12月下月的上海，有些綿長清寂。

而 FIT2018 大會現(xiàn)場，卻充斥著色彩斑斕。除了燈光音樂以及各色雞尾酒，數位白帽的分享也讓人應接不暇。

這是一場“磁變”，Alpha Go 熱潮堪堪褪去，其代表的人工智能時代剛剛開始。在此期間，信息泄露已成常態(tài)，安全事件高潮迭起，勒索軟件接踵而至，后門、入侵，各家廠商紛紛淪陷。傳統(tǒng)防御手段無法抵御層出不窮的攻擊，安全行業(yè)更需要新的思路。

AI磁場正在改變安全行業(yè)，探索安全的新方向。

AI＋安全

“人工智能會成為未來的基礎設施?！倍废罂萍糃EO袁勁松表示，而在安全領域，AI也早有應用。比如從前的垃圾郵件識別就用到了機器學習算法。事實上，在傳統(tǒng)的九大安全領域——包括反欺詐與身份管理、移動安全、安全自動化、行為分析與異常檢測、物聯(lián)網安全、應用安全等方面，AI都能夠發(fā)揮自己的優(yōu)勢。除此之外，隨著大數據的發(fā)展，其在安全方面的應用也愈加廣泛。

當然，AI 技術在安全領域的應用與其他任何技術一樣，都具有雙面性，在解決某些困境，抵御威脅的同時也會被黑產利用，成為網絡攻防戰(zhàn)中的一部分。

AMP端點與威脅智能認知

隨著移動互聯(lián)網、物聯(lián)網等的發(fā)展，越來越多的設備接入網絡，成為網絡中一個又一個端點，這些設備在給生活帶來方便，給企業(yè)帶來效率和利潤提升的同時，也成為了病毒滋生的溫床，為黑客入侵提供了更多的入口。端點威脅的分析和防護成為了當下安全領域研究的重要課題之一。

除此之外，黑客在進行網絡攻擊時，都會通過一定的技術加密隱藏、偽裝攻擊行為，以欺騙、繞過防御檢測軟件。Gartner 認為，2019 年將有一半的惡意軟件活動采用某種加密技術來掩蓋惡意軟件傳送、命令和控制活動或數據泄露。而目前，大多數組織都不具有可檢測到加密流量中的惡意內容的解決方案。

思科安全全球 SVP Jeffrey Richard Reed 現(xiàn)場進行了《深度學習感知、智能協(xié)作的創(chuàng)新安全架構》的主題分享，表示在任何時候，互聯(lián)網環(huán)境的安全都只是暫時的，每一次威脅從發(fā)生、檢測到響應直至解決問題都需要一個過程，我們持續(xù)的努力正是為了盡可能縮短這個過程的時間。而人工智能與數據分析在高級威脅檢測中的作用就是：端到端可視性、多層機器學習、ETA 擴展NetFlow。

思科認為，從發(fā)生威脅，到檢測威脅，再到安全響應，整個環(huán)節(jié)的時間要足夠短才能夠保證安全。而要縮短響應時間，不能依靠傳統(tǒng)的方法。在思科 Stealthwatch 和 Stealthwatch Cloud 中就應用了機器學習檢測加密流量中的安全威脅。加密流量分析(ETA)并非解密加密協(xié)議而是采集大量數據，利用機器學習技術尋找流量包特征，并且對威脅進行分類。

構建威脅情報互聯(lián)、高交互的安全神經網絡

道高一尺，魔高一丈。

近年來 AI 在惡意軟件、網絡攻擊的應用愈發(fā)嫻熟，可想而知，未來攻擊鏈會更為復雜。Fortinet 的全球安全戰(zhàn)略官 Derek Manky 從威脅環(huán)境的發(fā)展進程進行了大膽的預測，他認為具備自我學習能力的 HiveNet 與 SwarmBot 等類僵尸網絡病毒、下一代 Morphic 惡意軟件等會在未來崛起。除此之外，未來攻擊鏈會更加復雜。從計劃、入侵、擴展、聚集到滲透，都需要預防，而作為防御方，每個階段都將用到人工智能與機器學習。 

人工智能與黑客帝國

還記得《黑客帝國》嗎？

故事的開頭，人類和機器（AI）展開一場末日對決，而人類很快潰敗。那時候的機器是依賴于太陽能的，于是人類設法用覆蓋整個地球的黑云屏蔽了陽光，試圖以此阻止機器。結果卻絲毫也沒有起到作用，人類依舊完敗。

影視劇場景不乏夸張成分，但依然折射出世人對 AI 高度發(fā)達的進程中人類地位的擔憂。未來，究竟是人類統(tǒng)治世界，還是 AI 機器人統(tǒng)治甚至干掉人類？

知道創(chuàng)宇 CEO 趙偉以《從機器人大腦到黑客帝國：安全AlphaGo離我們有多遠？》為主題，從一個悲觀主義者的視角想象了一個強人工智能出現(xiàn)后，人類被機器統(tǒng)治的世界。在《西部世界》中，弱人工智能在人類制造的困境中不斷學習覺醒，最終發(fā)展成為強人工智能，并對人類產生威脅。這與安全行業(yè)的攻防發(fā)展，也頗有點相似之處，趙偉認為，人工智能的發(fā)展速度超乎想象。

我們現(xiàn)在還處于弱人工智能時代，未來強人工智能的能力不可估量，強人工智能可以解決開放問題。與目前的識別功能不同，未來的強人工智能可能是為了戰(zhàn)斗而學習。如果你一手掌握了數據,一手掌握了強人工智能，你將成為上帝本身。

趙偉認為，人工智能的發(fā)展速度超乎想象，而人們在發(fā)展技術的同時，也許應當對自然和科技都抱有敬畏之心，同時，也關注自身的安全與覺醒。

解鎖場景化風險感知

如果你有關注不久前剛更新的 OWASP Top 10 2017，就會發(fā)現(xiàn)新增了三個不甚眼熟的復雜新威脅。

無論是不久前 Uber 的數據泄露事件還是大疆漏洞的獎勵，可以看出攻擊正在向底層發(fā)展，前端框架、WEB 框架、 存儲組件等技術組件都經歷了一定的發(fā)展，而與技術組件關系最緊密的認證授權流程，也日漸復雜。

斗象科技聯(lián)合創(chuàng)始人兼 CTO 張?zhí)扃饕浴洞蟮乐梁啠航怄i「場景化」風險感知》為主題，在攻防對抗現(xiàn)狀愈加嚴峻的情景下提出把資產作為線索，構建資產基線，依然能夠讓攻擊和風險有跡可循。

解構 Hadoop 安全攻防技術

Hadoop 是一個開源框架，它允許使用簡單的編程模型在計算機集群中對大型數據集進行分布式處理。大數據時代下，Hadoop 成為各大企業(yè)處理數據的首選。

然而，Hadoop 沒有成熟的安全機制，如設計之初并未過多考慮安全性問題，對于安全配置默認不開啟，以及開源組件的問題等，因此的安全性是飽受爭議的話題之一。觀數科技尖針實驗室負責人王鵬鳴就以《解構 Hadoop 安全攻防技術》為主題，先通過自行定義 HADOOP_USER_NAME 變量(web端在URL后添加user.name)冒充任意用戶的案例展示了其存在的大量漏洞。

另外，如何攻破 Hadoop 集群進行遠程控制？

王鵬鳴概括為六步，首先啟動 msf 攻擊框架，隨后生成一個后門 test.pay|oad，然后提交 Hadoop 任務，之后執(zhí)行后門回連端口，運行后門返回系統(tǒng) shell，獲得最高權限。

他還提到，大數據的常見保護思路包括：邊界模式、架構模式、數據模式，各有各的優(yōu)劣。而理想的大數據安全解決方案應該從合規(guī)性、數據治理、安全事件、敏感數據四個層面考慮。

智能外設入侵汽車網絡

Hack Demo 環(huán)節(jié)當屬是整場的高潮，安恒海特實驗室研究員 GeekPwn 名人堂選手張凱和徐凱翼在現(xiàn)場演示環(huán)節(jié)中，場外研究員將一個小巧的攻擊裝置放到汽車上后，場內的研究員便通過短信指令讓汽車熄火。

黑客遠程操控汽車早就不是新鮮事了。不論是被無數黑客拿來開刀的特斯拉，還是被黑上癮的寶馬、奔馳，只不過這次有了新花樣。

雷鋒網不久前也報道過OBD車載盒子被爆漏洞，任你老司機也要翻車，實際上此次黑掉汽車有一個“中間人”—— OBD 車載智能盒子。

OBD盒子輸入輸出的邏輯是——發(fā)動機是汽車的心臟，OBD 盒子的心臟則是盒子里面的 MCU，它將汽車各個 ECU 通過 CAN 總線經過 16 針口的數據經過加工分析，然后通過藍牙（或其他連接方式）輸出到手機 App 上，通過手機呈現(xiàn)給車主。

也就是說，車機本身可以連接在汽車系統(tǒng)里，且多會提供手機 App 控制功能，雖然這些 App 并不會執(zhí)行某些惡意操作，但是卻丟出一條路來，一旦沒有封好就會被壞人拿走控制車輛的權利。

而安恒海特實驗室研究員的破解便是利用了這條通道，OBD 盒子漏洞成為了一個攻擊入口，通過該攻擊入口向車內網絡發(fā)送攻擊指令，實現(xiàn)入侵。

 

路由器寬帶帳號密碼便攜式竊取攻防實驗

在這場攻防實驗開始前，先是一段情景劇。

住在單身公寓的小玉妹紙記性不太好，不小心忘記了自家路由器的密碼，此時又趕上周末，維修人員休息。無奈的她抱著試一試的心態(tài)敲響了隔壁白帽子大神的門（沒錯，男一號就是議題演講者 360 天馬安全團隊安全研究員楊蕓菲），而大神也很樂于助人，只用一只手機就幫妹紙獲取了密碼。

這個情景劇當然不止是展現(xiàn)一種撩妹手段，更為楊蕓菲以《路由器寬帶帳號密碼便攜式竊取攻防實驗》為主題的演講鋪墊。實際上，路由器帳號密碼獲取過程主要是利用 PPPoE 協(xié)商過程的漏洞，通過手機建立 PPPoE 服務器，然后強制路由器使用存在漏洞的 PAP 協(xié)議，從而獲得密碼。

實際上，目前還有很多協(xié)議，包括常見的 GSM 和 GPS 都還存在問題，之所以沒有修復是因為更新迭代的成本太高，難度太大，因此需要各方共同努力，提升這些缺陷協(xié)議的安全性。

不過楊蕓菲也表示，在一般場景下，針對普通家庭寬帶進行攻擊需要在物理接觸到路由器條件下才能實現(xiàn)，因此具有一定門檻，用戶不必過于擔心。

 基于Unicron-Engine的開源Windows可執(zhí)行文件沙盒實現(xiàn)解析

Comodo 反病毒引擎研發(fā)技術負責人，F(xiàn)reeBuf 年度作者王偉波分享《基于 Unicron-Engine 的開源 Windows 可執(zhí)行文件沙盒實現(xiàn)解析》，unicorn-engine 是一個基于 QEMU 的 cpu 模擬執(zhí)行框架，具有支持多平臺多指令集，支持多語言接口調用，運行速度快等多重優(yōu)勢。

而本次議題的主角 wxemu 就是一個基于 unicorn-engine 的可執(zhí)行文件沙盒。經過原理介紹后，王偉波現(xiàn)場演示了 xshell 在 wxemu 沙盒中的運行過程，通過 wxemu 沙盒能夠高效便捷地在沙盒中運行可疑文件提取關鍵信息。

GDI魔術：漏洞利用中的利器

滴滴美國研究所 nEINEI 帶來《GDI魔術：漏洞利用中的利器》，GDI(Graphics Device Interface )是微軟為應用程序提供圖形設備接無關的一組API。

Nt 早期版本將窗口管理和圖形系統(tǒng)運行在用戶地址空間，導致性能問題，從 NT4.0 開始將窗口和圖形移到內核態(tài)。nEINEI 先以 Bitmap 的利用為例來講解。要翻轉利用 Bitmap 漏洞，首先要控制指針。2015年Keen Team 的研究人員提出如何在優(yōu)雅并且穩(wěn)定的控制任意內核地址的數據的方法。利用這種方法就可以對任意地址進行讀寫。

nEINEI 表示，由 GDI 引發(fā)終端安全攻防的思考。漏洞不斷可以挖掘，安全攻防永無止境。未來的終端安全的發(fā)展是什么？把眼前的做好，就夠了。

智能之上，安全的新可能

深信服資深專家、數據挖掘領域博士蔣振超帶來 《智能之上，安全的「新可能」》主題演講。蔣振超表示，人工智能可能會被錯誤應用：使用神經網絡猜測密碼；使用遞歸皮質神經網絡自動打碼；基于面部識別的殺人武器；無人機蜂群……這些例子有些可怕，但的確已經實現(xiàn)。

但我們同樣可以利用 AI 進行反擊。數據科學家結合安全分析師再結合人工智能，此時形成的人機共智相當于攻防專家。

所謂，兵無常事，水無常形，我們要擁抱 AI，但不限于 AI。

Web 安全從入門到放棄

FIT 2018 第二天的議程從青藤云安全分析師 CplusHua 以《Web安全從入門到放棄》為主題的演講開始。

他曾經向螞蟻金服提交漏洞，并且獲得了 36 萬元的大獎，在本次演講中他詳細闡述了新版 OWASP TOP 10 中增加的三種攻擊方式，并從新增的漏洞中可以看出一些新的趨勢和思路。

對于白帽子而言，在分析公司業(yè)務資產時，信息收集是基本步驟，然后要進行整理和檢測。除了技術本身的漏洞，很多企業(yè)在業(yè)務上也存在很多漏洞。宮華表示，在這些過程中，不僅要分析業(yè)務場景，還可以分析程序員最初寫代碼的思考，從這個角度或許可以發(fā)現(xiàn)程序員思維上的缺陷或漏洞，進而獲取其他人無法挖掘到的漏洞。

他以黑盒業(yè)務功能攻擊為例，為我們詳細展開了從易被忽略的角度找到漏洞的過程。例如，在用戶注冊過程中，利用服務器返回 cookie 的特點獲取用戶名密碼等。黑盒網絡攻擊的跨云攻擊也是如此：在交換器的環(huán)境下，訪問策略的缺陷可能是很多廠商容易發(fā)生的問題。還有很多漏洞是云服務自身特點導致的，也是現(xiàn)階段難以避免的。

那為什么 web  安全要從入門到放棄呢？

宮華認為：如果白帽子為了賺點小錢而狂刷一些意義不大的洞，其實可以放棄了，因為這種方式浪費時間而且并不賺錢，觀察 BTC 漲勢圖可以知道，挖洞遠不如 BTC 賺錢；但如果白帽子是真正的在挖洞，那么一定要堅持下去，去做更深入的研究、分析與挖掘。

高并發(fā)開源軟件 WAF 在企業(yè)安全實戰(zhàn)中的探索

根據 Gartner 發(fā)布的 2017 年度 Web 應用防火墻（WAF）魔力象限報告，WAF 的全球市場規(guī)模不斷增長，越來越多的企業(yè)需要用 WAF 產品和技術保護自己的安全。而在這個開放共享的時代里，開源產品也越來越受到歡迎。

盛洋的演講議題是《高并發(fā)開源軟件WAF在企業(yè)安全實戰(zhàn)中的探索》。現(xiàn)階段，隨著 Web 應用越來越多，相關問題日益突出，貼近 Web 端的防火墻（WAF）比普通的 WAF 更具優(yōu)勢。但高性能是 WAF 的一項重要指標，脫離了這一點，WAF 就難以落地。此外，成本問題、使用體驗，都是需要考慮的因素。在此背景下，開源 WAF 以其成本較低（免費）、部署靈活（源碼開放）、兼容性高等特點占據了優(yōu)勢。當然，開源 WAF 軟件也存在更新不及時等缺點。

今天更多別人們提到的開源WAF系統(tǒng)，更多已經變成了基于Nginx LUA的WEB防火墻系統(tǒng)，這種防火墻系統(tǒng)的特點是基于最常見的nginx服務，使用Lua語言及API來實現(xiàn)WAF功能，使用LUA不像使用C寫模塊的維護成本那么高，LUA小巧性能優(yōu)越，降低了開發(fā)難度和維護成本。

Nginx被廣泛的應用HTTP7層相關的應用開發(fā)，很多人都不陌生。Nginx＋lua的開源WAF興起之后，開源WAF的發(fā)展隨著Openresty的發(fā)展進入了新軌道，國內的開發(fā)人員開始基于Openresty寫了很多的中間件服務，社區(qū)越來越活躍。

目前比較活躍的幾款開源 WAF 軟件有：loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF 等。企業(yè)可以通過串行連接、并行連接、串并同行、靶機設定等多種方式來完成開源 WAF 軟件的落地測試。

云時代 DDoS 溯源實踐與解析

除了 WAF 產品之外，這兩年抗 DDoS 攻擊的產品又重新受到青睞。金山云高級安全產品經理梁洋洋分享了《云時代DDoS溯源實踐與解析》。

作為一個 1995 年就已經出現(xiàn)的攻擊，DDoS 在這兩年又開始受到高度關注，因為近兩年棋牌類游戲蓬勃發(fā)展，導致 DDoS 防御需求越來越多。

而 DDoS 溯源意義可概括為三點：

面對行業(yè)內惡意競爭，為高防用戶提供攻擊證據鏈技術支持，方便警方立案；

購買高防服務期間，降低用戶遭受 DDoS 攻擊峰值，減少高防支出；

公有云高防服務的輔助產品。

梁洋洋表示，DDoS 溯源流程包括： 攻擊數據獲?。ㄓ?層和7層攻擊數據獲取方式）、攻擊數據清洗（有4層攻擊源偽造處理、CC攻擊特征分析）、攻擊樣本獲?。ü粼炊ㄏ驖B透）及、控制端溯源，最后一步則是進行進行團伙溯源，要知道攻擊是如何發(fā)生的、目的是什么，最終分析其社交關系以及行業(yè)競爭關系，最終產出商業(yè)競爭溯源報告，向警方提供攻擊證據鏈。

根據這一過程，DDoS 溯源自動化可以采取一些手段，例如在攻擊數據獲取階段，可以采取全流量溯源系統(tǒng)，加入 7 層 CC 防護日志；在攻擊數據清洗階段，加入回掃分析和 IP 信譽 API、使用路由追蹤系統(tǒng)、自動化分析腳本；在攻擊樣本獲取階段，加入 M3 滲透測試小組；在控制端溯源階段，加入 M3 滲透測試小組，加入商業(yè)威脅情報溯源 API；在團伙溯源階段，加入 M3 滲透測試小組，利用溯源分析平臺和情報交換系統(tǒng)進行深度分析。

情報驅動下的安全閉環(huán)建設

美麗聯(lián)合集團安全總監(jiān)石喬演講了《情報驅動下的安全閉環(huán)建設》議題。對于企業(yè)而言，安全團隊的建設是一大重點。企業(yè)安全團隊建設初期，受限于資源、管理層不重視等因素，團隊初期的防護能力：發(fā)現(xiàn)能力、阻斷能力、復盤能力都受到一定的限制。理想狀態(tài)下，企業(yè)安全建設應當圍繞這些能力賦予更充分的發(fā)展。

石喬以美麗聯(lián)合集團為例，圍繞 Begis/ 開發(fā)組件、Cobra/代碼審計、Eagle/黑盒掃描、Gaea/WAF/Wolverine/主機安全、Turtle/堡壘機系統(tǒng)、GuGu/ 入網管控等七點，建立了一個安全規(guī)則平臺，利用這個平臺，可以不必把整個公司的安全能力放在某個安全工作人員或白帽子的頭上，而是全面發(fā)展，形成閉環(huán)。

此外，在對情報進行評估時，可以考慮數據敏感、業(yè)務復雜度、集群數量、可控保護等四個維度，進而快速響應，實現(xiàn)安全閉環(huán)。

網絡安全中的潛在威脅

Unit 42 威脅情報專家組、Palo Alto Networks 高級分析師 Vicky Ray 以 Orcus RAT 木馬工具為例，向大家揭露了網絡安全中除了攻擊實施者之外的其他威脅。

在地下論壇中，充斥著不同的人，他們各自扮演著自己的身份，推動這個這個滋生很多網絡犯罪的平臺發(fā)展。在這里，有實施攻擊的人、有惡意程序和利用工具的開發(fā)者、還有其他的技術支持者，他們相互合作，將惡意工具從開發(fā)到擴散到實際利用各個環(huán)節(jié)一一打通，形成了網絡攻擊的完整產業(yè)鏈。

以 Orcus   RAT 木馬攻擊為例，這個工具因其“用戶友好”的特點，受到不少犯罪分子的歡迎，近些年來使用率不斷上升。這也引起了研究人員的注意。Orcus 遠控軟件非常強大，它能夠監(jiān)控用戶的電腦，開啟攝像頭卻不觸發(fā)指示燈。除此之外，跟很多病毒一樣它能夠檢測虛擬機系統(tǒng)，防止被分析。

研究人員針對這個狡猾的惡意軟件，使用了 NETMON、TCPVIEW、WIRESHARK 三種檢測技術，同時使用沙盒技術進行分析，最終解密了 Orcus，并發(fā)布了分析報告。

嚴格來說，Orcus 作者并沒有直接發(fā)起攻擊，但他開發(fā)了惡意工具并提供給其他犯罪分子實施攻擊。這類惡意工具開發(fā)者也是網絡安全中的一大隱患。研究人員需要對此提高警惕，共享威脅分析報告，提供證據，與執(zhí)法人員合作，打擊此類惡意工具開發(fā)者，才有助于阻止?jié)撛谕{。

如何構建基于 SOAPA 架構的智能安全

蘭云科技聯(lián)合創(chuàng)始人、高級副總裁周宏斌以《入侵事件的高效發(fā)現(xiàn)，分析與取證：如何構建基于SOAPA架構的智能安全》為主題進行了演講。

企業(yè)面臨的安全之困可以概括為四點：

告警泛濫，有價值信息淹沒在海洋中；

基于特征檢測，未知威脅發(fā)現(xiàn)能力弱；

安全產品各自為戰(zhàn)，無法形成防御體系；

入侵事件發(fā)生后，分析，取證，還原難。

在此背景中，提高未知威脅檢測能力、提高入侵事件分析能力成為了首選的脫困之道。

SOAPA （安全運作與分析平臺架構）就是融合了這兩種能力的平臺。 SOAPA 平臺可以將安全信息和事件管理（SIEM）、事故響應平臺（IRP）、用戶行為分析（UBA）、漏洞掃描器和安全資產管理、端點檢測/響應工具（EDR）、網絡流量分析（NTA）、反惡意軟件沙箱和威脅情報（TI）等手段和技術結合在一起，實現(xiàn)高效的未知威脅檢測和入侵事件分析。對于企業(yè)而言也是一個不小的啟發(fā)。

結語

弗洛伊德認為，人都有生本能與死本能，而死本能某種程度上更接近破壞。

那白帽子的死本能是否比普通人更強烈？

他們?yōu)榧夹g著迷渴望，在內心的“破壞欲”催動下打破陳規(guī)尋找漏洞，他們手持利器又克制自持，他們低調又執(zhí)著改變世界，但也正是這樣，才讓他們與那些循規(guī)蹈矩的人區(qū)別開來。

兩天時間，數個議題，F(xiàn)IT 2018 大會已落下帷幕，但對這些負重前行之人，仍是新的開始。

雷鋒網宅客頻道關注先鋒科技領域，微信公眾號（letshome），歡迎關注雷鋒網宅客頻道。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。