10月25日,游族首届创新安全开发者沙龙在游族大厦2楼电影院成功举办。此次沙龙由游族网络主办,知道创宇赞助支持,邀请了来自北京、上海两地的五位知名互联网公司的安全开发工程师,议题涵盖了企业安全建设中的数据安全、入侵检测、扫描测试、DDoS防御等问题,议题内容从解决方案框架一直深入代码底层,内容十分硬核,与会听众直呼过瘾。
议题一:企业运营后台之数据安全
这个议题来自于携程资深数据安全工程师挖土。数据安全是当前安全领域最为火热的话题之一,很多企业受困于敏感信息访问监控、预警、追溯能力的不足,在信息泄露事件发生时往往束手无策。
针对企业内部的后台系统的敏感数据访问监测,挖土带来了他的解决方案:利用suricata(一个开源的网络入侵侦测系统),通过luajit的敏感信息正则表达式匹配,实现对内部运营系统向用户返回的response中敏感信息的监测。为了能够将request/response匹配到用户,实现更细粒度的监测、告警,挖土选择了通过setcookie的方式,将加密后的用户信息埋在session cookie中,从而实现了从请求到用户的关联追溯。
更多的内容,请参见演讲视频和分享的PPT,笔者是看不懂了…
议题二:osquery实战
这个议题来自于某互联网大厂的资深安全工程师spoock。osquery是一个开源的全平台的信息采集软件,全平台意味着它能够适配于Windows,Linux,Mac,Ios,Andriod,并能够通过非常简单的Query语句进行系统信息查询,所以被广泛用于运维、监控,而由于其监控能力的丰富,也有越来越多的安全工程师开始利用osquery进行主机入侵侦测、终端准入访问控制的探索。Spoock带来的议题就是他们在尝试使用osquery作为主机入侵侦测系统agent过程中的一些心得和踩坑经历。
作为一个web渗透转型二进制的安全工程师,他很感慨的说:“人生不要给自己设限”。他一边详细阐述osquery的原理,一边感谢来自于osquery社区的支持,同时也毫不客气的吐槽踩过的深坑,例如osquery自身监控机制watch dog与cgroup冲突导致CPU飙高的情况,单个db文件过大的问题等。每一点都显示出Spoock对于技术的热爱与执着。值得一提的是,Spoock打着石膏的脚和拄着的双拐在场内外都引起了不小的关注,在此提醒各位,过马路不要看手机…
最后,他还分享了其所在公司使用osquery作为HIDS的部署、使用情况。作为一家超大体量的互联网公司,需要充分考虑稳定性、兼容性、低损耗、低侵入性等问题,而作为一个自研的解决方案,osquery出色的完成了其设计初衷的使命。
议题三:无限防护下的“云安全”
这个议题来自于此次沙龙的合作伙伴知道创宇的安全工程师甜橙。作为国内顶尖的云安全厂商,知道创宇深耕抗DDoS攻击领域多年,对不同类型的DDoS攻击有着深入的研究和对抗经验。甜橙从近期AWS的DNS服务遭受DDoS攻击导致服务中断的事件说起,对常见的DDoS攻击进行了分类阐释。DDoS攻击从攻击对象的角度大概分为消耗网络资源、消耗系统资源、消耗应用资源三类,并从对抗的角度,对不同类型攻击的防御方案进行了效果、成本分析,最划算的当然就是--选择知道创宇的服务啦!作为与创宇合作多年的伙伴必须感叹一句,创宇的防御能力不但足够强,支持服务也超级好,是不会错的选择。
议题四:黑盒 Payload 生成技法
这个议题来自于滴滴的高级安全工程师Gaba。Gaba在渗透测试、黑白盒漏洞扫描等领域深耕多年,是不折不扣的老司机。他带领的滴滴黑盒测试研发团队,经过不断的改进、探索,使自动化的黑盒扫描漏洞检出率提高到了95%以上,成效斐然。他以常见的逻辑漏洞为例,步步深入的介绍了如何进行测试请求模板的设计。黑盒测试的核心,是对请求参数的抽象,通过建立规则集,实现对请求参数的污染性的渲染,并对Response进行分析,从而实现黑盒测试的结果验证。而整个过程的核心就在于如何建立场景规则集,Gaba提到了几种方式,包括人为总结(自定义)、参数黑白名单、根据类型进行排列组合、根据历史记录进行范围调整等。
面对“东北人不脱貂”而淋漓大汗的Gaba,混迹于各大SRC的知名白帽子Alice也谈了自己对于扫描器优化的看法,例如历史常见漏洞参数的收集、枚举,了解鉴权参数的设计方案,静态页面排除优化等,可以减少无用的扫描请求,从而实现扫描器效率的提升。
议题五:Linux HIDS杂谈
最后这个议题是本场沙龙的东道主游族网络资深安全工程师E_Bwill。作为国内领先的Linux内核态HIDS研究的探索者,E_Bwill在开源了AgentSmith-HIDS之后,在身边聚拢了一大批优秀的开发人员,此次的演讲嘉宾也都是他的朋友和伙伴。E_Bwill从安全攻防的实战案例讲起,通过常见绕过HIDS的姿势举例,对当前用户态HIDS的能力局限进行了分析。同时,结合Win10 \ MacOS的安全设计,与Linux进行了对比分析,识别发现其安全防御能力的先天性的不足。对于Linux的安全性,E_Bwill表示了悲观的看法,并认为随着云的推广,各家企业在网络边界层面能够进行的安全防御将越来越弱,而Linux的对抗也必将走向内核态的Ring0。
在演讲的结尾,E_Bwill提到了两个非常精彩的观点:“安全不是单点防御,需要多个安全组件协同作战”,“安全不是安全问题,更是架构问题,需要顶层设计共同实现”。这样的论述体现了其更高的站位和视角,是一个出色的安全架构师所应有的视野与认知。
茶歇
不多说了,看图吧,逼格不高,数量管够,照片好看!
奖品
此次活动的奖品十分丰富,除了知道创宇提供的文化衫,游族网络自研IP的各路伴手礼,还有异步社区的优质图书和四叶草的保温杯、笔记本,来的都是,礼品拿到手软~~~
最后,感谢为此次沙龙辛勤付出的小伙伴们,活动大总管温蒂,游族大学的教导主任小饭,最美迎宾女神晓月,现场后勤支持小林,行政后勤支持月霞、周小胖,大美女设计师丹丹,还有品牌部、采购部、新番工作室、西游女儿国等的大力支持,期待下一次活动更精彩!
演讲PPT分享
链接:https://pan.baidu.com/s/1nn6f5-y5wTxWy_aERDr46g
提取码:v6u2
演讲视频分享
链接:https://space.bilibili.com/62051157/channel/detail?cid=93474