HanDs
NO.2

2016阿里安全峰会第二天:有哪些好玩的议题? 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

今年的阿里安全峰会招来了诸多合作伙伴,谈“聚力”和“赋能”,就像昨天FreeBuf在文章中谈到的那样。如果说峰会第一天算是阿里自己将这个理念抛出来的话,第二天的分论坛就是借由其他人之口,将这个口号坐实了。比如有些企业原本与安全行业的关系不大,却也成为嘉宾在分论坛上发言,不正是聚力和赋能的表现吗?

由于分论坛的内容实在太多(12个分论坛,而且还分设于北京国家会议中心的一楼和四楼),我们也分身乏术,所以从中挑选了几个比较有趣的话题,与大家做个简单的分享。

DSC_5150.jpg

云安全分论坛

大数据安全:用数据积累经验

如果谈大数据安全,其实大量在本次阿里安全峰会列席的厂商都有大数据方面的经验。比如盘古实验室讲演的《移动应用安全数据分析实践》,这个课题的主要内容是盘古能够通过自家的数据分析工具,来追踪Android平台上的Rootware程序——就是那些会恶意Root你手机的程序。

不过其中有一家企业在会上谈数据,吸引了很多人的注意。即北京派网软件,也就是Panabit的CEO孙朝晖演讲的主题《无中生有——基于骨干网全量应用识别的威胁情报基础数据采集》。

虽然这个标题实在是长到读不下去,不过孙朝晖在现场的数据呈现的确还是颇吸引眼球的。其实Panabit在做的是,网络应用层流量分析、带宽优化和应用管理解决方案。他们手里握有大把的网络数据。孙朝晖从头到尾不止一次谈到:我们不是安全企业。但却因为拥有大量数据,因此不知不觉积累了威胁感知的经验。

49890898984.jpg

由于并非安全企业,所以才记录所谓的“全量”日志,而不是特别针对安全企业关注的威胁数据。举两个有趣的例子,比如说Panabit能够精确锁定固网IP地址所在的地理位置。就是你在家用电脑上网,很轻易就知道你家的位置,精确度是可以到你住在哪个小区哪幢楼的。其实现方式在于,通过分析你日常相关的各种数据,比如与你相关的手机的地理位置信息,当然还有其他参考的数据类型——每天晚上你常呆的地方差不多就是你家了。

于此,安全领域常说的DNS劫持——在Panabit的流量分析中也就几乎一目了然了,因为DNS服务地理位置布局的突然变化,从地图上看非常明晰。这其实就是手握数据的威力。

DSC_5179.jpg

看PPT左下援引的那篇文章是谁家的!

再举个例子,前年磊科路由器曝漏洞。某日凌晨3点,从Panabit的这种“全量”数据来看,绿色的“unkown数据”猛增,这是显然的异常情况,集中攻击UDP 53413端口的日志也很明确。其实此时出现安全状况是必然的,不过像孙朝晖所说的:“我们不是安全企业,没办法发布安全预警。”但也为后来的全网封堵起到了很大的作用。这也是数据的威力。

除此之外,还有一些实例,比如在网络流量中明确发现某个不知名域名的连接数暴增,甚至超过BAT,或者Windows 10升级提醒的访问量,这种数据获悉,便是典型的异常情况;再比如当年的QQ空间病毒爆发,其实通过流量也是非常容易发现问题的。这也就是数据,或者大数据分析,能够给我们在安全方面带来的好处了。

身份认证:让你的签名3D化

像上面Panabit这种跟安全企业并不是那么相关的例子,在阿里安全峰会上并不少见,这才叫聚力嘛!再比如浙江大学博导徐文渊分享的,他们在做的一个相关身份认证的项目。这位看起来非常年轻漂亮的女博导演说明显就是教导学生的样子,还特别重申:其实我们在做的这个事情,在技术上与安全没有太大的相关性。

DSC_5198.jpg

浙江大学教授博导徐文渊 这场演讲时爆棚

我们上个月曾经撰文援引过Garnter对身份认证判断的趋势:密码这种东西很快会被生物计量,或者叫生物检测技术取代。就像我们所用iPhone手机上的指纹识别一样,安全性更强,而且也很方便。不存在弱口令的问题,也不需要人类去很复杂地进行记忆。

指纹识别就属于典型的Biometric技术,徐文渊将之译作“生物识别”,也就是我们所说的生物计量。其实这类技术很多样,像是掌纹识别、虹膜识别、耳朵内部结构识别、心率识别,这些都早就有产品问世了。还有行为式的Biometric,如通过一个人的走路方式来认证他的身份。

409809876666.jpg

问题是,Biometric存在一个巨大的安全缺陷,即像指纹这样的信息,一旦被黑客拖库或者叫盗用,也就意味着你被终生破解了——因为你的指纹信息无法像密码一样再重置成新的。美国就曾经发生过指纹库被盗事件(iPhone的指纹其实是存储在A系列芯片的Secure Enclave中的,理论上不存在被拖库的可能性)。

所以浙江大学在研究的这个项目叫做“三维口令身份验证技术”。理念是虽然也是生物识别,但可被更改,其实说白了就是一种手写签名的技术——很多人应该知道,很早以前普遍认知人类具有唯一性的东西包括DNA、指纹、笔迹。所以其实手写签名是个很不错的身份验证手段。但从技术上来说,其实施还是有难度的,比如说黑客的笔迹模仿如何解决,而且我们每次签名的笔迹肯定也都是有差异的,程序如何做容差。

DSC_5219.jpg

他们选择的解决方案是首先用Kinect(Xbox Kinect在开发领域的应用的确还是相当广泛)对签名动作建模、收集数据——对Kinect了解的同学应该知道,它能够实现3D建模。所以这种签名是3D的,将3D签名的特征提取出来,如手指的姿势、如何移动等,就能做到身份认证了。

在具体实现上,当然比我们想得要复杂很多了。比如解决我们两次签名存在差异,如何实现准确认证的问题,采用一种名为Dynamic Time Warping的技术,找到两次签名某些曲线的相似性等等。不过这种3D签名的麻烦程度,还是比指纹识别,甚至密码输入都还要麻烦的,不知未来是否会有普及的可行性。

漏洞挖掘:棘手的业务逻辑漏洞

FreeBuf实际上是阿里安全峰会分论坛中“安全攻防论坛”的出品方,我们给出的就是安全方面的干货了。漏洞盒子高级安全研究员陆柏廷演讲主题《典型业务逻辑漏洞挖掘》还是吸引了不少与会者前往观摩的。

4098098663.jpg

漏洞盒子高级安全研究员陆柏廷

所谓的业务逻辑漏洞,举个例子,比如说阿里安全峰会,并没有对入场嘉宾开设安检程序,这可以算是个典型的业务逻辑漏洞——这是陆柏廷开场的时候告诉我们的。实际上,在各个不同的业务场景上都可能存在这样的漏洞。比如说企业常用到的门禁卡,漏洞来源于开发人员,这是个身份认证场景。

举个比较实际的权限跨越的例子,捕获到某客户端与服务端通讯的一个Cookie Session,是这样的:

Cookie: SESSION=USER-334dsf9ref8erg390g

捕获多条之后,发现这里面USER-后面的这个数字始终是3。如果将这个数字改成2,再发往服务端,发现权限就从普通用户变为VIP用户了。这就是非常典型的权限跨越,可以想见,这个数字若为1,代表的就可以是admin权限了。

40980987662.jpg

除此之外,还有针对我们进行网上交易的篡改:比如网上下单购买虚拟币,如果仅采用局部验证的方式,那么通过篡改数据,花更少的钱买到相应量的虚拟币也是完全可行的;还有如用肯德基应用,抢兑积分或者某款产品,通过并发请求(甚至都不需要做什么复杂的,进行非常快速的点击都能成功),原本限定一个人仅一次的机会,变成了多次。

要解决这些问题,看似毫无头绪,但如果能够针对业务场景建模,对业务流程进行梳理,以及进行风险点识别,还是能够起到很大作用的。这其中业务场景的建模,需要具体问题具体分析,就算是相同的行业、相同的业务系统,业务场景实际上也会有差别;不同的行业就更不用说了。然后采用已知风险对照,或者STRIDE分析法,进行风险点识别,比如上面谈到的交易可被篡改的情况,做出改进。

威胁情报:用蜜罐收集情报

阿里安全峰会分会场中有个比较有趣的存在,即“创新沙盒论坛”。这个论坛会有初创企业的负责人在限定时间内进行演讲,结束后还要接受现场嘉宾的质问,整个论坛结束后再进行评选。我们在其中关注到一个很有意思的项目叫“幻云”。

4980989084.jpg

锦行网络安全研究员胡鹏

做幻云主题演讲的是锦行网络安全研究员胡鹏。这家公司所推的幻云,实际上也是款安全产品,我们几乎可以将之类比为“蜜罐”。会看到这儿的小伙伴应该对蜜罐不会陌生,这东西是故意吸引黑客前来攻击的、伪装的目标,能够很大程度用来收集情报。幻云差不多也是如此,不过因为已经升级到企业产品,所以在实现上显得更有针对性。用胡鹏的话来说:

“幻云的第一步就是为攻击者提供很好的体验,让他们在场景中很好地展示自己。”

不严谨地说,幻云其实就类似于一个深度交互的蜜罐。比如说将这个蜜罐放在企业网络中,其中的很多业务数据都对这家企业进行了仿真,而且是动态的。这样一来,黑客进入蜜罐看到企业的业务数据也会很开心,并且“很好地展示自己”。

DSC_5250.jpg

按照胡鹏的说法,幻云是按照客户的业务特点来搭建环境,所以就攻击情报的收集这一点具备了不错的优势,胡鹏称之为“上下文环境”优势,其实就是contextual,甚至引导攻击者看到企业想让他看的东西。利用这些威胁情报,企业不仅可以分析攻击行为,还可以更有针对性地应对未来的攻击,甚至预测攻击者的攻击意图。

比如索尼可能很关心今年圣诞节是否还会不会受到攻击,这其实是幻云期望能够做到的事。如果实际使用中真能达到胡鹏所述的理想效果,威胁情报才真正显得有价值。

机器学习:算法是核心

要说针对安全问题的发现,或者针对风险的监控,现场听来最高大上的就是机器学习了。如东巽科技CTO李薛演讲的主题《机器学习在恶意样本检测方面的实践之路》,还有杭州邦盛金融技术总监孙斌杰谈的《利用机器学习进行业务风险实时监控》。

机器学习这些年虽说已经有了长足的发展,在很多人看来却依旧有些遥远。其实在听这两个主题的过程中,现场的很多观众也多少会有这种体会。这两位技术大神现场都把主要精力放在了对机器学习算法的探讨上——虽然没有谈很具体,还进行了各种类比的解读,从策略方面大致地谈算法,却仍旧让很多人听来一头雾水。

DSC_5267.jpg

东巽科技CTO李薛

尤其李薛还说到在进行算法调优过程中做出了众多努力,还是遇到了重重阻碍。比如说当针对机器学习算法研究过于深入的时候,会陷入“过拟合”的问题中,即考量的特征集过大,模型过于复杂——所以就有了解决过拟合问题的方法;再比如研究算法过程中遭遇到不平衡数据集的问题,光听着这名字就已经让人头疼了。

而且实际在算法产生以后,真正考虑应用到业务的时候,在这里自然就是进行恶意样本的检测了,还是遭遇了大量的问题。用李薛的话来说,是“还是有很多坑”,都需要一一解决。比如加入聚类算法,对木马、蠕虫、广告,甚至更细的维度进行分类;还有对输入数据的优化、将维去噪等等。

DSC_5272.jpg

杭州邦盛金融技术总监孙斌杰

孙斌杰在谈自家产品的时候,也大量提到了算法策略,虽然他谈得比较抽象——针对“利用机器学习进行业务风险实时监控”的问题,比如在网上交易过程中,如何划分那些存在安全问题的流量是个问题。我们想要通过画一条线的方式来彻底对合法和非法流量进行划分,想想都觉得不可能,但通过决策树反欺诈策略还是有搞定的希望,多划几条线,就可以将这个范围缩小;或者通过支持向量反欺诈策略,即划出更多的维度来,还是有画条线切分两类数据的可能性…说得如此抽象,我们大概也很难参透具体实施过程了。

其实孙斌杰在谈自家企业过程中,说了内部人员组成。似乎若真的去搞机器学习,则需要各方面的人才,比如他谈到搞这套系统需要考量针对机器学习运算的硬件GPU加速——这恐怕是很多安全人才根本就不曾涉足的领域(GPU通用计算!)。

虽然最后机器学习这部分,我们似乎都没有往安全的方向谈什么具体的东西(因为机器学习若扩展到其他领域,大抵上也有类似的困惑)。不过总结到一个点上,恰是因为这种复杂性,我们才说现在的安全需要“聚力”和“赋能”嘛,谁又能凭一己之力将安全的万事搞定呢?

* FreeBuf官方报道,本文作者:欧阳洋葱,


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
2016 阿里安全峰会第二天 有哪些好玩的议题
#1楼
发帖时间:2016-7-19   |   查看数:0   |   回复数:0
游客组