科技云报道原创。

11月24日—27日,INSEC WORLD成都·世界信息安全大会成功举行。克服了疫情等不利因素,本届大会在总规模、演讲嘉宾层级、参会观众数量等方面,比上届有着显著提高。

本次大会由中外3大院士共同领衔,逾40家网安品牌同台,近60位海内外演讲嘉宾倾情奉献,近百家媒体全程报道,突破2,000位线下参会人士出席,开幕式及主论坛网上直播吸引了逾70万名全球观众,成为安全行业见面交流的大型峰会现场。

作为每年热门的分论坛之一,【漏洞攻防与安全研究】论坛备受关注。此次论坛邀请到了来自深信服、Checkmark、腾讯、Cyberbit、知道创宇等信息安全领域知名企业的技术专家们,就漏洞攻防技术在企业中的实际应用和案例进行了分享。

值得注意的是,今年该论坛更加注重安全技术的实战化研究,专家们的演讲内容也是避虚就实,就威胁猎捕、红蓝对抗、漏洞挖掘、业务安全人机对抗等多种实战性的安全话题进行了深度探讨。

本文精选【漏洞攻防与安全研究】论坛上的精彩发言和观点,以飨读者。

庞思铭丨深信服安全架构师

随着攻击商业模式逐步成熟,攻击者所需的技术门槛也在不断降低。黑产技术的差异正在变得逐步模糊,包括把相关的武器库披露到安全圈里面,大大降低了黑产工具和漏洞利用的成本。

同时,所有的安全防御厂商都面临一个实际的难点,那就是如何把攻击团队和产品团队做成一个有效闭环的机制,把攻击团队的攻击技巧转化为具体安全检测实践的能力,这中间存在很大的鸿沟。

因为对于攻击团队来说,他们的知识领域更多体现在如何开发漏洞、利用漏洞;但对于安全产品团队来说,他们的知识来自5-10年传统的检测技术,比如IDS、基于特征匹配的技术。

两者在知识上的鸿沟,造成了安全解决方案不能及时对应最新的攻击技巧。

我认为应对思路有两部分:

第一,来自于组织建设,例如:情报体系构建的意义,就在于攻击团队与产品团队有效的对接。

技术体系的建设,包括:情报体系的建设,攻击技术的研究,对抗检测能力方面的研究。例如:在攻击技术研究环节,会覆盖多种场景,如:跟踪热门的跟踪技术、构建攻击场景的数据级,构建攻击场景,完成攻击场景的自动化等。

庞思铭丨深信服安全架构师

李亭丨Checkmarx中国区技术总监

现在的DevOps都要引入安全策略。因为如果上线前发现有问题了,到底是“带病”上线,还是解决了这个问题之后再上线,会是一个很大的问题。所以,DevOps往后发展就涉及到安全问题了。

安全策略其实有很多,其中关于应用安全的,叫做漏洞管理策略。例如:

应用安全的漏洞一直会有,所以企业需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,这就是一种策略。

研发部门和安全部门关心的内容不一样,哪些漏洞是双方都认为一定不能接受的,这也是一种策略。

那么,企业应该如何在DevOps流程中实施漏洞管理策略呢?

制定策略方面:安全策略要有针对性,确认优先级;

实施方面:从编码阶段到验收测试的整个DevOps过程中,建议越早开始考虑安全策略越好。

效率方面:考虑到DevOps的流水化作业和效率特点,安全策略和漏洞扫描工具也需要是自动化的。

管理方面:综合考虑安全策略、管理和监控KPI,以便对实施情况、时间成本、人力成本等多方面进行考量。

李亭丨Checkmarx中国区技术总监

李龙丨腾讯安全策略高级研究员

新基建到来后,黑产也发生了新的动向,如:IPV6地址量庞大,黑产可以使用的资源接近于无限;5G到来正在突破旧的安全策略;黑产的平台和工具也在倾向于平台化和云化。

面对黑产技术的升级、获取资源的海量化,业务安全从业者该如何应对呢?

第一,情报与策略的联动。通过情报和蓝军对自动机手法的分析,可以反哺到策略,定制一些安全策略。还有可以摸清黑产到底使用的是哪些资源,从资源层进行对抗。如果知道了黑产是谁,还可以直接联合警方进行线下法务打击。

产品与策略的联动。策略结合产品,可以进一步提升黑产对抗的成本。以腾讯的黑名单共享平台的对抗策略为例:

腾讯通过联合各个业务之间的联动,已经覆盖了所有的安全主线。当用户在第一个环节登录,如果发现恶意,基本上就会进入黑名单,那么后面的各个环节也能够使用这样的恶意结果。同时,不同业务场景积累的黑产资源,也能够复用到其他业务场景,取得非常好的效果。

安全不光光是一个业务或者是一个团队的职责,它需要所有人一起来共建,建立一个黑产对抗的枢纽,不光是通过数据层的协作、模型层的共建,还有服务层的打通。腾讯还联合业务方一起来共同治理,来确保腾讯业务的健康发展。

李龙丨腾讯安全策略高级研究员

朱凯丨Cyberbit中国区安全技术总经理

调研数据显示,只有20%的网络安全专家是经历过真实事件网络安全事件的处置。大部分的企业的安全团队都是在工作中,才第一次经历到这样一个网络安全的发生和处置。在面临实际的安全事件时,会感到各种各样的压力。

佛罗斯特咨询公司曾表示,在高级安全分析中,价值是来自人,软件不提供答案。所以,Cyberit主要做高效蓝队的训练平台,帮助人在安全防守上做一个高效的提升。在这样一套平台上,花4个月的时间,就能把一个新人变成一个真正的网络战士。

我们主要通过三个方面来做人才培养,包含:技术训练、高级训练、扩展性训练。在这个平台上通过模拟游戏的方式,让大家比较快速、轻松地去接受实战性的训练,获得相应的经验。

在平台中,网络安全工作分为7大类,33个领域,52个工作角色,628个知识,374个技能,以及176种能力。在这样的框架中,可以很好地指明每个人在信息安全领域中的方向和角色,以及需要具备的技能,补齐自己的短板。

百闻不如一见,希望通过这个平台,对安全团队提供动手的实战,而不是停留在听说过安全事件。

朱凯丨Cyberbit中国区安全技术总经理

李松林丨知道创宇404实验室安全研究员

RDP协议是微软创建的远程桌面协议,它允许系统用户通过图形界面连接到远程系统。主要流行的应用包括微软系统自带的mstsc.exe,以及最成熟的开源应用freerdp。

今天我们来探讨一下如何攻击rdp协议当中的图像处理通道。因为图像处理通道,相对来说比较复杂,而且各种运算、规模也比较大。

对图形处理通道进行攻击,有两条路径:第一,静态虚拟通道API处理。第二,动态扩展通道。在找到路径后,对API路径进行fuzzing。

但在实际fuzzing中会有一个问题,发现的路径越多,包括投递的样本越多,越难继续深入发现其它更深的样本。另外,还有因素会阻止发现新路径,比如在路径上发现了一枚漏洞,导致程序崩溃。这种时候就需要手动做一些补丁。

我们目标不仅是发现free rdp漏洞,更高的目标是发现微软的漏洞。微软用的都是rdp协议,他们程序的API和free rdp的API也可能是一样的。所以,对微软的mstsc的API路径进行fuzzing后,同样也得到了一些漏洞。

当然,我们挖掘到了漏洞,还要以黑客的方式去思考,怎样才能利用漏洞去攻击。我认为主要有两种方式:一是,缓存投毒,指向恶意服务器。二是,控制服务,再通过跳板进一步控制其他用户,反向攻击客户端。

李松林丨知道创宇404实验室安全研究员

结语

这些年随着黑客事件频发和日趋严格的安全监管,企业对于信息安全更加重视,也投入了大量预算采购安全产品、招募安全团队。但有了设备和团队不等于有效果,毕竟实战才是检验安全防护能力的唯一标准。

可以看到,本次INSEC WORLD大会紧跟安全防护走向实战化的趋势,【漏洞攻防与安全研究】分论坛更是聚焦红蓝对抗、人机对抗、威胁猎捕等实战性话题,分享了来自行业一线的安全观点以及最前沿的技术方法,相信能够为企业提升安全防护能力提供更多思路,将安全需求进一步落到实处。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选相关推荐

  1. 演讲实录(文字+视频)丨基于DevOps的质量左移与右移思考

    本文内容选自2021中国DevOps社区峰会 · 深圳站,陈晓鹏老师分享的<基于DevOps的质量左移与右移思考>文字实录和视频回放. 2022中国DevOps社区峰会 · 天津站,定档8 ...

  2. 认识二进制安全与漏洞攻防技术 (Windows平台)

    二进制漏洞是指程序存在安全缺陷,导致攻击者恶意构造的数据(如Shellcode)进入程序相关处理代码时,改变程序原定的执行流程,从而实现破坏或获取超出原有的权限. 0Day漏洞 在计算机领域中,0da ...

  3. 1016.XXE漏洞攻防学习

    前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识. xml基础知识 要了解xxe漏洞,那么一定得先 ...

  4. Android 反序列化漏洞攻防史话

    Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件.即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用.本文即为对历史上曾出现过的 An ...

  5. Web 应用漏洞攻防

    Web 应用漏洞攻防 实验目的 了解常见 Web 漏洞训练平台: 了解 常见 Web 漏洞的基本原理: 掌握 OWASP Top 10 及常见 Web 高危漏洞的漏洞检测.漏洞利用和漏洞修复方法: 实 ...

  6. 【Web安全笔记】之【4.0 常见漏洞攻防】

    文章目录 4.0 常见漏洞攻防 4.1 SQL注入 4.1.1 注入分类 1. 简介 2. 按技巧分类 1). 盲注 2). 报错注入 3). 堆叠注入 3. 按获取数据的方式分类 1). inban ...

  7. 演讲实录丨CAAI名誉副理事长杨强教授:人工智能的金融实践

    杨强 CAAI 名誉副理事长.微众银行首席人工智能官 AAAI/ACM/IEEE/CAAI/AAAS Fellow 转自中国人工智能学会 CAAI原创 丨 作者杨强教授 以下是杨强教授的演讲实录: 今 ...

  8. 演讲实录丨清华大学朱小燕教授:对话系统现状与展望

    2021-02-23 22:49:59 2020年11月20日,由中国科学技术协会主办,中国国际科技交流中心.中国人工智能学会.新加坡通商中国承办的"中新数字经济与人工智能高峰论坛" ...

  9. GAITC 2020 演讲实录丨张立华:机器智能的发展现状

    2020-08-18 22:53:14 ​​7月25日-26日,在中国科学技术协会.中国科学院.中国工程院.浙江省人民政府.杭州市人民政府.浙江省人工智能发展专家委员会指导下,由中国人工智能学会.杭州 ...

最新文章

  1. 密码强度测试工具包【Java】_测试用例
  2. SAP UI5 /UI5/IF_UI5_REP_PERSISTENCE - why I cannot deploy app to GM6
  3. 递归算法时间复杂度计算
  4. Git 仓库中文件名大小写问题
  5. 基于Django进行简单的微信开发
  6. Gamvas Web 0.8.4 发布,JavaScript 游戏引擎
  7. unity音效插件—— FMOD学习
  8. ZooKeeper实际应用案例-开发实战
  9. vue报错:Not Found - GET https://registry.npmjs.org/- Not found
  10. php 照片变成卡通照片,怎么把照片做成q版卡通 照片变q版卡通人物 q版卡通头像制作...
  11. 【高并发】- 指标介绍
  12. 二叉树no与n2关系数学证明
  13. 从《货殖列传》中学习炒股
  14. python编写米字格的步骤_Word制作米字格的方法步骤
  15. Verilog 1.0常用CD4000系列标准数字电路及其框图
  16. 对中国90后及00后“深入骨髓”的剖析
  17. 音视频技术开发周刊 | 289
  18. 12V/24V转负350V/500V/300V/250V200VDC线性调节高压升压电源模块
  19. linux制作windows光盘,在Windows上制作CentOS自动安装的光盘的教程分享
  20. H5 - HTML5新增标签

热门文章

  1. 长安汽车流程体系成熟度评估模型的应用
  2. 【SendSms】短信服务java.lang.NoSuchMethodError: com.google.gson.JsonParser.parseString(Ljava/lang/String;)
  3. 一本通-1414:成绩
  4. node安装后的设置(node_global和node_cache)
  5. Linux装逼命令行以及实用命令行
  6. MySQL UDF 提权
  7. 黑马程序员_毕向东_JavaScript视频教程--学习笔记
  8. 轻量级Qt键盘-中文输入
  9. 朴素版Dijkstra算法
  10. 一个不错的故事(上)