相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

栏目: 编程工具 · 发布时间: 5年前

内容简介:FIT 2019大会会期为2018年12月12日-13日,今日已圆满落下帷幕。昨天的大会主论坛议程聚焦「全球高峰会」、「WitAwards颁奖盛典」、「X-TECH技术派对」、「HACK DEMO」四大版块内容,同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也在特色分会场同期举行。回顾首日盛况,请看:今天的大会主论坛包含「

FIT 2019大会会期为2018年12月12日-13日,今日已圆满落下帷幕。昨天的大会主论坛议程聚焦「全球高峰会」、「WitAwards颁奖盛典」、「X-TECH技术派对」、「HACK DEMO」四大版块内容,同时「中国首席信息安全官高峰论坛」、「漏洞马拉松线下邀请赛」也在特色分会场同期举行。回顾首日盛况,请看: 安全圈年终大趴,FIT 2019首日盛况全程回顾

今天的大会主论坛包含「 WIT2018现场最受欢迎奖颁奖 」和「前沿安全神盾局」两大主题,此外独立分设「白帽LIVE」及 「企业安全俱乐部」两大分论坛,与来自全球的安全从业者、优秀技术专家、企业安全建设者、白帽专家、研究机构等同展开演讲与探讨。在今天的主论坛上,我们通过现场投票的方式角逐出了“WIT2018现场最受欢迎奖”,演讲嘉宾与我们分享了2018年度安全行业创新硕果,共同探索和展望未来安全新边界。

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

WIT 2018现场最受欢迎奖

本次WitAwards 2018采用7+1的形式,在七大奖项——年度创新产品、年度技术变革、年度品牌影响力、年度安全人物、年度国家力量、年度安全团队、年度热门产品及服务的基础上,组委会特别新设「WIT现场最受欢迎奖」,旨在为获奖者提供更多展示核心技术和产品的机会。

入围本次WIT 2018现场最受欢迎奖角逐的有「年度创新产品」腾讯云、「年度安全团队」无糖信息、「年度技术变革」百度安全以及「年度安全人物」看雪学院段钢。在今天的大会现场,经过观众与评委的共同票选,WIT 2018现场最受欢迎奖最终花落 「百度安全」

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

前言安全神盾局

物联网、人工智能、区块链、互联网+等前沿客季在2018年引起了一波又一波的话题热潮,逐渐成为信息时代产业发展的主要技术经济形态,它们在各种社会领域中的参与度越来越高。在新趋势、新变化带来便利的同时,网络安全隐患日益彰显,安全隐患源头与种类越来越多,成为了影响行业发展乃至国家安全的重要因素。FIT 2019第二日主论坛特设「前沿安全神盾局」版块,汇聚国内外顶级专家学者,带来多个新鲜议题,共话前沿安全。

IoT安全的To B和To C

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

率先上台的是海康威视CSO王滨,带来的议题是《IoT安全的To B和To C》。他从公众眼中的IoT安全和安全研究人员眼中的安全作为出发点讨论了他对于“To B”和”To C”的区别理解,对于目前的IoT设备安全态势而言,这是一种很好的厘清方式。因为对于C端而言,消费者看到的很多安全方面的报道都存在很大的局限性,因为很多问题的根源来自于上游设备,而不是IoT本身。

要做好 IoT to C 的安全,首先要做好云安全,其次是 APP安全、设备安全、端到端加密以及口令安全。由于开放接口多、用户安全意识淡薄、系统网络环境复杂、历史问题堆积、纵深防御难实施等多个问题,IoT to B 的安全需要厂商提供更高的产品安全需求,同时为用户提供轻管理的安全防护方案。

尤其是漏洞这一块,王滨还有以下特别呼吁:

目前业界遵循的90天的漏洞披露策略对于无有效升级途径的物联网设备并不适用;POC的检测更推荐采用版本检测的方式;用户设置周期性固件更新计划任务,弱口令一定要避免;厂商加强设备的安全设计、开发、测试和应急响应;行业主管机构必须要有强制的检查和通报机制。

Apollo智能网联汽车信息安全实践

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

百度安全工程师汪明伟在他的议题《Apollo智能网联汽车信息安全实践》中表示:

随着车联网程度层层深入,随之对于车联网的攻击手段花样迭出。虽是大势所趋,但安全性上的内忧外患不解决,用户始终对智能网联汽车望而却步,甚至随时都可能成为交通环境中的定时炸弹。

百度安全实验室在车联网这一领域已经深耕了15年,积累了80款车型数据。2016年8月,实验室实现了国内首例完整入侵案例,如何通过层层步骤接管车辆。从实践经验出发,汪明伟谈到:

解决车联网的内忧外患问题要从流程端和技术端双管齐下。围绕云、车机、网关、ECU四大领域构建快速反应能力、应用和系统可信体系、隔离及检测解决方案、源以及内容的可信架构,最终实现完整的骑着信息安全测试体系。此外,建立专门的机制,尤其是决策层的推动非常关键。

IoT攻击实践:高效协议分析

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

IoT市场规模极具扩张,设备数量大大增长也导致了DDoS攻击的攻击面、攻击量、攻击效果大大提升。骇极安全CEO Zenia从攻击者的思路出发,以「协议逆向」为突破口讨论了IoT安全,她带来的议题是《IoT攻击实践:高效协议分析》。

针对如何高效实现协议逆向,Zenia提出了“进化树”的理念:

在进化系统中,影响生物特征变化巨大的基因(例如控制肺叶和腮体征变化等)其基因多样性变化率远远小于在功能和体征上引起较小变化的基因;

同样这种统计特征出现在一些IoT协议中,例如设备标识符这类决定设备唯一性的字段(基因)在一堆协议数据中基本保持不变,其变化率远远小于那些控制数据字段,例如温度,亮度等操作数据,也就是说字段变化次数: 设备标识符 < 操作标识符 < 数据字段。

因此通过聚类分析,跟踪标识符来:

聚类噪声信号,可以定向的分析有用数据;可以快速标识出变化字节;通过状态机有效识别出信号的关联关系,避免在繁杂的数据中寻找关联。

最终,实现对未知协议的安全测试的能力提升,满足大量安全检测需求,构建自动化FUZZ平台。

巧用EvilUSB攻击智能路由器

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

“前沿安全神盾局” 下午的下午场首先由联想安全实验室研究员杨欢带来了《巧用EvilUSB攻击智能路由器》的议题分享,在现场带来了智能路由器攻击测试的演示视频。

BadUSB安全漏洞是在2014年由国外安全研究人员发现并公布于Blackhat大会上的,目前市面上仍存在多款路由器都具有相同的安全问题。杨欢通过对该漏洞的发现过程、利用过程,以及针对国内两款路由器发动攻击获取路由器 Shell 的讲解和演示,详细演示了包含开启危险方法、openwrt-rpcd服务ACL配置错误等多洞结合getshell以及绕过有限制的二次命令注入漏洞。

通过现场讲解和展示,杨欢总结出三条安全建议和防护方法:

配置项的审计比源代码审计更为重要;对于无关的功能模块应当予以删除。以usb存储为例,ext文件系统可以不予支持; 用正确的协议实现正确的功能。

智能IoT安全遇到的挑战

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

接着讲IoT~Rokid公司安全负责人白嘎力与大家分享“智能IoT安全遇到的挑战”。白嘎力表示预计2020年底,将有10亿设备接入物联网,如此大体量的设备面临着4个维度威胁:硬件、软件、云安全、设备互联和4个严重态势:车联网、智慧医疗、智慧城市、智能家居。

很多智能设备也做了安全防护,但是内部存在开放的可调试接口,只要打开外壳即可访问内部系统。还有部分语音控制模块具备设备操作功能,如果通过模拟声纹的方式来进行攻击可轻易得手。包括版本更新机制、OTA劫持等针对弱网络发起的攻击也很普遍。此外AI等新兴技术在进入安全领域的同时也带来了很多安全风险,比如AI对抗:算法样本对抗AI模型或者算法被攻击,导致人工智能所驱动识别系统出现混乱、误判或者失效;攻击者还可以通过修改现有的训练集生成恶意样本,比如病毒样本的优化,攻击载荷的逃避监测系统等等案例。

白嘎力提出了5个关键的安全加固节点:

安全审计:代码中的安全漏洞进行审计;安全SDK:安全开发生命周期引入,标准化;代码保护:程序核心代码逻辑进行保护;加固:加固、加壳子防止易被逆向破解;IoT平台:风险及时感知,实时监控监测。

AI安全实践:探索图模型异常检测

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

除了IoT,AI无疑也是当今的前沿技术。来自斗象科技的高级研究员孟雷以图模型的异常检测为例,讲述AI的安全实践。他带来的议题是《AI安全实践:探索图模型异常检测》。

从设立问题到构建模型,再到人工设立异常阈值检测,最后使用多目标回归模型实现动态阈值,最终获得更精准检测。孟雷提出了一个完整的AI图模型检测。其中的核心是图节点角色模型:

从多个设备告警日志中,抽取关联信息单元,构成告警关联图。根据图方法中的计算指标,对原始告警依赖图做递归特征提取,生成特征矩阵。依据前置的角色度量属性,对特征矩阵做非负矩阵分解,计算每个节点各角色概率分布信息。生成各节点角色分布图

今天我的生活越来越数字化,每天都在产生大量网络安全问题,为了保障安全而在外围部署大量解决方案和节点,这样的会产生大量的数据。面对如此海量的数据,通过构建攻击链图模型可解构网络攻击方式,提供更强的可视性和多设备检测融合分析支持。

威胁与安全AI市场上的决斗

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

如今全球网络犯罪组织在不断进化,很多环节或攻击技术都用到了AI,飞塔中国技术总监张略带来了《威胁与安全AI战场上的决斗》的议题分享,聊一聊安全领域的AI对抗。

不断进化的网络犯罪组织也应用了AI技术,网络安全威胁在AI的加持下也发生了如下的变化:

自动识别出变种模式被发觉,并自动改变变种模式;自动发现并攻击高价值目标(震网病毒);自动躲避疑似蜜罐,并释放假病毒,迷惑防御者;自动撰写,并发送给高价值目标钓鱼邮件;自动识别防御体系,并采用绕过策略和变种。

一言以蔽之,AI和自动化显著降低了攻击时间,速度是未来AI对决的主题。

张略表示:AI在国内安全领域的应用大体上还处于机器学习和深度学习阶段,还没有真正达到人工智能的水平。算法并不是现阶段发展AI安全技术的最大堡垒,而是样本的量、训练和反馈的持续性远远不够,需要行业共同努力。

多维度对抗Windows Applocker

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

360企业安全云影实验室负责人计东带来的议题是《多维度对抗Windows Applocker》。首先,他从三个维度指出了对抗安全策略的意义:

运维视角:采用系统安全策略等手段提高系统的安全性;黑客视角:寻求系统中自带数字签名的可执行文件或脚本、程序集,通过它们旁路攻击绕过安全策略;终极目的:实现低权限下让恶意文件突破策略运行。

在现场的展示中,他从Powershell入手,假设当前系统已经限制了Powershell的执行,该如何突破?切入点就是多种“攻击向量”,包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。

在完成展示后,他还和与会观众分享了一款360360企业安全云影实验室出品的开源工具:

支持Metasploit ShellCode,自动生成攻击向量(可执行文件或程序集);支持Regasm、InstallUtil 两种方式载入;项目地址: https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass

以太坊态势感知系统构思与实践

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

以太坊的出现直接将区块链技术的发展带入到了2.0时代。随着相关技术越来越成熟,而攻击于防御的对抗方式也逐步升级,以太坊作为智能合约的先行者,在区块链主链技术实现中具有一定代表性。

很多人都把注意力放在了合约的安全性上,而忽略了对于行为的检测。针对这样的现状,玄猫科技安全研究员叶树佳带来《以太坊态势感知系统》议题分享,阐述了对合约、节点、账户等层面监控与分析的概念和时间,并为合约蜜罐、安全事件、异常转账、钓鱼诈骗、非法交易等进行预警并追踪溯源提供了思路。

他也提出了对区块链安全领域的展望:区块链的安全性逐步提高;攻击方式更加深入,细分;安全产品种类会愈加丰富。

还有一款开源shockwave工具分享: https://github.com/XuanMaoSecLab/shockwave,支持爬取合约、静态检测、regex/match、人工审计等功能。

现场花絮

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录 主会场——前沿安全神盾局

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录 相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录

分会场——企业安全俱乐部

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录 分会场——白帽Live

相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录 相约FIT 2020,我们不见不散 | FIT 2019收官日主论坛全记录 漏洞马拉松现场


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Java Concurrency in Practice

Java Concurrency in Practice

Brian Goetz、Tim Peierls、Joshua Bloch、Joseph Bowbeer、David Holmes、Doug Lea / Addison-Wesley Professional / 2006-5-19 / USD 59.99

This book covers: Basic concepts of concurrency and thread safety Techniques for building and composing thread-safe classes Using the concurrency building blocks in java.util.concurrent Pe......一起来看看 《Java Concurrency in Practice》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具