相约FIT 2020，我们不见不散 | FIT 2019收官日主论坛全记录

FIT 2019大会会期为2018年12月12日-13日，今日已圆满落下帷幕。昨天的大会主论坛议程聚焦「全球高峰会」、「WitAwards颁奖盛典」、「X-TECH技术派对」、「HACK DEMO」四大版块内容，同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也在特色分会场同期举行。回顾首日盛况，请看： 安全圈年终大趴，FIT 2019首日盛况全程回顾

今天的大会主论坛包含「 WIT2018现场最受欢迎奖颁奖 」和「前沿安全神盾局」两大主题，此外独立分设「白帽LIVE」及 「企业安全俱乐部」两大分论坛，与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽专家、研究机构等同展开演讲与探讨。在今天的主论坛上，我们通过现场投票的方式角逐出了“WIT2018现场最受欢迎奖”，演讲嘉宾与我们分享了2018年度安全行业创新硕果，共同探索和展望未来安全新边界。

WIT 2018现场最受欢迎奖

本次WitAwards 2018采用7+1的形式，在七大奖项——年度创新产品、年度技术变革、年度品牌影响力、年度安全人物、年度国家力量、年度安全团队、年度热门产品及服务的基础上，组委会特别新设「WIT现场最受欢迎奖」，旨在为获奖者提供更多展示核心技术和产品的机会。

入围本次WIT 2018现场最受欢迎奖角逐的有「年度创新产品」腾讯云、「年度安全团队」无糖信息、「年度技术变革」百度安全以及「年度安全人物」看雪学院段钢。在今天的大会现场，经过观众与评委的共同票选，WIT 2018现场最受欢迎奖最终花落 「百度安全」 。

前言安全神盾局

物联网、人工智能、区块链、互联网+等前沿客季在2018年引起了一波又一波的话题热潮，逐渐成为信息时代产业发展的主要技术经济形态，它们在各种社会领域中的参与度越来越高。在新趋势、新变化带来便利的同时，网络安全隐患日益彰显，安全隐患源头与种类越来越多，成为了影响行业发展乃至国家安全的重要因素。FIT 2019第二日主论坛特设「前沿安全神盾局」版块，汇聚国内外顶级专家学者，带来多个新鲜议题，共话前沿安全。

IoT安全的To B和To C

率先上台的是海康威视CSO王滨，带来的议题是《IoT安全的To B和To C》。他从公众眼中的IoT安全和安全研究人员眼中的安全作为出发点讨论了他对于“To B”和”To C”的区别理解，对于目前的IoT设备安全态势而言，这是一种很好的厘清方式。因为对于C端而言，消费者看到的很多安全方面的报道都存在很大的局限性，因为很多问题的根源来自于上游设备，而不是IoT本身。

要做好 IoT to C 的安全，首先要做好云安全，其次是 APP安全、设备安全、端到端加密以及口令安全。由于开放接口多、用户安全意识淡薄、系统网络环境复杂、历史问题堆积、纵深防御难实施等多个问题，IoT to B 的安全需要厂商提供更高的产品安全需求，同时为用户提供轻管理的安全防护方案。

尤其是漏洞这一块，王滨还有以下特别呼吁：

目前业界遵循的90天的漏洞披露策略对于无有效升级途径的物联网设备并不适用；POC的检测更推荐采用版本检测的方式；用户设置周期性固件更新计划任务，弱口令一定要避免；厂商加强设备的安全设计、开发、测试和应急响应；行业主管机构必须要有强制的检查和通报机制。

Apollo智能网联汽车信息安全实践

百度安全工程师汪明伟在他的议题《Apollo智能网联汽车信息安全实践》中表示：

随着车联网程度层层深入，随之对于车联网的攻击手段花样迭出。虽是大势所趋，但安全性上的内忧外患不解决，用户始终对智能网联汽车望而却步，甚至随时都可能成为交通环境中的定时炸弹。

百度安全实验室在车联网这一领域已经深耕了15年，积累了80款车型数据。2016年8月，实验室实现了国内首例完整入侵案例，如何通过层层步骤接管车辆。从实践经验出发，汪明伟谈到：

解决车联网的内忧外患问题要从流程端和技术端双管齐下。围绕云、车机、网关、ECU四大领域构建快速反应能力、应用和系统可信体系、隔离及检测解决方案、源以及内容的可信架构，最终实现完整的骑着信息安全测试体系。此外，建立专门的机制，尤其是决策层的推动非常关键。

IoT攻击实践：高效协议分析

IoT市场规模极具扩张，设备数量大大增长也导致了DDoS攻击的攻击面、攻击量、攻击效果大大提升。骇极安全CEO Zenia从攻击者的思路出发，以「协议逆向」为突破口讨论了IoT安全，她带来的议题是《IoT攻击实践：高效协议分析》。

针对如何高效实现协议逆向，Zenia提出了“进化树”的理念：

在进化系统中，影响生物特征变化巨大的基因（例如控制肺叶和腮体征变化等）其基因多样性变化率远远小于在功能和体征上引起较小变化的基因；

同样这种统计特征出现在一些IoT协议中，例如设备标识符这类决定设备唯一性的字段（基因）在一堆协议数据中基本保持不变，其变化率远远小于那些控制数据字段，例如温度，亮度等操作数据，也就是说字段变化次数: 设备标识符 < 操作标识符 < 数据字段。

因此通过聚类分析，跟踪标识符来：

聚类噪声信号，可以定向的分析有用数据；可以快速标识出变化字节；通过状态机有效识别出信号的关联关系，避免在繁杂的数据中寻找关联。

最终，实现对未知协议的安全测试的能力提升，满足大量安全检测需求，构建自动化FUZZ平台。

巧用EvilUSB攻击智能路由器

“前沿安全神盾局” 下午的下午场首先由联想安全实验室研究员杨欢带来了《巧用EvilUSB攻击智能路由器》的议题分享，在现场带来了智能路由器攻击测试的演示视频。

BadUSB安全漏洞是在2014年由国外安全研究人员发现并公布于Blackhat大会上的，目前市面上仍存在多款路由器都具有相同的安全问题。杨欢通过对该漏洞的发现过程、利用过程，以及针对国内两款路由器发动攻击获取路由器 Shell 的讲解和演示，详细演示了包含开启危险方法、openwrt-rpcd服务ACL配置错误等多洞结合getshell以及绕过有限制的二次命令注入漏洞。

通过现场讲解和展示，杨欢总结出三条安全建议和防护方法：

配置项的审计比源代码审计更为重要；对于无关的功能模块应当予以删除。以usb存储为例，ext文件系统可以不予支持； 用正确的协议实现正确的功能。

智能IoT安全遇到的挑战

接着讲IoT～Rokid公司安全负责人白嘎力与大家分享“智能IoT安全遇到的挑战”。白嘎力表示预计2020年底，将有10亿设备接入物联网，如此大体量的设备面临着4个维度威胁：硬件、软件、云安全、设备互联和4个严重态势：车联网、智慧医疗、智慧城市、智能家居。

很多智能设备也做了安全防护，但是内部存在开放的可调试接口，只要打开外壳即可访问内部系统。还有部分语音控制模块具备设备操作功能，如果通过模拟声纹的方式来进行攻击可轻易得手。包括版本更新机制、OTA劫持等针对弱网络发起的攻击也很普遍。此外AI等新兴技术在进入安全领域的同时也带来了很多安全风险，比如AI对抗：算法样本对抗AI模型或者算法被攻击，导致人工智能所驱动识别系统出现混乱、误判或者失效；攻击者还可以通过修改现有的训练集生成恶意样本，比如病毒样本的优化，攻击载荷的逃避监测系统等等案例。

白嘎力提出了5个关键的安全加固节点：

安全审计：代码中的安全漏洞进行审计；安全SDK：安全开发生命周期引入，标准化；代码保护：程序核心代码逻辑进行保护；加固：加固、加壳子防止易被逆向破解；IoT平台：风险及时感知，实时监控监测。

AI安全实践：探索图模型异常检测

除了IoT，AI无疑也是当今的前沿技术。来自斗象科技的高级研究员孟雷以图模型的异常检测为例，讲述AI的安全实践。他带来的议题是《AI安全实践：探索图模型异常检测》。

从设立问题到构建模型，再到人工设立异常阈值检测，最后使用多目标回归模型实现动态阈值，最终获得更精准检测。孟雷提出了一个完整的AI图模型检测。其中的核心是图节点角色模型：

从多个设备告警日志中，抽取关联信息单元，构成告警关联图。根据图方法中的计算指标，对原始告警依赖图做递归特征提取，生成特征矩阵。依据前置的角色度量属性，对特征矩阵做非负矩阵分解，计算每个节点各角色概率分布信息。生成各节点角色分布图

今天我的生活越来越数字化，每天都在产生大量网络安全问题，为了保障安全而在外围部署大量解决方案和节点，这样的会产生大量的数据。面对如此海量的数据，通过构建攻击链图模型可解构网络攻击方式，提供更强的可视性和多设备检测融合分析支持。

威胁与安全AI市场上的决斗

如今全球网络犯罪组织在不断进化，很多环节或攻击技术都用到了AI，飞塔中国技术总监张略带来了《威胁与安全AI战场上的决斗》的议题分享，聊一聊安全领域的AI对抗。

不断进化的网络犯罪组织也应用了AI技术，网络安全威胁在AI的加持下也发生了如下的变化：

自动识别出变种模式被发觉，并自动改变变种模式；自动发现并攻击高价值目标（震网病毒）；自动躲避疑似蜜罐，并释放假病毒，迷惑防御者；自动撰写，并发送给高价值目标钓鱼邮件；自动识别防御体系，并采用绕过策略和变种。

一言以蔽之，AI和自动化显著降低了攻击时间，速度是未来AI对决的主题。

张略表示：AI在国内安全领域的应用大体上还处于机器学习和深度学习阶段，还没有真正达到人工智能的水平。算法并不是现阶段发展AI安全技术的最大堡垒，而是样本的量、训练和反馈的持续性远远不够，需要行业共同努力。

多维度对抗Windows Applocker

360企业安全云影实验室负责人计东带来的议题是《多维度对抗Windows Applocker》。首先，他从三个维度指出了对抗安全策略的意义：

运维视角：采用系统安全策略等手段提高系统的安全性；黑客视角：寻求系统中自带数字签名的可执行文件或脚本、程序集，通过它们旁路攻击绕过安全策略；终极目的：实现低权限下让恶意文件突破策略运行。

在现场的展示中，他从Powershell入手，假设当前系统已经限制了Powershell的执行，该如何突破？切入点就是多种“攻击向量”，包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。

在完成展示后，他还和与会观众分享了一款360360企业安全云影实验室出品的开源工具：

支持Metasploit ShellCode，自动生成攻击向量（可执行文件或程序集）；支持Regasm、InstallUtil 两种方式载入；项目地址： https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass 。

以太坊态势感知系统构思与实践

以太坊的出现直接将区块链技术的发展带入到了2.0时代。随着相关技术越来越成熟，而攻击于防御的对抗方式也逐步升级，以太坊作为智能合约的先行者，在区块链主链技术实现中具有一定代表性。

很多人都把注意力放在了合约的安全性上，而忽略了对于行为的检测。针对这样的现状，玄猫科技安全研究员叶树佳带来《以太坊态势感知系统》议题分享，阐述了对合约、节点、账户等层面监控与分析的概念和时间，并为合约蜜罐、安全事件、异常转账、钓鱼诈骗、非法交易等进行预警并追踪溯源提供了思路。

他也提出了对区块链安全领域的展望：区块链的安全性逐步提高；攻击方式更加深入，细分；安全产品种类会愈加丰富。

还有一款开源shockwave工具分享： https://github.com/XuanMaoSecLab/shockwave，支持爬取合约、静态检测、regex/match、人工审计等功能。

现场花絮

主会场——前沿安全神盾局

分会场——企业安全俱乐部

分会场——白帽Live

漏洞马拉松现场