12月下月的上海，有些綿長清寂。

而 FIT2018 大會現(xiàn)場，卻充斥著色彩斑斕。除了燈光音樂以及各色雞尾酒，數(shù)位白帽的分享也讓人應(yīng)接不暇。

這是一場“磁變”，Alpha Go 熱潮堪堪褪去，其代表的人工智能時代剛剛開始。在此期間，信息泄露已成常態(tài)，安全事件高潮迭起，勒索軟件接踵而至，后門、入侵，各家廠商紛紛淪陷。傳統(tǒng)防御手段無法抵御層出不窮的攻擊，安全行業(yè)更需要新的思路。

AI磁場正在改變安全行業(yè)，探索安全的新方向。

AI＋安全

“人工智能會成為未來的基礎(chǔ)設(shè)施?！倍废罂萍糃EO袁勁松表示，而在安全領(lǐng)域，AI也早有應(yīng)用。比如從前的垃圾郵件識別就用到了機器學(xué)習(xí)算法。事實上，在傳統(tǒng)的九大安全領(lǐng)域——包括反欺詐與身份管理、移動安全、安全自動化、行為分析與異常檢測、物聯(lián)網(wǎng)安全、應(yīng)用安全等方面，AI都能夠發(fā)揮自己的優(yōu)勢。除此之外，隨著大數(shù)據(jù)的發(fā)展，其在安全方面的應(yīng)用也愈加廣泛。

當(dāng)然，AI 技術(shù)在安全領(lǐng)域的應(yīng)用與其他任何技術(shù)一樣，都具有雙面性，在解決某些困境，抵御威脅的同時也會被黑產(chǎn)利用，成為網(wǎng)絡(luò)攻防戰(zhàn)中的一部分。

AMP端點與威脅智能認(rèn)知

隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等的發(fā)展，越來越多的設(shè)備接入網(wǎng)絡(luò)，成為網(wǎng)絡(luò)中一個又一個端點，這些設(shè)備在給生活帶來方便，給企業(yè)帶來效率和利潤提升的同時，也成為了病毒滋生的溫床，為黑客入侵提供了更多的入口。端點威脅的分析和防護(hù)成為了當(dāng)下安全領(lǐng)域研究的重要課題之一。

除此之外，黑客在進(jìn)行網(wǎng)絡(luò)攻擊時，都會通過一定的技術(shù)加密隱藏、偽裝攻擊行為，以欺騙、繞過防御檢測軟件。Gartner 認(rèn)為，2019 年將有一半的惡意軟件活動采用某種加密技術(shù)來掩蓋惡意軟件傳送、命令和控制活動或數(shù)據(jù)泄露。而目前，大多數(shù)組織都不具有可檢測到加密流量中的惡意內(nèi)容的解決方案。

思科安全全球 SVP Jeffrey Richard Reed 現(xiàn)場進(jìn)行了《深度學(xué)習(xí)感知、智能協(xié)作的創(chuàng)新安全架構(gòu)》的主題分享，表示在任何時候，互聯(lián)網(wǎng)環(huán)境的安全都只是暫時的，每一次威脅從發(fā)生、檢測到響應(yīng)直至解決問題都需要一個過程，我們持續(xù)的努力正是為了盡可能縮短這個過程的時間。而人工智能與數(shù)據(jù)分析在高級威脅檢測中的作用就是：端到端可視性、多層機器學(xué)習(xí)、ETA 擴(kuò)展NetFlow。

思科認(rèn)為，從發(fā)生威脅，到檢測威脅，再到安全響應(yīng)，整個環(huán)節(jié)的時間要足夠短才能夠保證安全。而要縮短響應(yīng)時間，不能依靠傳統(tǒng)的方法。在思科 Stealthwatch 和 Stealthwatch Cloud 中就應(yīng)用了機器學(xué)習(xí)檢測加密流量中的安全威脅。加密流量分析(ETA)并非解密加密協(xié)議而是采集大量數(shù)據(jù)，利用機器學(xué)習(xí)技術(shù)尋找流量包特征，并且對威脅進(jìn)行分類。

構(gòu)建威脅情報互聯(lián)、高交互的安全神經(jīng)網(wǎng)絡(luò)

道高一尺，魔高一丈。

近年來 AI 在惡意軟件、網(wǎng)絡(luò)攻擊的應(yīng)用愈發(fā)嫻熟，可想而知，未來攻擊鏈會更為復(fù)雜。Fortinet 的全球安全戰(zhàn)略官 Derek Manky 從威脅環(huán)境的發(fā)展進(jìn)程進(jìn)行了大膽的預(yù)測，他認(rèn)為具備自我學(xué)習(xí)能力的 HiveNet 與 SwarmBot 等類僵尸網(wǎng)絡(luò)病毒、下一代 Morphic 惡意軟件等會在未來崛起。除此之外，未來攻擊鏈會更加復(fù)雜。從計劃、入侵、擴(kuò)展、聚集到滲透，都需要預(yù)防，而作為防御方，每個階段都將用到人工智能與機器學(xué)習(xí)。 

人工智能與黑客帝國

還記得《黑客帝國》嗎？

故事的開頭，人類和機器（AI）展開一場末日對決，而人類很快潰敗。那時候的機器是依賴于太陽能的，于是人類設(shè)法用覆蓋整個地球的黑云屏蔽了陽光，試圖以此阻止機器。結(jié)果卻絲毫也沒有起到作用，人類依舊完敗。

影視劇場景不乏夸張成分，但依然折射出世人對 AI 高度發(fā)達(dá)的進(jìn)程中人類地位的擔(dān)憂。未來，究竟是人類統(tǒng)治世界，還是 AI 機器人統(tǒng)治甚至干掉人類？

知道創(chuàng)宇 CEO 趙偉以《從機器人大腦到黑客帝國：安全AlphaGo離我們有多遠(yuǎn)？》為主題，從一個悲觀主義者的視角想象了一個強人工智能出現(xiàn)后，人類被機器統(tǒng)治的世界。在《西部世界》中，弱人工智能在人類制造的困境中不斷學(xué)習(xí)覺醒，最終發(fā)展成為強人工智能，并對人類產(chǎn)生威脅。這與安全行業(yè)的攻防發(fā)展，也頗有點相似之處，趙偉認(rèn)為，人工智能的發(fā)展速度超乎想象。

我們現(xiàn)在還處于弱人工智能時代，未來強人工智能的能力不可估量，強人工智能可以解決開放問題。與目前的識別功能不同，未來的強人工智能可能是為了戰(zhàn)斗而學(xué)習(xí)。如果你一手掌握了數(shù)據(jù),一手掌握了強人工智能，你將成為上帝本身。

趙偉認(rèn)為，人工智能的發(fā)展速度超乎想象，而人們在發(fā)展技術(shù)的同時，也許應(yīng)當(dāng)對自然和科技都抱有敬畏之心，同時，也關(guān)注自身的安全與覺醒。

解鎖場景化風(fēng)險感知

如果你有關(guān)注不久前剛更新的 OWASP Top 10 2017，就會發(fā)現(xiàn)新增了三個不甚眼熟的復(fù)雜新威脅。

無論是不久前 Uber 的數(shù)據(jù)泄露事件還是大疆漏洞的獎勵，可以看出攻擊正在向底層發(fā)展，前端框架、WEB 框架、 存儲組件等技術(shù)組件都經(jīng)歷了一定的發(fā)展，而與技術(shù)組件關(guān)系最緊密的認(rèn)證授權(quán)流程，也日漸復(fù)雜。

斗象科技聯(lián)合創(chuàng)始人兼 CTO 張?zhí)扃饕浴洞蟮乐梁啠航怄i「場景化」風(fēng)險感知》為主題，在攻防對抗現(xiàn)狀愈加嚴(yán)峻的情景下提出把資產(chǎn)作為線索，構(gòu)建資產(chǎn)基線，依然能夠讓攻擊和風(fēng)險有跡可循。

解構(gòu) Hadoop 安全攻防技術(shù)

Hadoop 是一個開源框架，它允許使用簡單的編程模型在計算機集群中對大型數(shù)據(jù)集進(jìn)行分布式處理。大數(shù)據(jù)時代下，Hadoop 成為各大企業(yè)處理數(shù)據(jù)的首選。

然而，Hadoop 沒有成熟的安全機制，如設(shè)計之初并未過多考慮安全性問題，對于安全配置默認(rèn)不開啟，以及開源組件的問題等，因此的安全性是飽受爭議的話題之一。觀數(shù)科技尖針實驗室負(fù)責(zé)人王鵬鳴就以《解構(gòu) Hadoop 安全攻防技術(shù)》為主題，先通過自行定義 HADOOP_USER_NAME 變量(web端在URL后添加user.name)冒充任意用戶的案例展示了其存在的大量漏洞。

另外，如何攻破 Hadoop 集群進(jìn)行遠(yuǎn)程控制？

王鵬鳴概括為六步，首先啟動 msf 攻擊框架，隨后生成一個后門 test.pay|oad，然后提交 Hadoop 任務(wù)，之后執(zhí)行后門回連端口，運行后門返回系統(tǒng) shell，獲得最高權(quán)限。

他還提到，大數(shù)據(jù)的常見保護(hù)思路包括：邊界模式、架構(gòu)模式、數(shù)據(jù)模式，各有各的優(yōu)劣。而理想的大數(shù)據(jù)安全解決方案應(yīng)該從合規(guī)性、數(shù)據(jù)治理、安全事件、敏感數(shù)據(jù)四個層面考慮。

智能外設(shè)入侵汽車網(wǎng)絡(luò)

Hack Demo 環(huán)節(jié)當(dāng)屬是整場的高潮，安恒海特實驗室研究員 GeekPwn 名人堂選手張凱和徐凱翼在現(xiàn)場演示環(huán)節(jié)中，場外研究員將一個小巧的攻擊裝置放到汽車上后，場內(nèi)的研究員便通過短信指令讓汽車熄火。

黑客遠(yuǎn)程操控汽車早就不是新鮮事了。不論是被無數(shù)黑客拿來開刀的特斯拉，還是被黑上癮的寶馬、奔馳，只不過這次有了新花樣。

雷鋒網(wǎng)不久前也報道過OBD車載盒子被爆漏洞，任你老司機也要翻車，實際上此次黑掉汽車有一個“中間人”—— OBD 車載智能盒子。

OBD盒子輸入輸出的邏輯是——發(fā)動機是汽車的心臟，OBD 盒子的心臟則是盒子里面的 MCU，它將汽車各個 ECU 通過 CAN 總線經(jīng)過 16 針口的數(shù)據(jù)經(jīng)過加工分析，然后通過藍(lán)牙（或其他連接方式）輸出到手機 App 上，通過手機呈現(xiàn)給車主。

也就是說，車機本身可以連接在汽車系統(tǒng)里，且多會提供手機 App 控制功能，雖然這些 App 并不會執(zhí)行某些惡意操作，但是卻丟出一條路來，一旦沒有封好就會被壞人拿走控制車輛的權(quán)利。

而安恒海特實驗室研究員的破解便是利用了這條通道，OBD 盒子漏洞成為了一個攻擊入口，通過該攻擊入口向車內(nèi)網(wǎng)絡(luò)發(fā)送攻擊指令，實現(xiàn)入侵。

 

路由器寬帶帳號密碼便攜式竊取攻防實驗

在這場攻防實驗開始前，先是一段情景劇。

住在單身公寓的小玉妹紙記性不太好，不小心忘記了自家路由器的密碼，此時又趕上周末，維修人員休息。無奈的她抱著試一試的心態(tài)敲響了隔壁白帽子大神的門（沒錯，男一號就是議題演講者 360 天馬安全團(tuán)隊安全研究員楊蕓菲），而大神也很樂于助人，只用一只手機就幫妹紙獲取了密碼。

這個情景劇當(dāng)然不止是展現(xiàn)一種撩妹手段，更為楊蕓菲以《路由器寬帶帳號密碼便攜式竊取攻防實驗》為主題的演講鋪墊。實際上，路由器帳號密碼獲取過程主要是利用 PPPoE 協(xié)商過程的漏洞，通過手機建立 PPPoE 服務(wù)器，然后強制路由器使用存在漏洞的 PAP 協(xié)議，從而獲得密碼。

實際上，目前還有很多協(xié)議，包括常見的 GSM 和 GPS 都還存在問題，之所以沒有修復(fù)是因為更新迭代的成本太高，難度太大，因此需要各方共同努力，提升這些缺陷協(xié)議的安全性。

不過楊蕓菲也表示，在一般場景下，針對普通家庭寬帶進(jìn)行攻擊需要在物理接觸到路由器條件下才能實現(xiàn)，因此具有一定門檻，用戶不必過于擔(dān)心。

 基于Unicron-Engine的開源Windows可執(zhí)行文件沙盒實現(xiàn)解析

Comodo 反病毒引擎研發(fā)技術(shù)負(fù)責(zé)人，F(xiàn)reeBuf 年度作者王偉波分享《基于 Unicron-Engine 的開源 Windows 可執(zhí)行文件沙盒實現(xiàn)解析》，unicorn-engine 是一個基于 QEMU 的 cpu 模擬執(zhí)行框架，具有支持多平臺多指令集，支持多語言接口調(diào)用，運行速度快等多重優(yōu)勢。

而本次議題的主角 wxemu 就是一個基于 unicorn-engine 的可執(zhí)行文件沙盒。經(jīng)過原理介紹后，王偉波現(xiàn)場演示了 xshell 在 wxemu 沙盒中的運行過程，通過 wxemu 沙盒能夠高效便捷地在沙盒中運行可疑文件提取關(guān)鍵信息。

GDI魔術(shù)：漏洞利用中的利器

滴滴美國研究所 nEINEI 帶來《GDI魔術(shù)：漏洞利用中的利器》，GDI(Graphics Device Interface )是微軟為應(yīng)用程序提供圖形設(shè)備接無關(guān)的一組API。

Nt 早期版本將窗口管理和圖形系統(tǒng)運行在用戶地址空間，導(dǎo)致性能問題，從 NT4.0 開始將窗口和圖形移到內(nèi)核態(tài)。nEINEI 先以 Bitmap 的利用為例來講解。要翻轉(zhuǎn)利用 Bitmap 漏洞，首先要控制指針。2015年Keen Team 的研究人員提出如何在優(yōu)雅并且穩(wěn)定的控制任意內(nèi)核地址的數(shù)據(jù)的方法。利用這種方法就可以對任意地址進(jìn)行讀寫。

nEINEI 表示，由 GDI 引發(fā)終端安全攻防的思考。漏洞不斷可以挖掘，安全攻防永無止境。未來的終端安全的發(fā)展是什么？把眼前的做好，就夠了。

智能之上，安全的新可能

深信服資深專家、數(shù)據(jù)挖掘領(lǐng)域博士蔣振超帶來 《智能之上，安全的「新可能」》主題演講。蔣振超表示，人工智能可能會被錯誤應(yīng)用：使用神經(jīng)網(wǎng)絡(luò)猜測密碼；使用遞歸皮質(zhì)神經(jīng)網(wǎng)絡(luò)自動打碼；基于面部識別的殺人武器；無人機蜂群……這些例子有些可怕，但的確已經(jīng)實現(xiàn)。

但我們同樣可以利用 AI 進(jìn)行反擊。數(shù)據(jù)科學(xué)家結(jié)合安全分析師再結(jié)合人工智能，此時形成的人機共智相當(dāng)于攻防專家。

所謂，兵無常事，水無常形，我們要擁抱 AI，但不限于 AI。

Web 安全從入門到放棄

FIT 2018 第二天的議程從青藤云安全分析師 CplusHua 以《Web安全從入門到放棄》為主題的演講開始。

他曾經(jīng)向螞蟻金服提交漏洞，并且獲得了 36 萬元的大獎，在本次演講中他詳細(xì)闡述了新版 OWASP TOP 10 中增加的三種攻擊方式，并從新增的漏洞中可以看出一些新的趨勢和思路。

對于白帽子而言，在分析公司業(yè)務(wù)資產(chǎn)時，信息收集是基本步驟，然后要進(jìn)行整理和檢測。除了技術(shù)本身的漏洞，很多企業(yè)在業(yè)務(wù)上也存在很多漏洞。宮華表示，在這些過程中，不僅要分析業(yè)務(wù)場景，還可以分析程序員最初寫代碼的思考，從這個角度或許可以發(fā)現(xiàn)程序員思維上的缺陷或漏洞，進(jìn)而獲取其他人無法挖掘到的漏洞。

他以黑盒業(yè)務(wù)功能攻擊為例，為我們詳細(xì)展開了從易被忽略的角度找到漏洞的過程。例如，在用戶注冊過程中，利用服務(wù)器返回 cookie 的特點獲取用戶名密碼等。黑盒網(wǎng)絡(luò)攻擊的跨云攻擊也是如此：在交換器的環(huán)境下，訪問策略的缺陷可能是很多廠商容易發(fā)生的問題。還有很多漏洞是云服務(wù)自身特點導(dǎo)致的，也是現(xiàn)階段難以避免的。

那為什么 web  安全要從入門到放棄呢？

宮華認(rèn)為：如果白帽子為了賺點小錢而狂刷一些意義不大的洞，其實可以放棄了，因為這種方式浪費時間而且并不賺錢，觀察 BTC 漲勢圖可以知道，挖洞遠(yuǎn)不如 BTC 賺錢；但如果白帽子是真正的在挖洞，那么一定要堅持下去，去做更深入的研究、分析與挖掘。

高并發(fā)開源軟件 WAF 在企業(yè)安全實戰(zhàn)中的探索

根據(jù) Gartner 發(fā)布的 2017 年度 Web 應(yīng)用防火墻（WAF）魔力象限報告，WAF 的全球市場規(guī)模不斷增長，越來越多的企業(yè)需要用 WAF 產(chǎn)品和技術(shù)保護(hù)自己的安全。而在這個開放共享的時代里，開源產(chǎn)品也越來越受到歡迎。

盛洋的演講議題是《高并發(fā)開源軟件WAF在企業(yè)安全實戰(zhàn)中的探索》?，F(xiàn)階段，隨著 Web 應(yīng)用越來越多，相關(guān)問題日益突出，貼近 Web 端的防火墻（WAF）比普通的 WAF 更具優(yōu)勢。但高性能是 WAF 的一項重要指標(biāo)，脫離了這一點，WAF 就難以落地。此外，成本問題、使用體驗，都是需要考慮的因素。在此背景下，開源 WAF 以其成本較低（免費）、部署靈活（源碼開放）、兼容性高等特點占據(jù)了優(yōu)勢。當(dāng)然，開源 WAF 軟件也存在更新不及時等缺點。

今天更多別人們提到的開源WAF系統(tǒng)，更多已經(jīng)變成了基于Nginx LUA的WEB防火墻系統(tǒng)，這種防火墻系統(tǒng)的特點是基于最常見的nginx服務(wù)，使用Lua語言及API來實現(xiàn)WAF功能，使用LUA不像使用C寫模塊的維護(hù)成本那么高，LUA小巧性能優(yōu)越，降低了開發(fā)難度和維護(hù)成本。

Nginx被廣泛的應(yīng)用HTTP7層相關(guān)的應(yīng)用開發(fā)，很多人都不陌生。Nginx＋lua的開源WAF興起之后，開源WAF的發(fā)展隨著Openresty的發(fā)展進(jìn)入了新軌道，國內(nèi)的開發(fā)人員開始基于Openresty寫了很多的中間件服務(wù)，社區(qū)越來越活躍。

目前比較活躍的幾款開源 WAF 軟件有：loveshell、VeryNginx、Resty-waf、Orange、Vanilla、OpenWAF、XWAF 等。企業(yè)可以通過串行連接、并行連接、串并同行、靶機設(shè)定等多種方式來完成開源 WAF 軟件的落地測試。

云時代 DDoS 溯源實踐與解析

除了 WAF 產(chǎn)品之外，這兩年抗 DDoS 攻擊的產(chǎn)品又重新受到青睞。金山云高級安全產(chǎn)品經(jīng)理梁洋洋分享了《云時代DDoS溯源實踐與解析》。

作為一個 1995 年就已經(jīng)出現(xiàn)的攻擊，DDoS 在這兩年又開始受到高度關(guān)注，因為近兩年棋牌類游戲蓬勃發(fā)展，導(dǎo)致 DDoS 防御需求越來越多。

而 DDoS 溯源意義可概括為三點：

面對行業(yè)內(nèi)惡意競爭，為高防用戶提供攻擊證據(jù)鏈技術(shù)支持，方便警方立案；

購買高防服務(wù)期間，降低用戶遭受 DDoS 攻擊峰值，減少高防支出；

公有云高防服務(wù)的輔助產(chǎn)品。

梁洋洋表示，DDoS 溯源流程包括： 攻擊數(shù)據(jù)獲?。ㄓ?層和7層攻擊數(shù)據(jù)獲取方式）、攻擊數(shù)據(jù)清洗（有4層攻擊源偽造處理、CC攻擊特征分析）、攻擊樣本獲?。ü粼炊ㄏ驖B透）及、控制端溯源，最后一步則是進(jìn)行進(jìn)行團(tuán)伙溯源，要知道攻擊是如何發(fā)生的、目的是什么，最終分析其社交關(guān)系以及行業(yè)競爭關(guān)系，最終產(chǎn)出商業(yè)競爭溯源報告，向警方提供攻擊證據(jù)鏈。

根據(jù)這一過程，DDoS 溯源自動化可以采取一些手段，例如在攻擊數(shù)據(jù)獲取階段，可以采取全流量溯源系統(tǒng)，加入 7 層 CC 防護(hù)日志；在攻擊數(shù)據(jù)清洗階段，加入回掃分析和 IP 信譽 API、使用路由追蹤系統(tǒng)、自動化分析腳本；在攻擊樣本獲取階段，加入 M3 滲透測試小組；在控制端溯源階段，加入 M3 滲透測試小組，加入商業(yè)威脅情報溯源 API；在團(tuán)伙溯源階段，加入 M3 滲透測試小組，利用溯源分析平臺和情報交換系統(tǒng)進(jìn)行深度分析。

情報驅(qū)動下的安全閉環(huán)建設(shè)

美麗聯(lián)合集團(tuán)安全總監(jiān)石喬演講了《情報驅(qū)動下的安全閉環(huán)建設(shè)》議題。對于企業(yè)而言，安全團(tuán)隊的建設(shè)是一大重點。企業(yè)安全團(tuán)隊建設(shè)初期，受限于資源、管理層不重視等因素，團(tuán)隊初期的防護(hù)能力：發(fā)現(xiàn)能力、阻斷能力、復(fù)盤能力都受到一定的限制。理想狀態(tài)下，企業(yè)安全建設(shè)應(yīng)當(dāng)圍繞這些能力賦予更充分的發(fā)展。

石喬以美麗聯(lián)合集團(tuán)為例，圍繞 Begis/ 開發(fā)組件、Cobra/代碼審計、Eagle/黑盒掃描、Gaea/WAF/Wolverine/主機安全、Turtle/堡壘機系統(tǒng)、GuGu/ 入網(wǎng)管控等七點，建立了一個安全規(guī)則平臺，利用這個平臺，可以不必把整個公司的安全能力放在某個安全工作人員或白帽子的頭上，而是全面發(fā)展，形成閉環(huán)。

此外，在對情報進(jìn)行評估時，可以考慮數(shù)據(jù)敏感、業(yè)務(wù)復(fù)雜度、集群數(shù)量、可控保護(hù)等四個維度，進(jìn)而快速響應(yīng)，實現(xiàn)安全閉環(huán)。

網(wǎng)絡(luò)安全中的潛在威脅

Unit 42 威脅情報專家組、Palo Alto Networks 高級分析師 Vicky Ray 以 Orcus RAT 木馬工具為例，向大家揭露了網(wǎng)絡(luò)安全中除了攻擊實施者之外的其他威脅。

在地下論壇中，充斥著不同的人，他們各自扮演著自己的身份，推動這個這個滋生很多網(wǎng)絡(luò)犯罪的平臺發(fā)展。在這里，有實施攻擊的人、有惡意程序和利用工具的開發(fā)者、還有其他的技術(shù)支持者，他們相互合作，將惡意工具從開發(fā)到擴(kuò)散到實際利用各個環(huán)節(jié)一一打通，形成了網(wǎng)絡(luò)攻擊的完整產(chǎn)業(yè)鏈。

以 Orcus   RAT 木馬攻擊為例，這個工具因其“用戶友好”的特點，受到不少犯罪分子的歡迎，近些年來使用率不斷上升。這也引起了研究人員的注意。Orcus 遠(yuǎn)控軟件非常強大，它能夠監(jiān)控用戶的電腦，開啟攝像頭卻不觸發(fā)指示燈。除此之外，跟很多病毒一樣它能夠檢測虛擬機系統(tǒng)，防止被分析。

研究人員針對這個狡猾的惡意軟件，使用了 NETMON、TCPVIEW、WIRESHARK 三種檢測技術(shù)，同時使用沙盒技術(shù)進(jìn)行分析，最終解密了 Orcus，并發(fā)布了分析報告。

嚴(yán)格來說，Orcus 作者并沒有直接發(fā)起攻擊，但他開發(fā)了惡意工具并提供給其他犯罪分子實施攻擊。這類惡意工具開發(fā)者也是網(wǎng)絡(luò)安全中的一大隱患。研究人員需要對此提高警惕，共享威脅分析報告，提供證據(jù)，與執(zhí)法人員合作，打擊此類惡意工具開發(fā)者，才有助于阻止?jié)撛谕{。

如何構(gòu)建基于 SOAPA 架構(gòu)的智能安全

蘭云科技聯(lián)合創(chuàng)始人、高級副總裁周宏斌以《入侵事件的高效發(fā)現(xiàn)，分析與取證：如何構(gòu)建基于SOAPA架構(gòu)的智能安全》為主題進(jìn)行了演講。

企業(yè)面臨的安全之困可以概括為四點：

告警泛濫，有價值信息淹沒在海洋中；

基于特征檢測，未知威脅發(fā)現(xiàn)能力弱；

安全產(chǎn)品各自為戰(zhàn)，無法形成防御體系；

入侵事件發(fā)生后，分析，取證，還原難。

在此背景中，提高未知威脅檢測能力、提高入侵事件分析能力成為了首選的脫困之道。

SOAPA （安全運作與分析平臺架構(gòu)）就是融合了這兩種能力的平臺。 SOAPA 平臺可以將安全信息和事件管理（SIEM）、事故響應(yīng)平臺（IRP）、用戶行為分析（UBA）、漏洞掃描器和安全資產(chǎn)管理、端點檢測/響應(yīng)工具（EDR）、網(wǎng)絡(luò)流量分析（NTA）、反惡意軟件沙箱和威脅情報（TI）等手段和技術(shù)結(jié)合在一起，實現(xiàn)高效的未知威脅檢測和入侵事件分析。對于企業(yè)而言也是一個不小的啟發(fā)。

結(jié)語

弗洛伊德認(rèn)為，人都有生本能與死本能，而死本能某種程度上更接近破壞。

那白帽子的死本能是否比普通人更強烈？

他們?yōu)榧夹g(shù)著迷渴望，在內(nèi)心的“破壞欲”催動下打破陳規(guī)尋找漏洞，他們手持利器又克制自持，他們低調(diào)又執(zhí)著改變世界，但也正是這樣，才讓他們與那些循規(guī)蹈矩的人區(qū)別開來。

兩天時間，數(shù)個議題，F(xiàn)IT 2018 大會已落下帷幕，但對這些負(fù)重前行之人，仍是新的開始。

雷鋒網(wǎng)宅客頻道關(guān)注先鋒科技領(lǐng)域，微信公眾號（letshome），歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。