INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选
科技云报道原创。
11月24日—27日,INSEC WORLD成都·世界信息安全大会成功举行。克服了疫情等不利因素,本届大会在总规模、演讲嘉宾层级、参会观众数量等方面,比上届有着显著提高。
本次大会由中外3大院士共同领衔,逾40家网安品牌同台,近60位海内外演讲嘉宾倾情奉献,近百家媒体全程报道,突破2,000位线下参会人士出席,开幕式及主论坛网上直播吸引了逾70万名全球观众,成为安全行业见面交流的大型峰会现场。
作为每年热门的分论坛之一,【漏洞攻防与安全研究】论坛备受关注。此次论坛邀请到了来自深信服、Checkmark、腾讯、Cyberbit、知道创宇等信息安全领域知名企业的技术专家们,就漏洞攻防技术在企业中的实际应用和案例进行了分享。
值得注意的是,今年该论坛更加注重安全技术的实战化研究,专家们的演讲内容也是避虚就实,就威胁猎捕、红蓝对抗、漏洞挖掘、业务安全人机对抗等多种实战性的安全话题进行了深度探讨。
本文精选【漏洞攻防与安全研究】论坛上的精彩发言和观点,以飨读者。
庞思铭丨深信服安全架构师
随着攻击商业模式逐步成熟,攻击者所需的技术门槛也在不断降低。黑产技术的差异正在变得逐步模糊,包括把相关的武器库披露到安全圈里面,大大降低了黑产工具和漏洞利用的成本。
同时,所有的安全防御厂商都面临一个实际的难点,那就是如何把攻击团队和产品团队做成一个有效闭环的机制,把攻击团队的攻击技巧转化为具体安全检测实践的能力,这中间存在很大的鸿沟。
因为对于攻击团队来说,他们的知识领域更多体现在如何开发漏洞、利用漏洞;但对于安全产品团队来说,他们的知识来自5-10年传统的检测技术,比如IDS、基于特征匹配的技术。
两者在知识上的鸿沟,造成了安全解决方案不能及时对应最新的攻击技巧。
我认为应对思路有两部分:
第一,来自于组织建设,例如:情报体系构建的意义,就在于攻击团队与产品团队有效的对接。
技术体系的建设,包括:情报体系的建设,攻击技术的研究,对抗检测能力方面的研究。例如:在攻击技术研究环节,会覆盖多种场景,如:跟踪热门的跟踪技术、构建攻击场景的数据级,构建攻击场景,完成攻击场景的自动化等。
庞思铭丨深信服安全架构师
李亭丨Checkmarx中国区技术总监
现在的DevOps都要引入安全策略。因为如果上线前发现有问题了,到底是“带病”上线,还是解决了这个问题之后再上线,会是一个很大的问题。所以,DevOps往后发展就涉及到安全问题了。
安全策略其实有很多,其中关于应用安全的,叫做漏洞管理策略。例如:
应用安全的漏洞一直会有,所以企业需要了解,哪些漏洞可以接受,哪些漏洞不可以接受,这就是一种策略。
研发部门和安全部门关心的内容不一样,哪些漏洞是双方都认为一定不能接受的,这也是一种策略。
那么,企业应该如何在DevOps流程中实施漏洞管理策略呢?
制定策略方面:安全策略要有针对性,确认优先级;
实施方面:从编码阶段到验收测试的整个DevOps过程中,建议越早开始考虑安全策略越好。
效率方面:考虑到DevOps的流水化作业和效率特点,安全策略和漏洞扫描工具也需要是自动化的。
管理方面:综合考虑安全策略、管理和监控KPI,以便对实施情况、时间成本、人力成本等多方面进行考量。
李亭丨Checkmarx中国区技术总监
李龙丨腾讯安全策略高级研究员
新基建到来后,黑产也发生了新的动向,如:IPV6地址量庞大,黑产可以使用的资源接近于无限;5G到来正在突破旧的安全策略;黑产的平台和工具也在倾向于平台化和云化。
面对黑产技术的升级、获取资源的海量化,业务安全从业者该如何应对呢?
第一,情报与策略的联动。通过情报和蓝军对自动机手法的分析,可以反哺到策略,定制一些安全策略。还有可以摸清黑产到底使用的是哪些资源,从资源层进行对抗。如果知道了黑产是谁,还可以直接联合警方进行线下法务打击。
产品与策略的联动。策略结合产品,可以进一步提升黑产对抗的成本。以腾讯的黑名单共享平台的对抗策略为例:
腾讯通过联合各个业务之间的联动,已经覆盖了所有的安全主线。当用户在第一个环节登录,如果发现恶意,基本上就会进入黑名单,那么后面的各个环节也能够使用这样的恶意结果。同时,不同业务场景积累的黑产资源,也能够复用到其他业务场景,取得非常好的效果。
安全不光光是一个业务或者是一个团队的职责,它需要所有人一起来共建,建立一个黑产对抗的枢纽,不光是通过数据层的协作、模型层的共建,还有服务层的打通。腾讯还联合业务方一起来共同治理,来确保腾讯业务的健康发展。
李龙丨腾讯安全策略高级研究员
朱凯丨Cyberbit中国区安全技术总经理
调研数据显示,只有20%的网络安全专家是经历过真实事件网络安全事件的处置。大部分的企业的安全团队都是在工作中,才第一次经历到这样一个网络安全的发生和处置。在面临实际的安全事件时,会感到各种各样的压力。
佛罗斯特咨询公司曾表示,在高级安全分析中,价值是来自人,软件不提供答案。所以,Cyberit主要做高效蓝队的训练平台,帮助人在安全防守上做一个高效的提升。在这样一套平台上,花4个月的时间,就能把一个新人变成一个真正的网络战士。
我们主要通过三个方面来做人才培养,包含:技术训练、高级训练、扩展性训练。在这个平台上通过模拟游戏的方式,让大家比较快速、轻松地去接受实战性的训练,获得相应的经验。
在平台中,网络安全工作分为7大类,33个领域,52个工作角色,628个知识,374个技能,以及176种能力。在这样的框架中,可以很好地指明每个人在信息安全领域中的方向和角色,以及需要具备的技能,补齐自己的短板。
百闻不如一见,希望通过这个平台,对安全团队提供动手的实战,而不是停留在听说过安全事件。
朱凯丨Cyberbit中国区安全技术总经理
李松林丨知道创宇404实验室安全研究员
RDP协议是微软创建的远程桌面协议,它允许系统用户通过图形界面连接到远程系统。主要流行的应用包括微软系统自带的mstsc.exe,以及最成熟的开源应用freerdp。
今天我们来探讨一下如何攻击rdp协议当中的图像处理通道。因为图像处理通道,相对来说比较复杂,而且各种运算、规模也比较大。
对图形处理通道进行攻击,有两条路径:第一,静态虚拟通道API处理。第二,动态扩展通道。在找到路径后,对API路径进行fuzzing。
但在实际fuzzing中会有一个问题,发现的路径越多,包括投递的样本越多,越难继续深入发现其它更深的样本。另外,还有因素会阻止发现新路径,比如在路径上发现了一枚漏洞,导致程序崩溃。这种时候就需要手动做一些补丁。
我们目标不仅是发现free rdp漏洞,更高的目标是发现微软的漏洞。微软用的都是rdp协议,他们程序的API和free rdp的API也可能是一样的。所以,对微软的mstsc的API路径进行fuzzing后,同样也得到了一些漏洞。
当然,我们挖掘到了漏洞,还要以黑客的方式去思考,怎样才能利用漏洞去攻击。我认为主要有两种方式:一是,缓存投毒,指向恶意服务器。二是,控制服务,再通过跳板进一步控制其他用户,反向攻击客户端。
李松林丨知道创宇404实验室安全研究员
结语
这些年随着黑客事件频发和日趋严格的安全监管,企业对于信息安全更加重视,也投入了大量预算采购安全产品、招募安全团队。但有了设备和团队不等于有效果,毕竟实战才是检验安全防护能力的唯一标准。
可以看到,本次INSEC WORLD大会紧跟安全防护走向实战化的趋势,【漏洞攻防与安全研究】分论坛更是聚焦红蓝对抗、人机对抗、威胁猎捕等实战性话题,分享了来自行业一线的安全观点以及最前沿的技术方法,相信能够为企业提升安全防护能力提供更多思路,将安全需求进一步落到实处。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
INSEC WORLD丨【漏洞攻防与安全研究论坛】演讲实录精选相关推荐
- 演讲实录(文字+视频)丨基于DevOps的质量左移与右移思考
本文内容选自2021中国DevOps社区峰会 · 深圳站,陈晓鹏老师分享的<基于DevOps的质量左移与右移思考>文字实录和视频回放. 2022中国DevOps社区峰会 · 天津站,定档8 ...
- 认识二进制安全与漏洞攻防技术 (Windows平台)
二进制漏洞是指程序存在安全缺陷,导致攻击者恶意构造的数据(如Shellcode)进入程序相关处理代码时,改变程序原定的执行流程,从而实现破坏或获取超出原有的权限. 0Day漏洞 在计算机领域中,0da ...
- 1016.XXE漏洞攻防学习
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识. xml基础知识 要了解xxe漏洞,那么一定得先 ...
- Android 反序列化漏洞攻防史话
Java 在历史上出现过许多反序列化的漏洞,但大部分出自 J2EE 的组件.即便是 FastJSON 这种漏洞,似乎也很少看到在 Android 中被实际的触发和利用.本文即为对历史上曾出现过的 An ...
- Web 应用漏洞攻防
Web 应用漏洞攻防 实验目的 了解常见 Web 漏洞训练平台: 了解 常见 Web 漏洞的基本原理: 掌握 OWASP Top 10 及常见 Web 高危漏洞的漏洞检测.漏洞利用和漏洞修复方法: 实 ...
- 【Web安全笔记】之【4.0 常见漏洞攻防】
文章目录 4.0 常见漏洞攻防 4.1 SQL注入 4.1.1 注入分类 1. 简介 2. 按技巧分类 1). 盲注 2). 报错注入 3). 堆叠注入 3. 按获取数据的方式分类 1). inban ...
- 演讲实录丨CAAI名誉副理事长杨强教授:人工智能的金融实践
杨强 CAAI 名誉副理事长.微众银行首席人工智能官 AAAI/ACM/IEEE/CAAI/AAAS Fellow 转自中国人工智能学会 CAAI原创 丨 作者杨强教授 以下是杨强教授的演讲实录: 今 ...
- 演讲实录丨清华大学朱小燕教授:对话系统现状与展望
2021-02-23 22:49:59 2020年11月20日,由中国科学技术协会主办,中国国际科技交流中心.中国人工智能学会.新加坡通商中国承办的"中新数字经济与人工智能高峰论坛" ...
- GAITC 2020 演讲实录丨张立华:机器智能的发展现状
2020-08-18 22:53:14 7月25日-26日,在中国科学技术协会.中国科学院.中国工程院.浙江省人民政府.杭州市人民政府.浙江省人工智能发展专家委员会指导下,由中国人工智能学会.杭州 ...
最新文章
- 密码强度测试工具包【Java】_测试用例
- SAP UI5 /UI5/IF_UI5_REP_PERSISTENCE - why I cannot deploy app to GM6
- 递归算法时间复杂度计算
- Git 仓库中文件名大小写问题
- 基于Django进行简单的微信开发
- Gamvas Web 0.8.4 发布,JavaScript 游戏引擎
- unity音效插件—— FMOD学习
- ZooKeeper实际应用案例-开发实战
- vue报错:Not Found - GET https://registry.npmjs.org/- Not found
- php 照片变成卡通照片,怎么把照片做成q版卡通 照片变q版卡通人物 q版卡通头像制作...
- 【高并发】- 指标介绍
- 二叉树no与n2关系数学证明
- 从《货殖列传》中学习炒股
- python编写米字格的步骤_Word制作米字格的方法步骤
- Verilog 1.0常用CD4000系列标准数字电路及其框图
- 对中国90后及00后“深入骨髓”的剖析
- 音视频技术开发周刊 | 289
- 12V/24V转负350V/500V/300V/250V200VDC线性调节高压升压电源模块
- linux制作windows光盘,在Windows上制作CentOS自动安装的光盘的教程分享
- H5 - HTML5新增标签
热门文章
- 长安汽车流程体系成熟度评估模型的应用
- 【SendSms】短信服务java.lang.NoSuchMethodError: com.google.gson.JsonParser.parseString(Ljava/lang/String;)
- 一本通-1414:成绩
- node安装后的设置(node_global和node_cache)
- Linux装逼命令行以及实用命令行
- MySQL UDF 提权
- 黑马程序员_毕向东_JavaScript视频教程--学习笔记
- 轻量级Qt键盘-中文输入
- 朴素版Dijkstra算法
- 一个不错的故事(上)