及我们也在研发面向下一代泛在计算场景中的智能操作系统,以支持在线对 “攻击” 的感知和 “云端” 防御。
复旦大学一直在研究相应的工具,提高自动化效率和能力的方法。杨珉在大会上表示:
学术领域也一直在反思:究竟如何更好的在现有漏洞和经验中去寻求工具和办法,达成正向思考、寻找漏洞发现和防御能力的建设等问题的高效解决。
操作系统安全架构设计时需转换视角:
1)最终用户
2)系统开发者
3)应用开发者
4)安全架构师
面向生态、正向支持的安全质量评估体系:
1)平台相关的软件敏感行为表征方法
2)安全约束的形式化方法与验证技术
3)基于意图理解的恶意软件检测技术
4)智能的漏洞挖掘和危害评估技术
3. AI在电力物联网安全中应用的探索——席泽生
国家电网全球能源互联网研究院信通所席泽生博士带来了主题分享——AI在电力物联网中的主题探索。现今基础的能源企业基础上面也会向提供共享型、平台型、枢纽型的企业进行发展,国家电网覆盖近10亿用户量。
伴随智能硬件的兴起,物联网发展现在呈一个指数的增长状态,预计2020年物联网设备高达200亿件,由于电网本身是互联互动的,对网络安全管理防护提出了更高的要求。
泛在电力物联网会成为安全重灾区的原因在于:
1)资产规模庞大:整个国家电网公司电表的智能终端接入了5.4亿台,采集增量超过60TB,预计2025年接入终端设备超过10亿支,对互动共享等更加开放,导致风险点会不断扩大;
2)漏洞规模的庞大:不同于工控设备,国家电网从协议到硬件层,包括加密算法都可使用专用或者定制化,比如对于手机终端,所具有的都是处于底层的漏洞,导致了物联网本身漏洞的危害会先天性很强。
对于人工智能新技术在电网的应用,席泽生博士表示:
从17年国家提出了AI技术白皮书到各个行业响应,再到18年开始做整体的布局,我们调研了国内不少的安全公司、高校研究院所,发现安全还是一个人工智能涉足比较少的领域,安全数据可能不像图象文本语言具有规律性和可重复性,以至于很难拿到大量的被标注好的安全数据供模型进行训练。另一个难题是,虽然有建设国家电网的红蓝演练队伍,但是海量告警信息和安全运维人员能力的不足,导致告警信息处置成为一大难题。
我们对于态势感知的智能分析机器人的应用,比如网络安全监测的平台,已经把所有的安全监测数据做了收集,所以说我们在这些数据收集的基础上做了一定的数据挖掘分析,从而从这个当中发现潜在隐藏的一些危险,这个就是目前已经广泛应用于Web的情报,同时对安全日志做自动化分析以及网络安全的态势预测,并且对于WAF防火墙的联动处置。
4. 红蓝演练到实战化对抗——吴迪
演练和对抗无处不在,对于防御方最大的恐惧和担忧来源于未知,对于防御者来说,一套针对检测为主的实战对抗的检测框架十分重要,吴迪介绍了红蓝对抗到实战对抗的经验。
从演练到对抗中的主要收获:
1)安全架构随着演练到对抗的深入,逐步进行调整;
2)自身产品能力,传统甲方已完成部署包括已有的安全产品,以及自研一套感知的攻防平台,并不断优化改善;
3)总结对抗监测框架,将攻防的实践经验转化成整体的模型和数据库;
4)安全人员能力得到长足进步和提升;
5)整体安全产品的运营,从逐步完善阶段进入到实战化运营水准。
根据吴迪分享的框架应用实际案例,自研的安全检测平台的架构,应用框架层面更加灵活,自研平台的体系架构更加简单,采集所有终端日志和服务器日志,然后统一传回大数据平台,再将告警和威胁输出到前端。目前,对于防御者统一的社区或者组织很少,建立框架或体系,形成行业经验分享和交流显得尤为重要。
5. 从红队攻击看企业安全现状——黎健欣
黎健欣首先对红队攻击的整体流程进行分析:红队攻击大概分为三个阶段,一是前期踩点,对目标企业进行全面的信息收集,包括对目标企业内部的组织架构、外部的关联企业以及子公司母公司的信息进行收集,同时还对整个上下游软硬件供应商的信息会关注。最重要的是目标企业在互联网上暴露的IT资产进行全面收集。比如敏感信息泄露,以及被公开在互联网的历史漏洞等信息对后面的阶段也是非常有用的;二是外网打点阶段,目标大多是内网中比较敏感的系统,选用高危容易利用的进行攻击,最大限度获取入口权限,便于在内网进行横向移动;三是获得入口权限之后在内网进行横向移动,利用隧道和工具获得高价值目标系统中的信息。
总结企业安全状况普遍问题:
1)员工安全意识不高;
2)资产管理不完善,存在缺乏维护的边缘业务系统,无法及时、全面推送安全补丁;
3)弱口令、默认口令问题普遍存在;
4)面临敏感信息泄露造成的风险;
5)缺乏网络ACL或者是ACL不够细;
6)缺乏安全层面的监测手段;
7)缺乏专职运营人员运营安全类告警;
8)攻防演练需常态化推进。
6. 安全对抗与数据治理——王天祥
通过攻击方分享如何在网络空间中造成攻击后,那如何实现高效防御呢?要先从攻击类型分析,常见攻击可以分为三类:敌对国家企图破坏我国网络的政治目的、竞争对手的恶意攻击、盗取核心数据和企业经营战略。
根据常见攻击类型,王天祥分享了多年在安全对抗和数据治理的经验:一是网络对抗里的数据风险,二是如何完成数据安全化处理,三是数据治理和基于智能化的想法和经验分享。
攻防是一个博弈过程,安全风险已经从外部更多转向内部,绝大多数都是来自于内部的信息泄露,如何对敏感信息的合理、安全且有效的利用,是数据安全的必要条件,也是企业发展的重要基础。
大数据背景下安全应对措施和处理实践的思考:
1)全生命周期的数据治理,需要解决如何在海量数据中分析、定位风险点,做到知己知彼,完善数据梳理;
2)发现数据之间的关系,还原数据视图,查找敏感数据;
3)完成数据脱敏,给用户提供不带敏感信息的分析;
4)在无法保证所有风险点抓出的情况下,对图片和数据进行反识别回溯。
三、国家队引领 白帽子创造更大价值
此外,根据普华永道的报告,2019年网络安全人才缺口可能达到150万。与此同时,在网络安全领域,白帽子又是一个特殊的群体,由于国内没有专门针对白帽子的相关政策,以致这个群体常常游走于法律边缘。
补天漏洞响应平台作为企业和白帽子之间共赢的漏洞响应平台,在公益属性基础上,以互联网众包的方式汇聚白帽子的安全能力,实现漏洞的发现与修复,维护企业网络安全、解决数据泄露隐患、培养网络安全人才。这无疑给白帽子提供最好的安全保障和价值平台。
安全牛评
补天漏洞响应平台的建设和不断完善,汇聚了民间网络安全人才力量,进一步解决各类网络安全隐患。正如吴云坤所说:安全行业当中不是一家独大,希望利用这样一个生态,与行业广泛的合作,跟白帽子、用户及很多中小创业公司在一起,能够构建整个开放的网信安全生态环境,为推动整个国家的数字经济发展和网络强国做出更大的贡献。利用好这个平台,充分挖掘社会存量网络安全人才资源,使民间白帽群体为政企网络安全发挥更大的价值。
相关阅读
