Embed Size (px)
Citation preview
张涛安全专家
目录 q 基础安全:TCP/IP协议
q 影子IT :云访问安全代理CASB
q 接口安全:API
q 隐蔽通信:DNS/NTP/PING等
q 泛终端安全:打印机/摄像头/移动端
q 加密流量及检测:OPENSSL
q 系统工具:POWERSHELL
q 编译安全:加固选项
q 地下黑市:暗网
q 取证分析:WIN/LINUX/IOS/安卓
十个容易忽视
的安全盲区
基础安全:TCP/IP协议
历史原因• TCP/IP的协议设计只
考虑了如何构建基础网络,未考虑到安全性
• IPV6安全性有所改善,具备了唯一的网络身份
• 应用耦合,改动难
安全隐患• dhcp spoofing• Ettercap进行arp欺骗• DNS/NTP/SSDP/的
放大攻击• 利用snmp收集信息
减缓手段• 建立网络运行的安全
监控基线• 安全变更、新上线业
务的严格管控• 及时发现处置异常• 三层、微分段、协议
认证
协议层攻击
TCP/IP的协议弱点
单击添加标题
单击添加小标题内容
标题字体: 微软雅黑 常规体 24磅
小标题字体: 微软雅黑 常规体 20磅
内容字体: 微软雅黑 常规体 14磅
影子IT :云访问安全代理CASB
CASB解决的问题
CASB云访问安全代理的价值
可视化
合规性
数据安全
威胁防护
q 针对企业内部使用的云服务、影子服务的自动发现支持,以及集中化的视图展示;
q 帮助企业 IT 系统云上迁移后,仍能满足合规性要求,并对云服务商进行信任评级、提供内容监控、审计日志功能;
q 结合人员、设备、内容和应用等多个维度,提供 DLP、Encryption、Tokenization 等数据安全保护,防数据泄露;
q 监控云端数据、用户资源使用状态,及时发现威胁并且做出防御;
CASB云访问安全代理
q RSA Conference 2017上,云访问安全代理(CASB)成为
了整个行业关注的焦点;
q 潜在需求: BYOD和非托管设备的盛行,SAAS的应用增加,
数据经由个人手机或平板访问的风险也在加大;
q 生态支持:身份即服务(IDaaS)/单点登录(SSO)、安全网页
网关、应用防火墙、数据丢失预防工具和电子邮件等配合;
q 主要场景:是针对企业内部用户、合作伙伴访问各种SAAS
服务或者PAAS服务;
q 工作模式:Proxy模式和API模式,前者更通用,后者控制粒
度更精细;
接口安全:API
网络层DDOS攻击 应用层DDOS攻击
接口安全:APIq 各种云平台、APP、第三方应用使用到大量接口 API
q 接口谁都可以调用,谁都可以访问,无时间空间限制
q 查快递、查天气预报、查飞机,这些都是公共的接口
q 2017列入OWASP A10
接口安全:API
q 金融行业重要的业务接口 API不能这么玩
q ESAPI (The OWASP Enterprise Security API)
q API金钟罩:接口参数加密+时效性验证+私钥+Https都是公共的接口https://www.cnblogs.com/accumulater/p/6178166.html
q 商用:API应用网关 开源:kong搞定认证、鉴权、限速
接口安全:API
Table of ContentsAPI Specification LanguagesAPI Specification ToolsAPI SpecificationsAPI FrameworksAPI Client Development ToolsAPI DocumentationAPI ClientsAPI Debugging and MockingAPI Design GuidesAPI PublishingAPI GatewaysAPI SecurityAPI MonitoringAPI TestingAPI Developer PortalJSON Format StandardsLearning Resources
参见https://github.com/yosriady/api-development-tools#api-developer-portal
隐蔽通信:DNS/NTP/PING等
单击添加标题
单击添加小标题内容
标题字体: 微软雅黑 常规体 24磅
小标题字体: 微软雅黑 常规体 20磅
内容字体: 微软雅黑 常规体 14磅
泛终端安全:打印机/摄像头/移动端
打印机、传真机:资源富矿
移动端:除了打电话,还可以…
PC有的,移动端也有
智能手机可以变为攻击工具
系统工具:POWERSHELLPOWERSHELL是WIN平台自动化平台和脚本语言,它允许你简化系统管理。利用了.NET FRAMEWORK的强大功能,提供了丰富的对象和大量的内置函数来控制WINDOWS环境。
1.对网络套接字的简单访问;
2.能够动态地在内存中组装恶意的二进制文件;
3.直接访问Win32应用程序编程接口(API);
4.使用Windows管理工具的简单接口(WMI);
5.强大的脚本环境;
6.动态的调用运行时间方法;
7.轻而易举地访问密码库,例如IPSec,哈希算法;
8.能够钩住托管代码;
9.完全绑定组件对象模型(COM)
系统工具:POWERSHELL
各种骚操作、丰富的POWERSHEL利用场景
系统工具:POWERSHELL
系统工具:POWERSHELL
系统工具:POWERSHELL
POWERSHELL三大利器
PowerSploit、nishang、Empire是Microsoft PowerShell三大渗透利器;
思科® 2018年度网络安全报告(ACR)指出,截止2017年10月,加密流量在全球网络流量中所占的比例已达到50%,相较于2016年11月,加密网络流量增长了12个百分点
加密流量及检测:OPENSSL
思科加密流量检测
基于机器学习的加密流量检测
q 通过机器学习模型检测恶意代码加密通讯
q 不需要导入证书,可实施性强
q 不存在隐私泄露、对业务影响小
大部分企业开发代码已经有动态、静态检测,核心代码人工REVIEW,但编译往往是空白
编译容易忽略的地方ü打开了调试开关ü加载过多模块和库ü有漏洞的库ü缺省的出错处理ü未采用最新的编译器
gcc的编译举例:Fortify_Source、 pie和fpie选项PIE需结合Pax和Grsec内核。PaX是Linux内核安全增强补丁,通过ASLR(Address Space Layout Randomization,地址空间分布随机化),将所有数据装载到内存时都按随机化地址的方式
当使用PIE选项编译应用时,PaX能将应用的地址做随机加法提供不可执行的内存空间,这样就能使得攻击者放入内存中的恶意代码不可执行
编译安全:加固选项
编译安全:加固选项示例程序如下: 1 #include <stdio.h> 2 #include <string.h> 3 4 int main() 5 { 6 char str[3]; 7 8 strcpy(str, "abcde"); //这里有问题 9 10 return 0; 11 }
不带 FORTIFY_SOURCE 选项的结果:[tom@localhost code]$ gcc -O2 -o test test.c[tom@localhost code]$ ll
带 FORTIFY_SOURCE 选项的编译结果:[tom@localhost code]$ gcc -O2 -D_FORTIFY_SOURCE=2(1 或者 2) -o test test.cIn file included from /usr/include/string.h:642:0, from test.c:2:In function 'strcpy', inlined from 'main' at test.c:8:8:/usr/include/bits/string3.h:105:3: warning: call to __builtin___memcpy_chk will always overflow destination buffer [enabled by default]
地下黑市:暗网
暗网:地下淘宝
暗网:地下淘宝
公开的POC
暗网:法外之地,黑产市场
q “重启大法”,内存重要数据丢失,无法提取
q coredump敏感数据;
q 缺少Linux/windows/iOS/安卓各平台下的 分析人员和工具;
q 国内事后追责的力度不够,不利于总体安全生态改善;
q 专用取证工具和软件只限于公检法,企业不易获取;
取证分析:WIN/LINUX/IOS/安卓 常见问题:
救火到稳定运营
撸起袖子加油干
THANKS
