《2019网络安全大会》感想

        每遇安全大会时间，看听行业动态和体验前沿的新技术和产品，使我重新思考现处行业的现状与未来。

《2019网络安全大会》感想

聚合应变，内生安全

        今年的网络安全大会主题是“聚合应变，内生安全”，变是网络威胁动机已从劫持、破坏、窃取、篡改数据上升到有组织化的经济或政治目标的网络战，网络威胁对象从互联网晋升到了网络空间，攻击矛头由个人移动用户移动到大型企业，网络威胁发生了大变化，那么防守方该如何调整抵御方案？齐老大给出应对方案是内生安全、聚合应变，企业内部建设结合自身业务的安全体系，解耦业务系统，在各节点插入相应的安全设备，建设一套安全防御系统，该系统对于一般的网络攻击有自动发现自动修补的能力，对于大型网络攻击有自动预警和应急响应策略，对于更严重的网络攻击有自我预测和权限收紧能力，保证核心业务不中断。该系统聚合业务与安全检测，聚合各岗位的技术人，聚合信息化系统与安全系统，来建设独特属于自身的安全防御系统。但防患于未然仅有内部安全系统是不够的，比如一个人自身免疫力非常强就肯定一直健康安全吗？还应该关注外界的一些流行病、病毒等并提早做抵抗准备(还记的非典时候的疫苗吗？)，安全防御是一个道理，建设内部防御系统还应该聚合外部的安全威胁情报信息来提高防护能力。

          传统网络安全检测，如防火墙和入侵检测，检测和防御关注重点的多是恶意代码家族、钓鱼 URL、控制域名或 IP 之类的黑名单库，这个黑名单库中包含碎片化的威胁指标信息，对于一般性的攻击、安全匹配引擎碰撞黑库产生攻击告警，但对于高级可持续的威胁就显得逊色，因为黑名单库碰撞率低和滞后的原因，高级威胁特征是隐蔽性和持久性，攻击常常混在业务数据中，让传统安全设备无法辨别真假，那么用什么方法防御APT攻击？威胁情报来了，威胁情报会告诉威胁分析师或运营人员，攻击来源是谁，其意图和目的是什么，用了什么样的战术、技术和过程，也就是 TTP。

威胁情报不足与未来

        当前威胁情报解决方案也不是最完善的，威胁情报的中公开的IOC信息，如 Hash、domain、IP 是容易变更的(攻击组织变更和模仿者或者是攻击武器曝光后脚本小子用来实战配置)，变更的IOC信息在很大程度上对安全运营人员来说已近无价值，因为攻击组织如若知道自己使用的ip,域名已经曝光，还会继续使用？

而 TTP(有目的的战术、技术、过程)相对IOC 是难以变更的，如要变更周期和成本是很高的，相当于攻击组织需要重新设计开发kill chain,攻防本就是在时间基础上的竞争，如果在攻击组织重新设计过程中可利用的0day被纰漏修补，那就错失了“良机”。所以威胁情报的未来方向是标准化TTP,本次大会就有标准化TTP相关的议题，是MITER非盈利组织提出来的ATT&CK框架用来标准化和共享TTP情报。

TCP侧信道攻击

        本次大会听到理解了一种攻击，侧信道攻击，侧信道是一种意外泄露敏感信息的信道。侧信道是有共享资源时，访问共享资源意外获得敏感信息的信道。

如TCP侧信道攻击，利用协议中challenge ack 的响应机制的漏洞来完成注入、钓鱼和非中间人的劫持用户。

现场照片

漏洞原理：

      攻击者猜出用户和服务端的tcp实时链接，然后通过枚举的方法破解应用层协议和数据，伪装成服务端与客户端通信，完成注入或是劫持。

漏洞利用细节:

        猜出用户与服务端tcp链接的ip,port,序列号，服务器处理tcp重建链接时会有chanllage ack的检验ip,port，序列号都一致才能允许重建，这个chanllage ack在规定时间1s里回包数量默认值是100，攻击者伪装成客户端向服务端发送重链接rst请求，如果伪装的是对的则只能收到99个chanllage ack报文(说明伪装成功一个报文发给真实客户端了，所以少一个包)，否则会收到100个该报文，猜出链接后应该识别上层应用数据，对于未加密的数据解码即可，但对于加密和私有协议数据，可以通过枚举法枚举出数据，然后展开下一步攻击。相应的poc,exp代码在github已公开。