中国互联网安全大会第二日依然人气不减。除了HackPwn、DEFCON Group 010黑客沙龙等有趣的活动外,以“影子经纪人、网络军火、Talos等”为关键词的主论坛——中国互联网安全精英峰会,又有哪些亮点内容?
1. 《到底谁是影子经纪人》
Comae Technologies创始人 Matt Suiche
影子经纪人的5个有趣知识点:
影子经纪人(the shadow borkers)名字灵感来自游戏“质量效应”,邮箱用户名(userll6gcwaknz@tutanota.com)中的“ll6”可能指代动漫叛逆的鲁路修中的主角Lelouch vi Britanni;
售价不断下降,从2016年10月定价1万比特币(标的物是怀疑与NSA有染的漏洞利用程序),到2017年1月以750比特币的总价拍卖包括FUZZBUNCH和DanderSpritz漏洞的Windows Warez利用程序和框架;
在今年5月利用影子经纪人披露的Windows Warez漏洞而肆虐互联网的WannaCry勒索蠕虫,早在3月微软发布MS17-010补丁时就做出了匿名提醒;
影子经纪人今年于5月发布爆料俱乐部(Wine of the Month Club),支持月度订阅的“网络恐怖即服务”,并声称拥有诸如Win10漏洞利用、中(中国)俄(俄罗斯)伊(伊朗)朝(朝鲜)四国的核武器和导弹计划、以及SWIFT和央行更多的攻击备忘录等内容;
“网络恐怖即服务”每月两次爆料,订阅费用由6月的100零币(ZEC)飙至8月的500ZEC,并只接受零币支付。
应反思的内容:
瓦森纳协议效力不足;
漏洞信息是否应在国家情报机构与厂商间共享;
中小企业因缺乏有效防御、应急响应措施及恢复计划,成为最重要受害者;
来自不可靠独立供应商员工的威胁不容忽视。
2. 《网络军火与公共安全》
ZDI负责人 Brian Gorenc
漏洞市场可以分白、灰和黑三个颜色,最大的区别在于漏洞最终会分别落到厂商、政府和犯罪者的受众。漏洞交易是全球市场,从地域分布的角度来看,软件漏洞的研究者主要来自北美、中国和印度;而特别针对工控领域的SCADA系统,目前来自俄罗斯和美国的研究者偏多。而漏洞市场发展最快的国家,当属印度。
从ZDI(Zero Day Initiative)客户的角度来看,相较去年只有微软的漏洞数量有所下降,其它四家(分别是Adobe、研华科技、苹果、Foxit)均有所上升。究其原因,一是微软对自家产品安全性保障的投入有了效果,二也表明更多研究者从将漏洞挖掘重点从微软(特别是浏览器)转移到更弱或更重要的目标上。
除了购买外,XXX介绍,以破解赛的形式进行漏洞收集,也是ZDI的重要工作。全球最著名、奖金最高、难度最大的破解大赛——Pwn2OWn的主办方正是ZDI。这也与红衣教主周鸿祎昨日提到“去海外参加破解赛的技术高手要意识到漏洞这一国家级战略资源流失所带来的负面影响”的观点相互印证。
3. 《人+威胁情报 网络世界的真实对抗》
思科Talos团队技术主管 Holger Unterbrink
思科在威胁情报方面的能力到底有多强?看下面这组数字就够了:
270余位全职威胁情报研究人员(Talos团队),数百万遥测代理、全球4个数据中心、全球蜜罐网络分布着1100个威胁陷阱;每天分析150万恶意软件样本和6000亿封电邮、每天收到160亿Web请求和34亿条遥测请求;一周发布3-6篇安全研究或态势报告;为思科包括终端、电邮、云、Web、网络等近乎全线产品提供威胁情报支持。
4. 《人工智能在互联网安全的机会与挑战》
Gartner研究副总裁 Tracy Tsai
在人工智能已经被滥用为一个“营销词汇”的今天,企业学会辨别哪些是真实的人工智能、是否适合企业自己业务和安全环境,以及需要作出的改变才能从人工智能中获得最大收益,才是更重要的。
Gartner认为,无论哪种人工智能产品,都有如下共同点值得关注:训练数据、特征模型、真实业务数据的特征识别和调差。即特别关注产品在自动化、准确度和可靠性、持续性、以及是否能通过关联分析提供新的洞见这四点能力。
在采购时,企业要能够与现有安全解决方案进行量化比较,并考察其核心模型和训练数据是否会持续更新、训练数据与真实业务数据的相似度、模型是否会和其他客户共享、以及如需更换供应商是否会前功尽弃等几点。
当然,企业也需要做出改变,包括是否要聘请数据科学家,选择哪些数据用于训练以及对训练数据的管理,如何剔除训练数据中的噪声等等。
5. 《网络空间安全未来五年展望》
360集团首席安全官 谭晓生
谭校长关注的核心趋势如下:
网络空间安全与军民融合(利益丰厚,但门槛多,如保密资质、对作战不了解、与目前既有利益矛盾等,短期期望值不应太高);
网络犯罪投入产出比会越来越高,即使是在案发数量得到控制的情况下,损失还会进一步扩大;
特别关注勒索软件,近乎完美的商业模式,未来近几年安全行业的重要作战对象;
互联网企业加大参与打击网络犯罪力度(如360猎网平台、腾讯守护者计划、阿里巴巴钱盾等);
人工智能的应用在不断探索(在恶意识别和协议识别、验证码破解等方面已经成功应用,但在漏洞挖掘方面目前还没有成功,因为漏洞挖掘是个创造的过程,而人工智能目前只擅长处理涉及决策的事情);
物联网安全的市场会出现消费类和政企类两极分化的现象,消费类受限于成本投入安全能力近期难有较大提升,政企类(包括智慧城市、车联网等)会有较大潜在市场;
网络安全人才的培养将产业化(产业需求大,就业状况好,政府重视),需要对安全从业人员(防御者)的实战技能进行批量培养;
众测模式因其高性价比越来越受重视(补天平台已有近百家众测客户);
企业需要有安全厂商能够提供已实现自动化和云化的应急响应服务。
安全产业的价值链面临重构,这包括产品形态和服务意识。同时,安全厂商也应开放心态,呼吁合作,一起安全的(市场)盘子做大。