FIT 2019 收官日主論壇全記錄，明年再見！

FIT 2019大會會期為2018年12月12日-13日，今日已圓滿落下帷幕。昨天的大會主論壇議程聚焦「全球高峰會」、「WitAwards頒獎盛典」、「X-TECH技術派對」、「HACK DEMO」四大版塊內容，同時「中國首席信息安全官高峰論壇」、「漏洞馬拉松線下邀請賽」也在特色分會場同期舉行。回顧首日盛況，請看：安全圈年終大趴，FIT 2019首日盛況全程回顧

今天的大會主論壇包

含「WIT2018現場最受歡迎獎頒獎」

和「前沿安全神盾局」兩大主題，此外獨立分設「白帽LIVE」及 「企業安全俱樂部」兩大分論壇，與來自全球的安全從業者、優秀技術專家、企業安全建設者、白帽專家、研究機構等同展開演講與探討。在今天的主論壇上，我們通過現場投票的方式角逐出了「WIT2018現場最受歡迎獎」，演講嘉賓與我們分享了2018年度安全行業創新碩果，共同探索和展望未來安全新邊界。

WIT 2018現場最受歡迎獎

本次WitAwards 2018採用7+1的形式，在七大獎項——年度創新產品、年度技術變革、年度品牌影響力、年度安全人物、年度國家力量、年度安全團隊、年度熱門產品及服務的基礎上，組委會特別新設「WIT現場最受歡迎獎」，旨在為獲獎者提供更多展示核心技術和產品的機會。

入圍本次WIT 2018現場最受歡迎獎角逐的有「年度創新產品」騰訊雲、「年度安全團隊」無糖信息、「年度技術變革」百度安全以及「年度安全人物」看雪學院段鋼。在今天的大會現場，經過觀眾與評委的共同票選，WIT 2018現場最受歡迎獎最終花落

「百度安全」

。

前沿安全神盾局

物聯網、人工智慧、區塊鏈、互聯網+等前沿科技在2018年引起了一波又一波的話題熱潮，逐漸成為信息時代產業發展的主要技術經濟形態，它們在各種社會領域中的參與度越來越高。在新趨勢、新變化帶來便利的同時，網路安全隱患日益彰顯，安全隱患源頭與種類越來越多，成為了影響行業發展乃至國家安全的重要因素。FIT 2019第二日主論壇特設「前沿安全神盾局」版塊，匯聚頂級專家學者，帶來多個新鮮議題，共話前沿安全。

IoT安全的To B和To C

率先上台的是海康威視CSO王濱，帶來的議題是《IoT安全的To B和To C》。他從公眾眼中的IoT安全和安全研究人員眼中的安全作為出發點討論了他對於「To B」和」To C」的區別理解，對於目前的IoT設備安全態勢而言，這是一種很好的釐清方式。對於C端而言，消費者看到的很多安全方面的報道都存在很大的局限性，因為很多問題的根源來自於上游設備，而不是IoT本身。

要做好 IoT to C 的安全，首先要做好雲安全，其次是 APP安全、設備安全、端到端加密以及口令安全。由於開放介面多、用戶安全意識淡薄、系統網路環境複雜、歷史問題堆積、縱深防禦難實施等多個問題，IoT to B 的安全需要廠商提供更高的產品安全需求，同時為用戶提供輕管理的安全防護方案。

尤其是漏洞這一塊，王濱還有以下特別呼籲：

目前業界遵循的90天的漏洞披露策略對於無有效升級途徑的物聯網設備並不適用；

POC的檢測更推薦採用版本檢測的方式；

用戶設置周期性固件更新計劃任務，弱口令一定要避免；

廠商加強設備的安全設計、開發、測試和應急響應；

行業主管機構必須要有強制的檢查和通報機制。

Apollo智能網聯汽車信息安全實踐

百度安全工程師汪明偉在他的議題《Apollo智能網聯汽車信息安全實踐》中表示：

隨著車聯網程度層層深入，隨之對於車聯網的攻擊手段花樣迭出。雖是大勢所趨，但安全性上的內憂外患不解決，用戶始終對智能網聯汽車望而卻步，甚至隨時都可能成為交通環境中的定時炸彈。

百度安全實驗室在車聯網這一領域已經深耕了15年，積累了80款車型數據。2016年8月，實驗室實現了國內首例完整入侵案例，如何通過層層步驟接管車輛。從實踐經驗出發，汪明偉談到：

解決車聯網的內憂外患問題要從流程端和技術端雙管齊下。

圍繞雲、車機、網關、ECU四大領域構建快速反應能力、應用和系統可信體系、隔離及檢測解決方案、源以及內容的可信架構，最終實現完整的騎著信息安全測試體系。

此外，建立專門的機制，尤其是決策層的推動非常關鍵。

IoT攻擊實踐：高效協議分析

IoT市場規模極具擴張，設備數量大大增長也導致了DDoS攻擊的攻擊面、攻擊量、攻擊效果大大提升。駭極安全CEO Zenia從攻擊者的思路出發，以「協議逆向」為突破口討論了IoT安全，她帶來的議題是《IoT攻擊實踐：高效協議分析》。

針對如何高效實現協議逆向，Zenia提出了「進化樹」的理念：

在進化系統中，影響生物特徵變化巨大的基因（例如控制肺葉和腮體征變化等）其基因多樣性變化率遠遠小於在功能和體征上引起較小變化的基因；

同樣這種統計特徵出現在一些IoT協議中，例如設備標識符這類決定設備唯一性的欄位（基因）在一堆協議數據中基本保持不變，其變化率遠遠小於那些控制數據欄位，例如溫度，亮度等操作數據，也就是說欄位變化次數: 設備標識符 < 操作標識符 < 數據欄位。

因此通過聚類分析，跟蹤標識符來：

聚類雜訊信號，可以定向的分析有用數據；

可以快速標識出變化位元組；

通過狀態機有效識別出信號的關聯關係，避免在繁雜的數據中尋找關聯。

最終，實現對未知協議的安全測試的能力提升，滿足大量安全檢測需求，構建自動化FUZZ平台。

巧用EvilUSB攻擊智能路由器

「前沿安全神盾局」 下午場由聯想安全實驗室研究員楊歡開場。他演講的是《巧用EvilUSB攻擊智能路由器》，並在現場分享智能路由器攻擊測試的演示視頻。

BadUSB安全漏洞是在2014年由國外安全研究人員發現並公佈於Blackhat大會上的，目前市面上仍存在多款路由器都具有相同的安全問題。楊歡通過對該漏洞的發現過程、利用過程，以及針對國內兩款路由器發動攻擊獲取路由器Shell的講解和演示，詳細演示了包含開啟危險方法、openwrt-rpcd服務ACL配置錯誤等多洞結合getshell以及繞過有限制的二次命令注入漏洞。

通過現場講解和展示，楊歡總結出幾條安全建議和防護方法：

配置項的審計比源代碼審計更為重要；

對於無關的功能模塊應當予以刪除；

以usb存儲為例，ext文件系統可以不予支持；

用正確的協議實現正確的功能。

智能IoT安全遇到的挑戰

接著講IoT～Rokid公司安全負責人白嘎力與大家分享「智能IoT安全遇到的挑戰」。白嘎力表示預計2020年底，將有10億設備接入物聯網，如此大體量的設備面臨著4個維度威脅：硬體、軟體、雲安全、設備互聯和4個嚴重態勢：車聯網、智慧醫療、智慧城市、智能家居。

很多智能設備也做了安全防護，但是內部存在開放的可調試介面，只要打開外殼即可訪問內部系統。還有部分語音控制模塊具備設備操作功能，如果通過模擬聲紋的方式來進行攻擊可輕易得手。包括版本更新機制、OTA劫持等針對弱網路發起的攻擊也很普遍。此外AI等新興技術在進入安全領域的同時也帶來了很多安全風險，比如AI對抗：演算法樣本對抗AI模型或者演算法被攻擊，導致人工智慧所驅動識別系統出現混亂、誤判或者失效；攻擊者還可以通過修改現有的訓練集生成惡意樣本，比如病毒樣本的優化，攻擊載荷的逃避監測系統等等案例。

白嘎力提出了5個關鍵的安全加固節點：

安全審計

：代碼中的安全漏洞進行審計；

安全SDK

：安全開發生命周期引入，標準化；

代碼保護

：程序核心代碼邏輯進行保護；

加固

：加固、加殼子防止易被逆向破解；

IoT平台

：風險及時感知，實時監控監測。

AI安全實踐：探索圖模型異常檢測

除了IoT，AI無疑也是當今的前沿技術。來自斗象科技的高級研究員孟雷以圖模型的異常檢測為例，講述AI的安全實踐。他帶來的議題是《AI安全實踐：探索圖模型異常檢測》。

從設立問題到構建模型，再到人工設立異常閾值檢測，最後使用多目標回歸模型實現動態閾值，最終獲得更精準檢測。孟雷提出了一個完整的AI圖模型檢測。其中的核心是圖節點角色模型：

從多個設備告警日誌中，抽取關聯信息單元，構成告警關聯圖。根據圖方法中的計算指標，對原始告警依賴圖做遞歸特徵提取，生成特徵矩陣。依據前置的角色度量屬性，對特徵矩陣做非負矩陣分解，計算每個節點各角色概率分布信息。生成各節點角色分布圖

今天我的生活越來越數字化，每天都在產生大量網路安全問題，為了保障安全而在外圍部署大量解決方案和節點，這樣的會產生大量的數據。面對如此海量的數據，通過構建攻擊鏈圖模型可解構網路攻擊方式，提供更強的可視性和多設備檢測融合分析支持。

威脅與安全AI市場上的決鬥

如今全球網路犯罪組織在不斷進化，很多環節或攻擊技術都用到了AI，飛塔中國技術總監張略帶來了《威脅與安全AI戰場上的決鬥》的議題分享，聊一聊安全領域的AI對抗。

不斷進化的網路犯罪組織也應用了AI技術，網路安全威脅在AI的加持下也發生了如下的變化：

自動識別出變種模式被發覺，並自動改變變種模式；

自動發現並攻擊高價值目標（震網病毒）；

自動躲避疑似蜜罐，並釋放假病毒，迷惑防禦者；

自動撰寫，並發送給高價值目標釣魚郵件；

自動識別防禦體系，並採用繞過策略和變種。

一言以蔽之，AI和自動化顯著降低了攻擊時間，速度是未來AI對決的主題。

張略表示：AI在國內安全領域的應用大體上還處於機器學習和深度學習階段，還沒有真正達到人工智慧的水平。演算法並不是現階段發展AI安全技術的最大堡壘，而是樣本的量、訓練和反饋的持續性遠遠不夠，需要行業共同努力。

多維度對抗Windows Applocker

360企業安全雲影實驗室研究員計東帶來的議題是《多維度對抗Windows Applocker》。首先，他從三個維度指出了對抗安全策略的意義：

運維視角

：採用系統安全策略等手段提高系統的安全性；

黑客視角

：尋求系統中自帶數字簽名的可執行文件或腳本、程序集，通過它們旁路攻擊繞過安全策略；

終極目的

：實現低許可權下讓惡意文件突破策略運行。

在現場的展示中，他從Powershell入手，假設當前系統已經限制了Powershell的執行，該如何突破？切入點就是多種「攻擊向量」，包括MSBuild+csproj、CL_LoadAssembly、InstallUtil和Regasm/Regsvcs。

在完成展示後，他還和與會觀眾分享了一款360企業安全雲影實驗室出品的開源工具：

支持Metasploit ShellCode，自動生成攻擊向量（可執行文件或程序集）；

支持Regasm、InstallUtil 兩種方式載入；

項目地址

：https://github.com/Ivan1ee/Regasm_InstallUtil_ApplockerBypass。

以太坊態勢感知系統構思與實踐

以太坊的出現直接將區塊鏈技術的發展帶入到了2.0時代。隨著相關技術越來越成熟，而攻擊於防禦的對抗方式也逐步升級，以太坊作為智能合約的先行者，在區塊鏈主鏈技術實現中具有一定代表性。

很多人都把注意力放在了合約的安全性上，而忽略了對於行為的檢測。針對這樣的現狀，玄貓科技安全研究員葉樹佳帶來《以太坊態勢感知系統》議題分享，闡述了對合約、節點、賬戶等層面監控與分析的概念和時間，並為合約蜜罐、安全事件、異常轉賬、釣魚詐騙、非法交易等進行預警並追蹤溯源提供了思路。

他也提出了對區塊鏈安全領域的展望：區塊鏈的安全性逐步提高；攻擊方式更加深入，細分；安全產品種類會愈加豐富。

還有一款開源shockwave工具分享：https://github.com/XuanMaoSecLab/shockwave，支持爬取合約、靜態檢測、regex/match、人工審計等功能。

現場花絮

主會場——前沿安全神盾局

分會場——企業安全俱樂部

分會場——白帽Live

漏洞馬拉松現場

最後，致敬熱愛安全的你~

*本文作者：Freddy，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: