由奇安信内部技术体系大会(TSC)推出的“TSD Talk”首次在BCS上向业界公开亮相,贯穿BCS 2020大会的每一天,TSD Talk的每一场最新前沿技术分享与实践都吸引着众多网络安全从业者的眼球。
秉承着“技术驱动安全,设计创造价值”的理念,TSD Talk为业界提供了前沿的安全技术理念和工程化实践方法,为企业用户提升自身整体技术实力,应对未来网络安全挑战提供了创新的技术思想。
1.物联网漏洞自动化挖掘技术研究与实践
近年来,随着物联网设备的广泛应用,基于物联网场景下的安全漏洞逐年增长,直接导致了重大网络安全事件频发。清华大学-奇安信联合研究中心研究专家刘跃在演讲中表示,“如何帮助行业在源头发现漏洞、修复漏洞,是我们作为安全公司的职责担当。我们尝试将自动化漏洞挖掘技术方法转化到行业中应用,让不了解安全的研发测试人员,可以自动化的发现和利用漏洞,从而推动漏洞挖掘工作的工业流水线化生产。”
刘跃首先从多个角度分析了当前物联网场景下严峻的安全形势,再以物联网终端固件的安全分析为切入点,介绍了针对固件的自动化漏洞挖掘方法。结合自身研究经历和实践经验,对比了基于覆盖率反馈的模糊测试方法与基于程序分析理论的静态检测方法,分别在物联网场景下的能力表现;并结合行业应用特点以及物联网操作系统的特性,提出技术方案,以期望在当今碎片化、异构化的物联网世界,辅助安全研究人员,更高效的发现物联网安全漏洞。
2. 信任计算在零信任架构中的应用
在数字化转型时代,网络安全态势发生巨大变化,内外部威胁愈演愈烈的情况下,作为应对新一代IT基础设施安全挑战的全新战略,零信任安全架构对传统基于边界的安全模式进行了重新评估和审视,并从安全架构的角度给出了新的建议。
奇安信身份安全实验室架构师田礼军分享到,“零信任的本质是在访问主体和客体之间构建以身份为基石的动态可信访问控制体系。其中信任评估技术决定了零信任安全能力的落地效果,是零信任架构设计、安全建设的重心。”
奇安信身份安全实验室一直致力于研究零信任架构的理论发展与工程化的实践落地。其中,就如何利用智能信任评估技术,在满足业务安全要求的情况下,构建场景化的信任评估系统作用于不同角色访问不同业务,并同时缓解传统认证授权规则爆炸、上下文信息缺乏的问题,对基于信任的访问控制闭环措施进行深入探索和实践。
3. 软件供应链安全分析
随着软件生态的蓬勃发展,软件的组成元素日益丰富,互相之间的依赖关系越发复杂,软件供应链安全方面的攻击面也随之加大。软件在开发、部署、传播、运行、升级全生命周期都面临着大量安全隐患,例如代码复用带来漏洞和后门扩散、组件劫持导致恶意模块传播、不可靠的网络资源引入的安全问题等。
此外,当前错综复杂的软件空间依赖关系也为高危漏洞的影响范围评估和应急响应带来了新的挑战。清华大学-奇安信联合研究中心研究专家聂眉宁表示,“任何一个针对特定软件的漏洞挖掘工作,都可能创造出席卷整个软件空间的龙卷风。
例如之前WinRAR软件中被发现存在高危漏洞,但该漏洞的实际载体是软件中一个名叫unacev2.dll的模块,该模块已经存在了19年,漏洞至少扩散到400多个模块、200多款软件中,至今也没有全面修复。”
面对严峻的安全形势,软件供应链安全问题已经成为工业界和学术界关注的重点。但遗憾的是,关于这个领域的研究工作才刚刚起步,尚未形成科学完善的解决方案,难以覆盖迫切的现实需求。
面对以上问题,我们对Windows、macOS、Android等主流平台上的基础程序、热门应用,以及IOT系统固件等不同维度的大量软件进行了深度剖析和全面测绘,从数据异常的角度分析软件空间中的安全隐患,并结合具体案例阐述当前软件供应链安全方面的各类典型问题,以及这些问题之间的共性特征,希望在软件空间测绘、安全隐患发掘、安全现状评估等方面,贡献一份力量。
4.动态沙箱在恶意代码分析中的价值
恶意代码作为网络攻击的主要载体和表现形态,是网络安全关注的重点,也是维护信息安全的关键,亦是网络安全检测和防御的主要对象。如何对海量样本进行自动化黑白鉴定,如何从大量恶意样本中萃取攻击相关威胁情报,一直是网络安全界关注的重要问题。
动态分析沙箱作为恶意代码分析的利器,在文件威胁鉴定、样本深度分析、威胁情报提取等场景中普遍应用,但也面临着样本数量多、类型多导致分析开销大,以及沙箱分析对抗和行为触发困难等挑战。清华大学-奇安信联合研究中心研究专家应凌云结合沙箱分析系统的技术原理和工作流程,介绍了如何构建一个高效、全面、逼真、准确的沙箱分析系统,并结合实际样本案例,展示了沙箱分析系统在恶意代码分析中的作用和价值。
从恶意样本的文件类型、样本相似性等样本静态属性的维度,对样本文件进行了深度解析和统计分析。结果显示,恶意样本的种类和形态十分多元化,涉及各个硬件平台和操作系统。其中,Windows平台的PE可执行程序数量占总样本量的绝对多数,与此同时,大量的PE样本是相同家族的变种,以代码结构哈希识别样本的相似性,样本量前1000的簇所含样本数量占PE样本总量的近60%,显示在恶意样本分析中,识别和过滤相似样本十分必要。
基于天穹沙箱系统的分析结果,对恶意样本的动态行为进行了深入分析,从分析环境检测和分析对抗、漏洞攻击利用、网络访问等维度,全面分析了恶意样本的动态行为和实现方式。
结果表明,超过45%的样本会设置自启动,超过40%的样本会有各种环境检测和分析对抗行为,显示沙箱分析系统的分析环境仿真度,以及动态分析过程的透明性和系统状态覆盖率,会极大地影响动态分析结果的准确性和全面性。
5.基于海量数据驱动的网络威胁发现
“人是安全中最薄弱的一环,而所谓大隐隐于市,当人被海量数据淹没的时候,为实现大网环境中对人的刻画,将海量数据打散并整合必不可少。” 清华大学-奇安信联合研究中心研究员吴昊旻讲到。而在整合的过程中,考虑到DNS在互联网中所发挥的根本性作用,将passive DNS数据作为刻画“人”的枢纽可谓适才适所。
通过将passive DNS与蜜罐数据、黑产信息及APT信息等结合,让信息安全研究者深入了解“谁可能被攻击”、“谁已经被攻击”及“谁发起了攻击”,站在攻击者的视角俯而临下高屋建瓴,这或许可被称为建立多种数据支持平台的意义之一。
以passive DNS与蜜罐数据结合为例,考察向蜜罐投递恶意样本的被感染IP,综合该IP所碰撞出的passive DNS数据,以此勾勒IP持有者互联网访问行为特征,定位其所属地区及行业,以此推测僵尸网络规模及意向受害者为何。在上述信息的基础上,下可根据控制指令进行ddos攻击预警,上可辅助特定行业用户进行针对性防御。如何基于海量数据进行网络威胁发现,由此可见一斑。
6.工控安全多维防护,让黑客头疼的超级防护
十年前的伊朗震网(Stuxnet)事件彻底打破了工控隔离网安全的神话。近十年来,工控安全事件越来越多,涉及面越来越广,危害程度越来越大,暴露出的工控漏洞也呈现逐年递增的趋势。工控安全领域涉及各行各业,攻击面非常广泛,包括众多的工控设备生产商,各类工控设备和工控协议,而且工控协议普遍私有。
传统工控网络安全产品的白名单机制显然不能很好地防范如此广泛的攻击面。如何对工控环境进行有效的安全防护是产学研用各界普遍关心的话题。奇安信工控安全巽丰实验室负责人张钊认为,“秉承‘未知攻,焉知防’的安全理念,站在黑客攻击的角度设计安全解决方案是一种有效的方法。”围绕工控资产设备多样性,工控设备自身设计存在的安全缺陷,工控网络安全产品白名单学习时间不确定,针对私有协议的安全防护,白名单规则与工控业务的关联性,针对畸形和违反协议规约数据包的检测,机器学习与序列模式分析对比,以及工控漏洞有效性与执行时间相关等话题,从多个维度设计对应的工控安全防护解决方案。
7.新时代安全查杀的场景挑战与技术难点
随着时代的进步,越来越多的国家接入互联网,数字世界和物理世界之间的界限正变得越来越模糊,病毒的种类和攻击方式也多种多样,其所造成的损失也越来越大。网络安全威胁和风险日益突出,并有组织的高强度的向政治、经济、文化、社会、生态、国防等领域传导渗透。
新威胁的出现,要求我们在安全查杀技术上要有新的突破,我们才能看见对手,才能更好的与之战斗。安全查杀目前面临着诸多场景挑战,如物联网设备、移动支付、智能充电宝、智能门锁、智能汽车等,看似越发便捷智能的设备越容易成为黑客与病毒入侵的目标。
同时,安全查杀也面临着诸多技术方面的挑战,随着安全威胁场景多样化,和如何构建低延迟、高并发和高吞吐量的查杀引擎成当下关键。另外,大规模样本检测判定的及时性和准确性,高效的数据自动化分析与威胁情报支撑机制,也是网安行业未来发展的首要重点。
奇安信核心云平台研发部高级研发经理陈健表示,“面对以上场景与技术挑战,每家公司提供出来的解决方案都可能是不同的,更高效率更好质量的核心技术,适配了更多更复杂的场景,就能为客户提供更多的安全保障,行业竞争就越占优势。在国家战略层面上,希望安全产业能够通过交流与合作,建设起国家级的网络安全防护能力,并达到世界领先水平。”
BCS 2020大会期间进行的TSD Talk七场技术分享,场场受到了用户的广泛关注。七场技术分享的关键词物联网漏洞挖掘、零信任、软件供应链安全、动态沙箱、网络威胁发现、工控安全、安全查杀更是成为了今年BCS 2020的热词。未来,作为奇安信内部技术体系大会(TSC)倾情打造的TSD Talk,还将向业界分享更多前沿的技术理念与实践。