未來互聯網安全的攻防趨勢在哪裡?
本題來自知乎圓桌 ? 白帽黑客與安全,歡迎關注討論。
既然註冊到了組織賬號,那就從公司角度來談一下對這個問題的看法。
題目問的是「未來互聯網安全的攻防趨勢在哪裡」,目前高票的幾個答案主要從攻擊的角度來看這個問題,那麼我就從防護的角度來談談這個問題。
先貼個圖:
ImageMagick 漏洞出現的時候幾乎橫掃整個互聯網,各種所謂的未知威脅感知設備全部失效。
再貼個圖:
新的攻擊手段遠遠超出你當下考慮的範圍。
從現在的角度來說,攻防之間的差距在逐漸拉大,但會出現豬豬俠所說的「搞攻擊研究的帶著黑科技不再出現在這個世界,讓搞防禦的沉浸在自娛自樂中無法自拔」這種情況嗎?
我覺得不會。
首先從觀念開始,要接受「沒有一勞永逸的安全防護手段,安全是個持續對抗的過程」這樣新的安全觀念,從只做防護變成從防護開始,做防護、檢測、相應的全生命周期的網路安全防護方案。
繼續貼圖:
在這種狀態下,才可能和攻擊手段日新月異的攻擊者產生一些抗衡的可能,因為一些防護的邊界(基於規則特徵的落後的安全防護手段)太好繞過了,而且我們曾發現過很多安全防護設備的漏洞,能把防護設備變成進入內網的入口,而國內目前內網的防護都比較薄弱,對於大多數企業,進入內網幾乎就可以橫行無阻。
轉換了觀念之後,還要有更加先進,更加智能的防護設備來構建新的防護體系。
從 WAF 這樣一個出現多年的防護設備來說,絕大多數還在使用在2005年就被證明存在理論缺陷的正則表達式引擎做規則處理,是不是有些過時呢?
BlackHat 2005, Hansan 和 Patterson 從理論上證明了基於正則的規則
系統一定會存在誤報或者漏報 (鏈接:
http://www.blackhat.com/presentations/bh-usa-05/BH_US_05-Hansen-Patters
on/HP2005.pdf)
對於 WAF 這樣一款產品來說,我們認為它未來的發展趨勢是這樣的:
1. 精細化處理的智能語義理解的檢測引擎會逐漸代替傳統規則集
2. 逐漸拋棄邊界護城河一勞永逸的想法,擁抱感知、監測與快 響應
3. WAF也參與到安全產品全面動態聯防,形成立體防禦體系
而我們自己也在這個方向上做出了我們的努力:
2015年上半年,長亭完成 SQLChop,證明了針對 SQL 注入的語義分析是可行的(阿
里安全峰會、BlackHat 2015 USA Arsenal都做了展示)
2015年下半年,XSSChop 也順利完成,實現了 XSS 的精細化語義分析
進一步實踐證明,PHP代碼注入、PHP反序列化、Java反序列化等都可以進行語義分析,獲得更好的檢測結果
不添加規則就可以直接防護未來各種 Java 框架出現的 0day 漏洞?我們可能可以做到。
另外我們還有在內網利用偽裝欺騙技術來和黑客進行對抗的諦聽系統,目前也幫助我們的客戶發現了多起的未授權入侵事件。
在有了更加智能的安全設備之後,我們需要把他們之間打通,讓他們協同聯動起來,我們目前有了一些小成果,相信繼續做下去能產生很棒的結果。
最後一點,在有了更加智能的設備並且把他們連接在一起之後,我覺得能在很大程度上化解攻防之間不對等的鴻溝,實現安全防護變被動為主動。
通篇硬廣告,最後再來一條吧:
歡迎喜歡網路安全,願意在這條路上踏實長久走下去的同學,歡迎發簡歷給我們,hr@chaitin.com
招聘職位見:
加入我們 - 長亭科技
網易新聞未經許可轉載,你告訴我一聲啊,我又不會要你錢。
我的看法是:
1.未來的趨勢不是創造新的攻擊手段,而是對手段進行綜合利用。當然,這裡的手段就包括前面有些知友提到的社工。
2.移動設備將會在互聯網攻防中佔有相當大的比重。
先分析第一點:
隨著互聯網的發展,越來越多承載機密數據的系統接入互聯網,未來的互聯網安全攻防我認為會逐漸聚焦於對攻擊手法的綜合利用,從而達到入侵、竊取、劫持目標數據的目的。我這裡就以APT攻擊為例了。下圖為APT攻擊頻率的折線圖,圖片來自網路:
可以看出,自08年以來,APT攻擊的頻率直線上升。
APT攻擊已經不是什麼新鮮事了,也有知友評論說APT是近期我們過於關注或炒作的內容,但是深究其原因,我認為APT「冷飯熱炒」是和現在的攻擊手段相關的。
從技術原因來看,APT逐漸熱門的原因:一是因為隨著網路從業者對安全越來越重視,傳統的單一網路攻擊手段正一步步的失效或降低威脅(雖然SQL注入和XSS等攻擊在發生後仍會對目標產生極大的破壞,但是現在進行這些攻擊已沒有以前那麼簡單了,這得益於安全工作者的付出);二是現階段的攻擊手段也在向長時間、多批次、多方面發展。
熟話說「不怕賊偷,就怕賊惦記」,再慎密、再安全的保護工作,也總有其出現破綻的地方。而APT攻擊恰好能抓住這一破綻(如管理員的一次誤操作、內部人員郵件操作失誤、新的0day爆出等)並通過長時間的踩點發起猛烈的一擊。從人的角度來看,現在的黑客也往往會組成一個分工明確的團隊,通過不同方面的攻擊找出目標系統最薄弱的環節。
APT攻擊之能夠熱門,並不是因為APT有多麼神奇或者有「指哪打哪」的效果,而是由於APT能夠對目標展開多方面的攻擊。正如我上文所說,目標防禦中某一環節(哪怕是極小的環節)的失誤,就能夠讓APT攻擊者有機可乘。
舉個例子,以前如果我要對一家公司的網路進行滲透,我可以採取的方法有:
1.
注入——為了完成注入,我要去嘗試各種規則、轉義的繞過,要去找注入點,要去構造SQL語句,這本身就是一個巨大的工作量,如果再要靠盲注,那工作量就更大了;
2.
越權——我可能要去做大規模的測試、或者去分析源代碼(如果有的話);
3.
上傳、XSS、CSRF等等——也需要做大規模的測試、或者分析源代碼;
4.
0day——這個可以有,而且比較輕鬆,如果能獲取0day的話;
5.
釣魚、社工等等——又是巨大的工作量。
6.
等等等等
也就是說,如果我只採取單一的攻擊手段,一方面工作量巨大,另一方面還有可能在經過百般嘗試後無功而返。
但是APT不同。通過案例分析,APT通常為一個組織作案,採用各種手段,而且由於APT攻擊的持續時間可能很長(主要應該是踩點和信息收集的時間,也就是潛伏期),完全可以允許攻擊者「守株待兔」,在對具體APT攻擊案例的分析中我們可以發現,APT攻擊的精髓已經漸漸地遠離「純技術」層面,開始逐漸變成了社工+黑客技術的混合體。
在APT攻擊中,攻擊者甚至不需要做太多的技術層面的工作就可以輕易達到攻擊效果。如:攻擊者可以精心收集目標網路內人員的上網習慣,了解其經常訪問的網站、經常使用的應用,從而可以「曲線救國」進行水坑攻擊;同時,可以通過長時間的對目標內部人員大量進行釣魚,如惡意附件郵件等等;對Web進行攻擊,然後以Web為跳板攻擊目標;利用欺騙等手段對員工伺服器發起攻擊。
可以看出,這些攻擊手段已經不再單一,而是各種傳統網路攻擊手段和社會工程學的統一。這種攻擊的可怕之處在於:只要目標一個細節沒有處理好,就可以造成目標網路的失守。
一些案例還同時展現出了一些有趣的地方:在針對中國政府海事機構的APT攻擊中,「海蓮花」使用了如下惡意附件誘導政府工作人員打開[1]:
作為一個境外的黑客組織,竟然對我國公務員關心的事件和我國發生的熱門事件如此了解,說明其組織內部還有一批精通我國語言和時事熱點的人員(笑)。所以我說,未來的互聯網安全攻防會逐漸聚焦於對攻擊手法的綜合利用。
關於移動設備的分析,等有空再來填坑吧。
[1]引用自wooyun:「海蓮花」APT報告:攻擊中國政府海事機構的網路空間威脅
從烏雲上的案例來分析,攻防雙方關注的維度拉得越來越遠,兩級嚴重分化,「攻擊和防禦」的研究方向(意識和思維)可能還沒有發展到全面對抗交鋒的層面上,現狀只是在點和面上爭輸贏。就好像你在北方大修特修長城,別人直接從渤海開船繞到你後方。
我想未來的趨勢會是:「搞攻擊研究的帶著黑科技不再出現在這個世界,讓搞防禦的沉浸在自娛自樂中無法自拔」,兵法有云:「知己知彼,百戰不殆!」,對手隱藏行動,沉寂修鍊,防禦方失去了方向才是最可怕的對吧?
做防禦的自持擁有海量日誌分析技術,攻擊特徵攔截技術而自豪的時候,他們可能還不知道攻擊方已經偷偷的實現了機器自學習的完全自動化攻擊手段(下面是附圖)。
未來,我們面對的對手都是信息挖掘、資源整合的高手,我們不知道他們現在已經掌握了多少資源,但從我了解的情況來看,結果非常不樂觀,一旦遭受攻擊,後果將是災難性的。
對於處於防禦場景的甲方,有時候你只要被黑一次,只要被駭客帶走的信息足夠多,他們下次依然能夠藉助以往獲取到的信息再次黑進來。
附帶兩個視頻,你們感受一下:
demo1—在線播放—優酷網,視頻高清在線觀看視頻demo2—在線播放—優酷網,視頻高清在線觀看視頻
未來互聯網的攻擊具有趨利性質,越是能產生經濟效益的行為就越頻繁。
未來遭到威脅最大的應該是物聯網。 物聯網是一個比互聯網規模大數十倍的網路,而且智能物體深入生活的方方面面。具有攻擊面積大,攻擊影響深遠的特點。而很多物聯網用戶(90%)都是為了方便生活而部署了智能化家居,安全意識薄弱,很輕易即可被不法分子利用,從而開展詐騙、威脅、竊取等行為獲取經濟利益。 在利益的驅使下,會有越來越多的人去從事這一威脅。
從整體來講,還是比較贊同王音的看法:
搞攻擊研究的帶著黑科技不再出現在這個世界,讓搞防禦的沉浸在自娛自樂中無法自拔,做防禦的在以自己擁有海量日誌分析技術,攻擊特徵攔截技術而自豪的時候,他們可能還不知道攻擊方已經偷偷的實現了機器自學習的完全自動化攻擊手段。
當然,社會工程學也會日益頻繁。
作為一個烏雲挖漏洞的來講,個人肯定會偏向於漏洞的自動化腳本挖掘去實現。
作為一個某甲方的安全入侵分析的來講,個人肯定偏向於利用公司海量日誌的匹配規則去分析入侵。
然後,就會發現:
烏雲提交了很多客戶的洞,我們的海量日誌匹配規則居然沒有發現命中?系統未發現入侵,被成功繞過了。具體案例可以去烏雲找找看。
客觀地來說,BAT3里應該很多人佩服王音所展現的技術效果,但不會去贊同/感謝其觀點:
你打他臉他就不願意,或者可能還會影響某些人的kpi對吧。大部分人把集體/團隊的牛逼嫁接到自己身上,他就不認為你的腳本有什麼高級的。
很多人在為了牛逼而牛逼的目的自豪。
你看,問題出來了吧:
攻防已經不在一個維度了,兩極分化的發展了。
從入侵分析來看,在儘力去擁抱變化,彌補缺點。但其他同事不敢苟同。
攻擊越發複雜化,APT團隊分工明細,攻擊面廣,且攻擊者只需要攻破一點即可成功。防禦方處於劣勢,因為往往防護的面會很多。所以,APT攻擊的火熱從另一方面也逐漸改變了防禦方的思路。這種思路是集中力量保護重要資產,即有取捨,因為全面的防護是不可能的,若干安全公司本身被攻破就是很好的例子。
防禦方中,有個詞很新鮮,叫安全情報分析和情景感知,國外目前已經有了成熟的產品公司,比如Palansir公司,據說客戶全是華爾街和華盛頓的......
情報分析要求防守方不僅僅要收集傳統的安全數據信息,如waf、資料庫、IDS的log,更強調廣泛的部署數據收集節點,做深度的數據分析並發現模式,即數據驅動安全(Data Diven Security)。對於APT這種時間拉得很長的攻擊模式,情報分析應該算是最好的方式。
未來的攻擊必定以APT為主流,且攻擊層面更加廣泛;而防守方則要將大數據和安全結合,這是趨勢。
人性成為APT防範最薄弱一環,黑客的「社交工程」為何屢屢得手
對於很多網路管理員來說,防範APT攻擊最大的障礙往往不是黑客採用了什麼先進的攻擊技術,而是員工的好奇心。很多員工會在好奇心的驅使下,點開他們收到的帶有色情或驚奇噱頭的郵件、文件、鏈接,結果就像是「好奇害死貓」一樣,公司網路被APT攻擊成功攻陷。對此,亞信安全建議所有企業將員工培訓作為防範APT攻擊的重要一步,從抑制人性弱點著手強化企業的安全防線。
社交工程攻擊愈演愈烈 對人性了解愈發精準
黑客很早就找到了利用人性缺陷傳播惡意軟體的訣竅,早在15年前,著名的「庫爾尼科娃」蠕蟲病毒誕生。這個病毒的特點在於,其生成帶有俄羅斯網壇美少女庫爾尼科娃的精美圖片,這引發了很多人的好奇並點擊。但實際上,該病毒為一蠕蟲病毒,收件人一旦試圖查看所謂的庫爾尼科娃圖片,病毒就會侵入電腦並自動複製,將此附件檔案傳送到電子信箱通訊錄上的所有收件人,進而癱瘓電子郵件伺服器。
更大的問題在於,很多人在明知存在惡意軟體風險的情況下,依然抑制不住自己的行為,在遇到這些工程陷阱時依然毫不遲疑的上鉤。在「庫爾尼科娃」蠕蟲病毒事件中,有些用戶甚至抱怨殺毒軟體查殺了這些病毒,導致他們無法看到郵件中的誘人圖片。即使在十五年後的今天,仍然有很多人在搜索引擎上輸入相關的關鍵字,尋找那張存在、或者不存在的裸照。
在過去十五年中,黑客的社交工程技巧已經有長足的進步。雖然現在用戶對於不明來歷的電子郵件普遍都存有戒心,但是黑客正在不斷開闢新的戰場。如今,誘人產生好奇心的誘餌已經出現在網站、社交軟體、移動設備上,而且誘餌已經不限於色情、驚奇的信息,而是包括諸如「工資單」、「對賬表」等名頭,黑客總是想盡辦法要讓使用者點擊布滿惡意代碼的鏈接。
人,社交工程的第一道防線
這些年來,即使手法已經有所不同,但社交工程攻擊的基本原理還是離不開人性的弱點,這些弱點在過去十年並無太大改變,未來也不太可能有所差別。在數據泄露漸漸「常態化」的今天,社交工程被黑客廣泛應用,並且整合在APT攻擊中,發揮到極致。
對此,亞信安全APT安全專家白日表示:「員工應當是第一道防線。對員工展開社交工程防禦的培訓,以及有針對性地進行滲透測試,不但可以讓員工增強對社交工程攻擊的抵禦能力、了解企業安全策略,更是數據威脅治理的重要組成部分。另外,企業應採用領先的技術解決方案來不斷提醒用戶、有效發現和攔截攻擊、並避免業務影響。」
白日強調,要抵禦社交工程攻擊,首先就要教育員工充分了解安全環境及企業的安全策略,但僅靠一些枯燥的專業說教幫助並不大,員工們需要實實在在的案例。因此,使用模擬的社交攻擊情景練習是上上策,讓員工真實體驗到受害者當時的心態特徵和心理活動,可以幫助員工在工作場景中降低「好奇心」。
原文閱讀:http://security.zdnet.com.cn/security_zone/2016/0223/3073102.shtml
HTML5展示鏈接:
http://eqxiu.com/s/KDIbUrvm
官方網站鏈接:
http://www.024safety.com
自動化挖二進位漏洞,機器學習,大數據,多種攻擊向量
互聯網安全的趨勢,應該是以威脅情報為中心的。
Gartner的網站曾提出過一種荒謬但卻真實的用戶案例,大體的事件過程是這樣的:
- 購買DLP產品並部署;
- 組織被黑客滲透並且數據被盜;
- 組織啟動防數據泄露的項目;
- 新的項目中DLP技術不在處於中心環節甚至不再出現。
引用Gartner分析師的話,就是出現沒有DLP技術的DLP項目趨勢。這些項目的重心往往是網路流量為中心的安全分析。
不考慮Gartner發現的這種趨勢,我們回想一下身邊的案例,無論是國內的網易郵件賬號風波,或是索尼的T級別數據被盜,都值得深思,我們最需要的是什麼?安全的一個重要原則在於簡明,某種部署、運維過於複雜的安全系統並不能給用戶帶來真實的安全性,更多的也許是一種幻象。在基礎安全措施(如:身份認證、訪問控制)之上,用戶最需要的也許應該是一種基於威脅情報的網路流量分析系統。之所以是基於網路流量,是因為它相對於終端更易於部署維護;之所以基於威脅情報,是因為它已經成為新形勢下安全檢測無可爭議的中心。
IDS時代的檢測技術以攻擊特徵為中心,難以平衡漏報和誤報;隨著而來的是以漏洞利用為中心的檢測技術,在對抗逃逸技術的基礎上還能帶來極高的精度,由此我們進入了IPS的時代,但隨著更多的0day攻擊出現,我們發現漏洞總是層出不窮,需要新的方法;啟發式檢測,存在和攻擊特徵方式同樣的問題;基於異常的檢測,在現實的生產網路中正常模型的建立是那樣的遙不可及。不斷的摸索中,我們隱隱看到了一扇門,這條道路用新的大數據IT架構為基礎,銘刻著深深的印記:威脅情報。
威脅情報是基於證據的,有關已知或新的威脅或危險的知識,包括環境、機制、指標、影響和活動建議,能夠作為應對此威脅或危險的決策依據(參照Gartner的定義)。威脅情報不排除簽名檢測,有些情報就可以轉化為簽名,並可以給相應的報警賦予更有價值的優先順序排序;威脅情報也不排斥異常檢測,相反它可以使異常檢測更加成熟可用,產生更有安全價值的輸出。
威脅情報也不僅僅用於檢測過程中,在安全體系設計中,在事件響應中,威脅情報都發揮了不可或缺的作用。在安全體系設計中所犯的錯誤,往往不是因為對業務及人的心理把握不足,就是因為對威脅情報的收集有缺失。在事件響應中,要對事件進行定性,作出決策判斷,依賴的也是威脅情報。
更多的是大數據帶來的風險利用和防禦吧
誰去重寫協議棧吧。只要有介面,就能利用。還有防社工。。
攻防趨勢和互聯網業務發展是對應的,安全一直是和核心業務一起發展的。
對企業來說,基於雲的網路基礎設施進一步流行,企業網路設施的信任邊界由防火牆內移動到了防火牆外,對認證和許可權管理方面的需求在增長。對消費者來說,身份信息的濫用是個當前很嚴重的問題,還有物聯網各個環節的安全都很重要。個人感覺吧。目前是移動互聯網,下去還有物聯網上智能終端現在安全很薄弱,小眾一點的就是工控啥的。
攻防的弱點在於人的安全意識
人類與機器的戰爭早已開始。戰爭中雙方反覆爭奪的一個制高點將是「許可權」。網路空間和人類生活的空間早晚被物理化打通,一旦打通則網路空間的邪惡主體將會有機會控制我們的空間。不妨大膽設想一下:面向過程 =&> 面向對象 =&> 面向物理。物理化到一定程度,駭客帝國就出現了。不要說人類造不出勝過人類的智慧體,這只是早晚的事。我們絕不能讓機器控制人類的事情發生!這是我們肩負的偉大使命。我們必須確保「許可權」被牢牢的把控在人類手中。 人是最高的主體,在人之上不允許再有主體。
推薦閱讀:
※目前還有哪些懸而未解或是非常棘手的互聯網安全難題?
※Web 攻擊在整個網路攻擊體系中的地位和作用是怎樣的?
※現在的 SSL 加密技術,預計多少年以後會被輕易破解?
※如何看待小米論壇被拖庫?
※家用路由器會遭受攻擊嗎?