7月北京安全会议周回顾

2017 年 7 月 31 日 张三丰的疯言疯语 szf

以前习惯每次参会完都回顾一下会议内容，后来各种会议之后往往都立刻就有各种专业的报道了，所以也就再没有写回顾了。7月份历来都是安全圈热闹的季节，因为有美国的blackhat和defcon，今年还有新加坡的RSA，借着今年阿里峰会的机会跑到帝都学习学习。一周内阿里峰会（准确说叫ISS），滴滴安全说，京东沙龙，唯品会VSRC沙龙（在广州），还有线下沙龙这样的密集的安全会议机会还是很难得的，所以这里压榨一下这几天的水分，简单回顾一下一些干货。

阿里峰会

Internet Security Summit，2017网络安全生态峰会，似乎从名字上跟阿里没多大关系，也许就决定了议程安排都跟以往的阿里峰会有点不一样，会议第一天都是高屋建瓴的“正能量”体现各级高层对网络安全的重视，而第二天的分论坛就满满的，一天内15个分论坛，也就是同一个时间点有8个议题同时开讲。简直分身乏术啊。第一天的干货莫过于江海客对“态势感知”诠释，还有段老师关于黑词的研究。具体的内容可以参考一下安天的公众号《态势感知的支撑和价值落地》，还有雷锋网《这清华教授总结了一本黑产黑话宝典》都已经有很详尽的报道了。

在谈到WannaCry时，虽然是相对成功的止住了，但是却是防护的失效。其中的略略的提到勒索软件本身要加密文件势必会造成大量的文件读写。这样一个明显的特征其实可以作为一个防护点。笔者记得在WannaCry爆发的时候，就有一家国外厂商可以在无特征更新的情况下，通过UBA拦截住wannacry。

除了第一天段老师的黑词研究，在第二天印象深刻的是同样来自学术派的研究成果《大数据网络行为分析》，其中举了三个研究例子都很有意思，从独特的角度挖掘网络行为，发现恶意流量。

应对加密的挑战，互联网SSL证书的大数据测量与分析（在无法解密的情况下发现恶意的流量）
应对云与加密的挑战，SSL流量指纹测量与分析
发现未知恶意，HTTP不一致性的恶意行为检测（通过网络流量发现未知的恶意行为）

研究人员根据上图的分析框架，分析流量中的证书颁发机构，恶意软件往往使用廉价的免费的证书，更新频率也远高于正常证书，还有恶意软件证书的subject域会有高度相似，因为可能都是脚本生成的，其网络连接行为（间隔）也有别于正常的SSL流量。

除此以外，研究人员还通过统计网络流量中的“不一致性”发现未知的恶意软件。例如content-type的不一致，声称大小和实际下载大小的不一致，服务端口不一致，还有主动下载时已失效的，往往是恶意软件只在一定时间段内生效，到后来检测下载已失效。

研究人员结合以上的线索再通过其他例如hash，url，流量特征等做关联的分析，曾经就发现过未知（VT上检测为正常）的恶意软件。

欺骗防御

除了阿里的ISS峰会，另外两天的沙龙虽小，但是也不缺乏干货。滴滴安全说的两个蜜罐议题。包括无线蜜罐以及云舒亲自讲解企业内网的欺骗防御系统，都一些有意思的点：

通过空口抓包，识别无线网络中的恶意热点。恶意热点往往都是同一套工具套件创建，比起正常的热点会缺少某些字段，通过空口抓包收集统计就能够识别出。
引诱黑客访问网站，在网站中嵌入能定位黑客的js
在正常的业务系统中安装agent，通过转发把虚假的引诱漏洞点转发到蜜罐中，以达到最大限度的模拟真实的环境，也能实现广泛的覆盖来作为欺骗系统的一部分

京东沙龙上是威胁情报及机器学习的议题，分别由已经实现商业产品化的的公司讲解安全情报以及机器学习在企业中落地的实际案例。

例如天际友盟的几个情报在企业中使用的落地场景：

又例如思睿嘉得机器学习分析NetFlow等的落地场景：

以及在甲方企业中有过实战经验的登辉和兜哥分享关于大数据分析和机器学习的实战经验。其中登辉的《云上进行threat hunter---从大数据到小数据》深刻的运用了killchain和情报金字塔的思想，也可以说是实战总结出来的经验吧。

攻击前半段的尝试和准备总是会带来多不胜数的告警，有可能只是个尝试，也有可能是真正成功的攻击混杂在大量的告警中，另分析人员苦不堪言，而通过“行为特征”——真正的攻击行为的检测，可以有效提高检测的准确度。这一点跟前一天云舒讲解的欺骗系统的设计理念有一点相似，都是为了更精准的发现真正的攻击行为。捕获检测攻击也可以理解为利用Indicators of Attack的检测。