2019 CIS网络安全创新大会在上海开幕。会议由FreeBuf、网络研究院、上海信息安全行业协会联合主办,聚焦技术研究,共同探讨网络安全。腾讯安全专家展示了AI安全、漏洞挖掘、指挥混乱、攻防对抗等前沿技术。峰会现场,并分享了企业安全体系建设、云上数据安全风险管理、保险合规等对企业实用有益的经验。
红色对抗,用实战检验保障能力
企业招募安全团队、购买安全产品、设置安全防御体系后,真的足够安全吗?“实战是检验防护能力的唯一标准。”至于企业的实际防护能力,腾讯安全平台部总监Hooper认为,拥有防御体系只是基础,此外还需要具体的手段来检验。腾讯的红蓝对抗是一种有效的方法。
红蓝对抗是渗透测试的升级版,包含渗透测试,测试整个防御体系的有效性。腾讯通过建立系统安全蓝军、网络攻击蓝军、业务安全蓝军、物联网和硬件设备蓝军、基于白帽公测的泛蓝军等子团队,整合各领域的攻防能力,使之可以应用于腾讯内部安全防护和企业安全能力测试。在企业的攻防演练中,腾讯可以基于其丰富的安全事件处理经验,模拟多种红蓝对抗场景,确保企业能够应对多种攻击场景。
以红蓝对抗中典型的高层指挥混淆对抗为例,腾讯刀片团队张尧、腾讯安全曾志阳从大规模数据的角度分享了有效识别混淆指挥的策略构建思路。目前新型混淆工具的开源使得混淆变得容易,而企业中大规模的服务器命令数据使得检测命令混淆变得更加困难。但是现有的检测方法很少,尤其是针对Linux混淆的检测方法,业内也没有已知的解决方案。腾讯刀片团队根据Linux的特点提出octopus命令混淆检测方法,解决技术痛点,实现命令混淆的高效识别。
深挖漏洞,筑牢网络安全防线。
在新的安全形势下,漏洞已经成为网络安全的最大隐患,而漏洞挖掘与发现作为网络安全的核心技术之一,一直是腾讯不断探索的方向。
Web漏洞是最常见的外部漏洞之一。腾讯云鼎实验室的张祖友带来了Web漏洞挖掘的案例分享。"漏洞挖掘实际上是对知识缺口的利用."只有不断提升漏洞挖掘能力,才能在攻防中占据主动。
以编写Fuzzer将军为例,腾讯刀片团队翔和腾讯安全的李宇翔分享了团队在浏览器漏洞挖掘方面的实践。该技术已广泛应用于安全检测。已成功发现主流智能建筑协议SQLite中的严重漏洞和ZigBee、KNX中的安全漏洞。已向谷歌、苹果、微软、小米、华为等厂商上报了200多个高危漏洞,并与部分厂商建立了合作关系。
此外,腾讯安全专家还分享了AI、车联网等当前热门话题。云上的保险合规性和数据安全风险管理。
释放安全能力,领先科技为行业发展保驾护航
红蓝对抗多年的实战测试和漏洞挖掘,保证了腾讯企业业务的安全运行。同时,腾讯将内部蓝军在渗透测试、红蓝对抗等领域积累的工具和方法论沉淀输出为腾讯安全专家服务。在了解企业实际安全情况的基础上,针对企业核心业务,模拟多种逼真的红蓝对抗场景,使企业人员了解常见的网络攻击方式和实际防护,培养和增强企业安全人员的安全意识,从而更好地保护企业的数据和信息安全。
在攻防方面,腾讯安全不仅在Pwn2Own、DEF CON等全球顶级赛事中多次夺冠,其多项领先技术也形成了针对不同行业、不同业务场景的个性化解决方案,成为腾讯安全护航行业的优势。
基于过去20年积累的攻防经验,腾讯从“情报-攻防-管理-规划”四个维度提出了具有战略眼光的安全体系,在政府、金融、泛互联网、大交通等互联网转型重点行业形成了完善的行业安全解决方案。,并深入各行各业新场景、新业务拓展,为产业安全建设提供多维度、立体化的战略规划。
