祝国邦:网安等保政策解读
- 全国网络安全等级保护测评机构推荐目录
http://www.djbh.net/webdev/web/LevelTestOrgAction.do?p=gzdtLv3&id=402885cb35d11a540135d168e41e000c - 数据不出门,可用不可见
- 供应链安全需要加强审核(对关键设施,采购和运维的招投标需要严格审查)
- 对于遭受网络攻击后不报案,引发更大损失的,依法追究责任
杜跃进:数智时代的安全挑战与变革
-
信创:信息技术应用创新
信息技术应用创新发展是目前的一项国家战略。发展信创是为了解决本质安全的问题。本质安全也就是说,把它变成我们自己可掌控、可研究、可发展、可生产的。
简单说来就是IT基础设施/硬件(如CPU/交换机)、基础软件(如OS/DB)、应用软件(OA/ERP/政务)、信安产品(边界安全/终端安全产品)整条产业链的国产化。 -
三个发展趋势:
软件定义
泛在互联,设备应连尽连
数据驱动,数据应采尽采
与这三个趋势相应的,安全风险也越来越大。 -
IT OT DT
数据安全(DT安全)已经独立于IT安全;
OT也应该单独考虑:https://www.sohu.com/a/332085326_120136504
OT,运营技术,主要涉及工业控制系统中监视或触发物理设备变化的硬件和软件。在现有一些工业操作中,两者却常被割裂,被认为IT安全由网络运维团队负责,OT安全则由操作员或业务员负责。而面向OT系统的安全威胁更是常被忽视掉。这不仅由于OT中的安全程序和技术应用与IT系统大相径庭,还由于每个垂直行业业务特征存在较多差异。
IT环境是动态的,比如说,IT系统需要经常修复、升级、替换。IT员工很关注数据机密性、完整性和可用性(这三性也称为CIA)。他们很了解最新IT趋势和威胁。然而,IT人员往往不熟悉OT网络或工业控制系统(ICS),他们中几乎没人会涉足工厂环境。
与之相反,OT员工在以稳定性、安全性和可靠性为重的运营环境工作。他们的工作涉及维护复杂敏感环境的稳定,比如炼油厂、化工厂和水厂这类充斥几十年前的遗留系统,且系统几十年间未做更新的环境。他们的箴言是:“只要能用,就别动它。”
平常在IT中司空见惯的那些安全措施并不适用于工业控制系统中使用的OT系统。比如仅仅是网络扫描就有可能造成宕机,增加加密和身份认证可能导致延迟增加反应堆未能及时关闭,打补丁可能造成意外。
传统IT安全所做的努力并未白费,而是成为了安全体系中更小的一部分。 -
从产品导向到能力导向
当前 0day 攻击、APT 攻击、勒索软件等威胁愈发严重,安全对抗的水平在不断提高,而传统的防护方式却只在产品上不断加码,夸大了工具与自动化分析的作用。这种“银弹式”的安全规划极容易忽视掉新暴露的风险。
未来,应该以能力为导向。以国家大规模网络安全事件应对的能力模型,这个模型中并非只有产品,而是汇总了流程、数据、机制、组织、技术形成能力。
周亚金:以太坊智能合约攻击分析
根据公开信息(受害者上报/发现了异常状态),采集数据,更快、更省地重放交易,发现异常交易。
绘制Fomo3D中钱的流动图,发现可疑的智能合约账户。
通过频繁交易,操纵交易所的价格,分为直接价格攻击和间接价格攻击。
前者利用有漏洞的合约,能导致攻击者抛售的货币在抛售后价格下降,攻击者再买回过后得到了更多之前抛售的货币;
后者通过操纵lend app参考的交易所价格,使自己持有货币的价格虚高,将自己持有的货币进行抵押,就可以借到较多的钱,然后不予归还,从而在超额抵押的前提下获利。
腾讯Blade研究员何林书:云基础设施硬件安全威胁
- NIC相关
如intel-SA-00063 - BMC(baseboard manager controller)相关
如CVE-2019-6260
BMC basecode厂商AMI提供代码供大家二次开发,因此AMI的代码漏洞很重要
BMC提供远程管理,可能存在web登陆漏洞,所使用的IPMI协议可能存在漏洞 - CPU漏洞
spectre:分支预测失败后的还原不会回滚缓存,通过访问时间可以知道哪一块被缓存,泄露秘密信息
meltdown:利用乱序执行,用户态可以读取内核态地址
meltdown可以通过KPTI缓解,R0和R3采用两套不同的内核页表。用户态和内核态的切换会导致cache冲洗,会有性能损失。
MSBDS:intel的优化,取数据紧跟存数据操作时,如果两者低十二位相同,intel认为是同一地址,导致存的数据被泄露。
linefillbuffer:同一内核的两个超线程共享L1和L2缓存,这导致跨进程信息泄露
CPU漏洞的发现,可能需要仔细阅读官方文档和专利;此外可以借助CPU漏洞FUZZ框架;
利用性能计数器(如可以用性能计数器判断linefillbuffer是否被使用)。
刘文懋:物联网威胁捕获与追踪
- https://shodan.io
- 关联设备数据(比如防火墙和入侵检测系统),爬取安全资讯
- 5555端口,adb调试监听,经常被黑客利用
- 协议被滥用于DDoS反射攻击
如ws-discovery,ADDP(advanced device discovery protocol),openvpn,CoAP,DHDiscover, Ubiquiti等协议。
放大比BAF的定义:请求长度和响应长度的比。很少请求,很多响应的情况容易被攻击者利用。
防范反射应遵循的原则:“非多播不响应,非内网不响应”。
物联网设备的UPnP/SSDP服务(port 1900) 也可被用于DDoS攻击。 - 物联网协议缺少best practice,容易出现错误或不合理配置。
- 很多厂商没有应急响应中心或者安全团队。