聚焦新技術 TSD Talk七場前沿分享引領行業趨勢
邁梓工控 / 2020-12-23
來源:北京網絡安全大會
由奇安信內部技術體系大會(TSC)推出的“TSD Talk”首次在BCS上向業界公開亮相,貫穿BCS 2020大會的每一天,TSD Talk的每一場最新前沿技術分享與實踐都吸引著眾多網絡安全從業者的眼球。
秉承著“技術驅動安全,設計創造價值”的理念,TSD Talk為業界提供了前沿的安全技術理念和工程化實踐方法,為企業用戶提升自身整體技術實力,應對未來網絡安全挑戰提供了創新的技術思想。
近年來,隨著物聯網設備的廣泛應用,基于物聯網場景下的安全漏洞逐年增長,直接導致了重大網絡安全事件頻發。清華大學-奇安信聯合研究中心研究專家劉躍在演講中表示,“如何幫助行業在源頭發現漏洞、修復漏洞,是我們作為安全公司的職責擔當。我們嘗試將自動化漏洞挖掘技術方法轉化到行業中應用,讓不了解安全的研發測試人員,可以自動化的發現和利用漏洞,從而推動漏洞挖掘工作的工業流水線化生產。”劉躍首先從多個角度分析了當前物聯網場景下嚴峻的安全形勢,再以物聯網終端固件的安全分析為切入點,介紹了針對固件的自動化漏洞挖掘方法。結合自身研究經歷和實踐經驗,對比了基于覆蓋率反饋的模糊測試方法與基于程序分析理論的靜態檢測方法,分別在物聯網場景下的能力表現;并結合行業應用特點以及物聯網操作系統的特性,提出技術方案,以期望在當今碎片化、異構化的物聯網世界,輔助安全研究人員,更高效的發現物聯網安全漏洞。 在數字化轉型時代,網絡安全態勢發生巨大變化,內外部威脅愈演愈烈的情況下,作為應對新一代IT基礎設施安全挑戰的全新戰略,零信任安全架構對傳統基于邊界的安全模式進行了重新評估和審視,并從安全架構的角度給出了新的建議。奇安信身份安全實驗室架構師田禮軍分享到,“零信任的本質是在訪問主體和客體之間構建以身份為基石的動態可信訪問控制體系。其中信任評估技術決定了零信任安全能力的落地效果,是零信任架構設計、安全建設的重心。”奇安信身份安全實驗室一直致力于研究零信任架構的理論發展與工程化的實踐落地。其中,就如何利用智能信任評估技術,在滿足業務安全要求的情況下,構建場景化的信任評估系統作用于不同角色訪問不同業務,并同時緩解傳統認證授權規則爆炸、上下文信息缺乏的問題,對基于信任的訪問控制閉環措施進行深入探索和實踐。 隨著軟件生態的蓬勃發展,軟件的組成元素日益豐富,互相之間的依賴關系越發復雜,軟件供應鏈安全方面的攻擊面也隨之加大。軟件在開發、部署、傳播、運行、升級全生命周期都面臨著大量安全隱患,例如代碼復用帶來漏洞和后門擴散、組件劫持導致惡意模塊傳播、不可靠的網絡資源引入的安全問題等。此外,當前錯綜復雜的軟件空間依賴關系也為高危漏洞的影響范圍評估和應急響應帶來了新的挑戰。清華大學-奇安信聯合研究中心研究專家聶眉寧表示,“任何一個針對特定軟件的漏洞挖掘工作,都可能創造出席卷整個軟件空間的龍卷風。例如之前WinRAR軟件中被發現存在高危漏洞,但該漏洞的實際載體是軟件中一個名叫unacev2.dll的模塊,該模塊已經存在了19年,漏洞至少擴散到400多個模塊、200多款軟件中,至今也沒有全面修復。” 面對嚴峻的安全形勢,軟件供應鏈安全問題已經成為工業界和學術界關注的重點。但遺憾的是,關于這個領域的研究工作才剛剛起步,尚未形成科學完善的解決方案,難以覆蓋迫切的現實需求。面對以上問題,我們對Windows、macOS、Android等主流平臺上的基礎程序、熱門應用,以及IOT系統固件等不同維度的大量軟件進行了深度剖析和全面測繪,從數據異常的角度分析軟件空間中的安全隱患,并結合具體案例闡述當前軟件供應鏈安全方面的各類典型問題,以及這些問題之間的共性特征,希望在軟件空間測繪、安全隱患發掘、安全現狀評估等方面,貢獻一份力量。 惡意代碼作為網絡攻擊的主要載體和表現形態,是網絡安全關注的重點,也是維護信息安全的關鍵,亦是網絡安全檢測和防御的主要對象。如何對海量樣本進行自動化黑白鑒定,如何從大量惡意樣本中萃取攻擊相關威脅情報,一直是網絡安全界關注的重要問題。
動態分析沙箱作為惡意代碼分析的利器,在文件威脅鑒定、樣本深度分析、威脅情報提取等場景中普遍應用,但也面臨著樣本數量多、類型多導致分析開銷大,以及沙箱分析對抗和行為觸發困難等挑戰。清華大學-奇安信聯合研究中心研究專家應凌云結合沙箱分析系統的技術原理和工作流程,介紹了如何構建一個高效、全面、逼真、準確的沙箱分析系統,并結合實際樣本案例,展示了沙箱分析系統在惡意代碼分析中的作用和價值。
從惡意樣本的文件類型、樣本相似性等樣本靜態屬性的維度,對樣本文件進行了深度解析和統計分析。結果顯示,惡意樣本的種類和形態十分多元化,涉及各個硬件平臺和操作系統。其中,Windows平臺的PE可執行程序數量占總樣本量的絕對多數,與此同時,大量的PE樣本是相同家族的變種,以代碼結構哈希識別樣本的相似性,樣本量前1000的簇所含樣本數量占PE樣本總量的近60%,顯示在惡意樣本分析中,識別和過濾相似樣本十分必要。
基于天穹沙箱系統的分析結果,對惡意樣本的動態行為進行了深入分析,從分析環境檢測和分析對抗、漏洞攻擊利用、網絡訪問等維度,全面分析了惡意樣本的動態行為和實現方式。
結果表明,超過45%的樣本會設置自啟動,超過40%的樣本會有各種環境檢測和分析對抗行為,顯示沙箱分析系統的分析環境仿真度,以及動態分析過程的透明性和系統狀態覆蓋率,會極大地影響動態分析結果的準確性和全面性。
“人是安全中最薄弱的一環,而所謂大隱隱于市,當人被海量數據淹沒的時候,為實現大網環境中對人的刻畫,將海量數據打散并整合必不可少。” 清華大學-奇安信聯合研究中心研究員吳昊旻講到。而在整合的過程中,考慮到DNS在互聯網中所發揮的根本性作用,將passive DNS數據作為刻畫“人”的樞紐可謂適才適所。通過將passive DNS與蜜罐數據、黑產信息及APT信息等結合,讓信息安全研究者深入了解“誰可能被攻擊”、“誰已經被攻擊”及“誰發起了攻擊”,站在攻擊者的視角俯而臨下高屋建瓴,這或許可被稱為建立多種數據支持平臺的意義之一。以passive DNS與蜜罐數據結合為例,考察向蜜罐投遞惡意樣本的被感染IP,綜合該IP所碰撞出的passive DNS數據,以此勾勒IP持有者互聯網訪問行為特征,定位其所屬地區及行業,以此推測僵尸網絡規模及意向受害者為何。在上述信息的基礎上,下可根據控制指令進行ddos攻擊預警,上可輔助特定行業用戶進行針對性防御。如何基于海量數據進行網絡威脅發現,由此可見一斑。 十年前的伊朗震網(Stuxnet)事件徹底打破了工控隔離網安全的神話。近十年來,工控安全事件越來越多,涉及面越來越廣,危害程度越來越大,暴露出的工控漏洞也呈現逐年遞增的趨勢。工控安全領域涉及各行各業,攻擊面非常廣泛,包括眾多的工控設備生產商,各類工控設備和工控協議,而且工控協議普遍私有。傳統工控網絡安全產品的白名單機制顯然不能很好地防范如此廣泛的攻擊面。如何對工控環境進行有效的安全防護是產學研用各界普遍關心的話題。奇安信工控安全巽豐實驗室負責人張釗認為,“秉承‘未知攻,焉知防’的安全理念,站在黑客攻擊的角度設計安全解決方案是一種有效的方法。”圍繞工控資產設備多樣性,工控設備自身設計存在的安全缺陷,工控網絡安全產品白名單學習時間不確定,針對私有協議的安全防護,白名單規則與工控業務的關聯性,針對畸形和違反協議規約數據包的檢測,機器學習與序列模式分析對比,以及工控漏洞有效性與執行時間相關等話題,從多個維度設計對應的工控安全防護解決方案。 隨著時代的進步,越來越多的國家接入互聯網,數字世界和物理世界之間的界限正變得越來越模糊,病毒的種類和攻擊方式也多種多樣,其所造成的損失也越來越大。網絡安全威脅和風險日益突出,并有組織的高強度的向政治、經濟、文化、社會、生態、國防等領域傳導滲透。新威脅的出現,要求我們在安全查殺技術上要有新的突破,我們才能看見對手,才能更好的與之戰斗。安全查殺目前面臨著諸多場景挑戰,如物聯網設備、移動支付、智能充電寶、智能門鎖、智能汽車等,看似越發便捷智能的設備越容易成為黑客與病毒入侵的目標。同時,安全查殺也面臨著諸多技術方面的挑戰,隨著安全威脅場景多樣化,和如何構建低延遲、高并發和高吞吐量的查殺引擎成當下關鍵。另外,大規模樣本檢測判定的及時性和準確性,高效的數據自動化分析與威脅情報支撐機制,也是網安行業未來發展的首要重點。
