【2015阿里安全峰会】安全狗黄登:所有不给予业务的安全都是耍流氓

7月9日—7月10日,由阿里巴巴集团和蚂蚁金服集团共同发起的2015阿里安全峰会“天下无贼”在北京召开,安全狗资深网络安全专家黄登代表安全狗参加了此次会议,并在7月10日下午在白帽子与安全技术分论坛发表了名为《天罗地网—WAF漏洞挖掘及安全架构》的主题演讲。

演讲中,黄登通过对案例的具体分析,针对性的提出了当前WAF防御所面临的的困境,展示了安全狗提出的WAF模糊测试框架,并且通过对业务与安全之间平衡的陈述,分析了安全防御今后的发展方向并讲述了安全狗在这一方面做出的努力。

演讲实录

CVE-2015-4024由LiuShusheng于2015-04-03提交至PHP TEAM,该漏洞可通过提交特定规则的POST上传数据包,触发服务器PHP容器的资源过度消耗,最终造成DDOS攻击。

在该漏洞提交的一周之内各大安全厂商相继推出新规则、新补丁,以示“天下太平”。一切看起来似乎恢复到了往日的平静。

然而真相却是——这一切并没有什么X用。

该漏洞的核心修补思路是:用\r\n\r\n将form-data的body part分成header和body,header再用\n分割,如果数量大于10的话就直接拦截下来,返回447错误。通过这样的方式,临时抵御这次的DOS漏洞。

但这样做却会导致两个问题:

1、影响正常业务:10行太少,遇到论坛之类的多文件上传的环境就影响正常使用了。

2、RULES DDOS:随着匹配行数的增加, 匹配函数的复杂度以及正则表达式的复杂度都会成倍增长。 最终导致过滤器本身占用系统资源过多(ReDoS)。

从这个案例,黄登为我们清晰的展现了当前WAF防御存在的主要问题:

1、PHP-DDOS CVE-2015-4024 这个漏洞将一直存在,而类似的问题很普遍。

2、架构、策略以及规则复杂度之间存在着必然联系,当架构无法弥补的情况下,规则越复杂就陷的越深。

3、安全性与业务量之间的平衡同样是需要考量的。

在WAF测试中常见FUZZ策略主要有以下两点:

策略1: BLIND FUZZ(传统的基于结果的FUZZ)

策略2: SLICE FUZZ(基于容器特性的FUZZ+组合)

依据此,安全狗提出了WAF模糊测试框架,黄登对其具体框架进行了描述:

基于功能分块:

分块FUZZ:

实现难点: 

 1.容器AGENT必须足够精确(不能用扩展,只能强插)

 2.生成器必须足够灵活,(推荐试用date as code的语言,这里使用new LISP)

 3.分析器采用模板式加载.(一套模板对应一种环境,模板本身就是个CONTEXT)

监控点: 

1.各容器之间的传入和传出数据.(每一个agnet监控点独立负责自己的配置模板)

2.执行时间(性能的波动有可能代表了隐藏的漏洞或者是Dos)

3.容器返回的错误数据.

4.定时保存测试数据样本,以便还原。

分析器:

1.记录有效数据.(根据特征码和模板)

2.分析异常标识,推送给生成器脏字队列.(此过程需可人工切换,验证标识准确性)

黄登透露,安全狗目前正针对这一框架进行相应的研究和开发。

在谈到业务与安全之间的关系时,黄登表示:所有不给予业务的安全都是耍流氓。

他提到,云盾的防御与封杀规则是,明确识别一个IP有攻击行为(10次以内),就封锁此此IP至少一个小时.无论IP大小。那么这就会造成一系列严重的问题,大IP怎么办?连坐真的好吗?轮询手机运营商IP也封?轮询CDN也封?而当连坐效应遇到XSS,你就真的只能”呵呵“了。最终,这一切必然会导致出现进退维谷的局面。

随后,黄登通过陈述当前防御的契机及难点,展示了安全狗的前进方向。

契机:网络数据分析能力将愈加强大,Matrix时代的到来以及联动防御的提出

难点:单一防御的片面性与困难性仍将存在,安全业务调度的复杂性和成本将继续增加(比起传统的端安全)

他透露说,安全狗在去年发布的服务器安全管理云平台——安全狗服云,能够很好的应对这些局面,服云系统构造了基于大数据的安全分析架构,依据服云系统超过两百万台服务器的实时数据、攻击信息及特征,服云能够很好的进行实时的攻击分析,形成包括云端IP黑白名单库、规则库、病毒库、行为库等多项核心竞争力。从而更好更全面的保证了产品的安全防护能力。

另外,安全狗服云还构建了一套多层次的联动防御体系,从网络层、应用层、系统层、云端数据分析等多个层面保障用户系统的安全性,很好的克服了传统安全方案单点防御的弊端。

总结

最后,黄登提出了他对于安全防御的看法,他认为安全的纬度才能决定其高度,立体防御、动态对抗,、端云合一,方为正道。传统端安全防御思路存在很多局限性,片面、独立、非动态并且不顺应业务。

那么新时代的安全防御架构应该是怎样的呢?黄登认为端点收集阻断+网关流量清洗+云中心数据深度分析+安全态势把控必不可少,多点采样, 多层分析, 多维预警以及联动防御, 定制服务, 高大上的安全工程师文化更是关键,而安全狗正是朝着这一方向在不断努力前行。

了解更多安全狗信息:http://www.safedog.cn

时间: 2024-10-03 19:18:24

【2015阿里安全峰会】安全狗黄登:所有不给予业务的安全都是耍流氓的相关文章

2015阿里安全峰会

catalog 0. 会议相关 1. 起航-远望 2. 沈昌祥院士议题: 云模式下等保体系建设 3. 安全的未来是态势感知 4. 网络安全的北回归线 5. 互联网+时代的移动安全实践 6. 政企安全之云化 7. 制高点.雷区和火力支援-纵深防御体系中的能力点思考 8. 其他议题 9. 参会感受 0. 会议相关 2015-07-09~10(持续两天) 北京JW万豪酒店 主题: 天下无贼 1. 起航-远望 0x1: 演讲者 阿里安全技术副总裁: 杜跃进 0x2: 技术背景 1. 新形势的互联网安全包

2016阿里安全峰会重点资料下载

2016阿里安全峰会重点资料下载 风声与暗算,无中又生有:威胁情报应用的那些事儿 内容整理:https://yq.aliyun.com/articles/57700 PDF下载: ·     Webshell安全分析实践谈-陈中祥 ·     安全威胁情报如何敲开企业安全管理的大门-苏砫 ·     打赢企业信息安全这场仗-姚威 ·     风声与暗算-严雷 ·     攻击过程的威胁情报应对体系-王云翔 ·     如何产生威胁情报高级恶意攻击案例分析-宋超 ·     网络安全情报在企业侧的

《2015 html5 iweb 峰会观会后感》

今天是2015  html5 iweb 峰会,大会在早上8:30,就开始了,没想到被坑了,看错一个字,把"国际会议中心",看成了"国家会议中心".大约过了10多分钟才发现自己找错了地儿,不过我发现弄错的人不只我一个,居然随便问一个小伙伴也是去峰会的,于是一同打滴去了,没想峰会到场人数会如此的多,上午会场,目测应该有大概有1000多人. 大会主要分: 上午场:游戏专场 (cocos .白鹭引擎.Layabox.(非游戏)Dcloud.(非游戏)TalkingData(

2015阿里天池大数据竞赛-Solution

竞赛介绍:链接 这篇文章记录2015阿里天池大数据竞赛中,我的一些代码,由于目前还在比赛中,仅分享一个naive solution,基于规则,代码主页在我的github上:链接,下面是代码说明.有兴趣的请看代码注释,恕不详述. 本repo目录说明 data 存放数据 preprocess 数据预处理 rule 根据规则生成提交文件 model 训练机器学习模型(暂时不分享) 代码使用说明 fork本repo,非Github用户请点右下角的Downlown ZIP 解压后,将tianchi_mob

2016阿里安全峰会:我一次思想排空的旅程

2016年7月13-14号参加了2016阿里安全峰会,峰会主题是"聚力赋能".我给自己的定义是思想排空的旅程.这是第一次参加大型安全峰会,谈不上受益匪浅,但是当见到哪些传说中的郭启全.大潘.赵粮.肖新光.谭晓生......一霎间感觉自己真正意义上成为信息安全一名从业者,感觉进入到信息安全的圈子(虽然我已经从业5年以上). 我个人的信息安全观一直停留在一个狭隘和低阶段的层次,就像井底之蛙.当我还停留在传统的信息安全思想是产品和服务时候,信息安全顶层已经开展了生态治理,已经从IT变成了DT

关于2015阿里移动推荐算法大赛的总结(三)——机器学习

关于2015阿里移动推荐算法大赛的总结(一) 关于2015阿里移动推荐算法大赛的总结(二)--推荐算法 关于2015阿里移动推荐算法大赛的总结(三)--机器学习 后来我们回归到正途上,虽然我们也想用深度学习的方法,但是毕竟还是菜鸟的水平,所以把目标定在能用机器学习跑通一遍,顺带熟悉一下各种机器学习算法的实际应用.但是最后的最后我们只用了LR,然后就受打击了.哈哈~ 想用机器学习的方法,那么思路其实也很明确,问题是那一天用户是买还是不买,那么可以看成是二分法.通过用户行为方式来判断是否会购买.就是

2015阿里秋招其中一个算法题(经典)

写一个函数,输入一个二叉树,树中每个节点存放了一个整数值,函数返回这棵二叉树中相差最大的两个节点间的差值绝对值.请注意程序效率 这是2015阿里秋招的一个在线笔试题 实现方法很简单,遍历一遍二叉树,找出最大最小,一相减就可以求出最大的差值 之前在做题的时候居然写递归的方法求值,后面测试了一下,果然结果不对 只要是非递归的的方法遍历都可以很容易找出最大值最小值,效率也比较高,时间复杂度为O(n). 下面是我用非递归从上往下遍历二叉树的方法 用队列容器即可方便实现. 我写的代码: #include

从量子加密到机器学习,盘点2015阿里云开放的黑科技

http://www.csdn.net/article/2015-12-18/2826512 摘要:因为云计算应用的不断深入.以及对大数据处理需求的不断扩大,用户要求功能丰富.性能强大.高可用性的产品,云计算厂商们也推陈出新,不断地推出新产品,本文就盘点了业内翘楚阿里云在2015年那些有价值的新产品. 作为云计算产业热土的中国.2015年产业规模依然保持快速增长.且国内的公有云服务领域有几十家企业在角逐.经过几年的发展,眼下市场逐渐明朗.有些公有云企业已经遥遥率先,而有些企业非常可惜,已经開始掉

2015阿里实习生内推面经

一面(杭州的电话) 2015/3/6,1:54 - 2:15,20分钟,中间断线两次 先自我介绍. 汇惠APP有哪些功能?-你负责什么? 底部导航栏用什么实现的?RadioGroup,主页面的子页面用什么实现的?TabActivity "优惠"页面布局是怎么组织的?下拉刷新是怎么做的,自己写的还是第三方的? ListView用的是系统的还是自己写的?系统的是如何优化的?你用到什么优化的方法?ViewHolder等.介绍ViewHolder?了解ListView的实现机制吗?ListVi