漏洞防御話題BlackHat大會(huì)引關(guān)注 京東安全推出首款漏洞評(píng)估自動(dòng)化解決方案
來(lái)源:湖北國(guó)菱計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開(kāi)發(fā)-政府網(wǎng)站建設(shè)公司
時(shí)間:2018-08-13
日前,網(wǎng)絡(luò)安全領(lǐng)域的全球最頂級(jí)盛會(huì)——BlackHat在拉斯維加斯召開(kāi)。作為網(wǎng)絡(luò)安全行業(yè)公認(rèn)的最高技術(shù)盛會(huì),匯聚了全球最新、最強(qiáng)的安全研究成果,前瞻性議題成為BlackHat最大亮點(diǎn)。為保證會(huì)議對(duì)全球安全行業(yè)的引導(dǎo)力,BlackHat對(duì)議題的篩選十分苛刻,入選率不足20%。在本屆大會(huì)上,京東安全針對(duì)“內(nèi)核高危漏洞自動(dòng)化分析和評(píng)估”的議題成功入選,同時(shí)還發(fā)布了全球首款漏洞可利用性自動(dòng)化評(píng)估工具FUZE,讓安全專家們?cè)诤诋a(chǎn)對(duì)抗的時(shí)候,手中掌握了一個(gè)“核武器”級(jí)的工具。
黑產(chǎn)攻防對(duì)抗的“核武器”
事實(shí)上,在安全界找漏洞并非難事,難的是如何確定漏洞的安全等級(jí)。畢竟不是所有漏洞都能對(duì)系統(tǒng)造成威脅,而如果工程師在處理低級(jí)漏洞里耗費(fèi)了大量時(shí)間,則會(huì)讓高危漏洞有機(jī)可乘,這種打擊往往是致命的。以2017年初的Linux內(nèi)核漏洞事件為例,在安全研究員Andrey Konovalov使用Syzkaller fuzzing工具發(fā)現(xiàn)了DCCP協(xié)議實(shí)現(xiàn)中的Linux內(nèi)核漏洞并公布前,并沒(méi)有任何安全專家察覺(jué)到。這一漏洞在Linux系統(tǒng)中“潛伏”了十余年,令業(yè)界嘩然。
京東安全表示,一直以來(lái),行業(yè)通用的應(yīng)對(duì)辦法是依靠個(gè)人經(jīng)驗(yàn),換句話說(shuō),只有等別人把漏洞的利用腳本公布出來(lái),大家才知道這個(gè)漏洞的危害性很大,這種方法效率是很低的。而FUZE將漏洞評(píng)估全面自動(dòng)化,以提升漏洞應(yīng)對(duì)的針對(duì)性和效率。根據(jù)實(shí)際測(cè)算數(shù)據(jù),在應(yīng)用FUZE系統(tǒng)后,漏洞評(píng)估及應(yīng)對(duì)的效率出現(xiàn)了顯著提升,原來(lái)多個(gè)安全工作者數(shù)天才能完成的工作量,現(xiàn)在幾分鐘就能自動(dòng)完成。
除了評(píng)估漏洞的安全等級(jí),FUZE還能完整的“回放”漏洞可能被利用的過(guò)程,極大的提升了企業(yè)的安全防范能力。以每周為例,一家中型的IT企業(yè)就可能會(huì)面對(duì)數(shù)以百計(jì)甚至數(shù)以千計(jì)的軟件漏洞。但對(duì)于這家企業(yè)而言,由于安全人員的匱乏和專業(yè)技術(shù)的缺失,無(wú)法快速完成對(duì)軟件所有漏洞的修復(fù)。而現(xiàn)在通過(guò)FUZE完成對(duì)漏洞的評(píng)估后,則能夠快速、準(zhǔn)確的將企業(yè)有限的資源投入于修復(fù)那些高危漏洞。用京東安全專家的話說(shuō):“這就像給導(dǎo)彈添加了精準(zhǔn)制導(dǎo)的能力。”
內(nèi)核漏洞防御新機(jī)制:以攻為守,實(shí)用至上
“ 之所以選擇內(nèi)核漏洞,是因?yàn)橄啾绕渌┒?它才是最可怕的?!本〇|安全專家解釋道,“要防御就要防最難的,連它都防住了,其他自然不在話下?!币栽斐蓢?yán)重安全事故的APT攻擊為例,無(wú)論是“綁架”搜索巨頭谷歌數(shù)月的極光攻擊事件,還是日常生活中常見(jiàn)的手機(jī)、游戲機(jī)的越獄都是利用系統(tǒng)內(nèi)核得以實(shí)現(xiàn)。
與一般漏洞不同,操作系統(tǒng)內(nèi)核漏洞有其特殊性,攻擊者可繞過(guò)內(nèi)存訪問(wèn)的安全隔離機(jī)制,獲取操作系統(tǒng)和其他程序保護(hù)的核心數(shù)據(jù),就好像地基出了問(wèn)題,門衛(wèi)守得再嚴(yán)也沒(méi)用,因此往往防不勝防。而京東安全的FUZE則一改傳統(tǒng)防御方法,以攻為守,利用內(nèi)核模糊和符號(hào)執(zhí)行技術(shù),為安全分析師提供了繞過(guò)安全緩解的能力,允許安全分析人員自動(dòng)生成具有不同開(kāi)發(fā)目標(biāo)的漏洞攻擊,從而可以評(píng)估即使尚未確認(rèn)或驗(yàn)證漏洞利用的內(nèi)核漏洞是否具備生成漏洞的能力。
“在防御方面,我們要采取實(shí)用主義態(tài)度。”京東安全專家解釋道:“我們要比攻擊方更了解攻擊,更懂得漏洞的利用,這樣才能比攻擊方快人一步,早發(fā)現(xiàn),早治療,才能立于不敗之地?!睋?jù)了解,未來(lái),京東安全還將開(kāi)源更多防御工具,與全世界的安全人士一道,用實(shí)用精神共同守衛(wèi)網(wǎng)絡(luò)安全。