您所在的位置:首页 > 网络营销

热点推荐

最新推荐

相比众多 CTF 和 PWN,安全圈的这场比赛更值得关注

编辑:互联网思维网时间:2019-07-09 08:38:20阅读次数:

摘要:软件供应链的安全性,在端面什么样的情况?

对于攻击者来说,如何用最低的成本来获得攻击的最好的效果是他们一直追求的,如果你可以让自己容易被人发现,就再好不过了。

近年来,通过供应链软件的方式实现污染恶意攻击的,因为上述原因,经常使用。

2015年9月,XcodeGhost爆发,今年将被用于所有iOS程序员的开发工具,使超过4000个不同的苹果应用程序版本被感染,该事件影响了中国近一亿的苹果手机用户,因此,软件供应链安全问题开始受到广泛重视。

▲来源:FREEBUF

雷锋,盗贼编辑之前,入室盗窃,作出恰当的比喻。

之前,小偷到你家来偷东西的,可能需要把社区门禁卡搞定,那么这个单位得到门禁卡,最后通过多种方式来锁定你的家分成,之前你可以把你没有的优势,窃取某物。

但现在,小偷可能是在路上你的房子住的地下通道,导致在你的征款或时间装修了许多,并在黑暗中配有各种照相机和窃听器。

\

他知道,你正在做的所有的时间,具有重要的隐私信息,知道你的家庭是最宝贵的东西,当你回家无法找到 。你不今天在家扔东西,这并不意味着现在贼不起来,但时间还没有关注关键。

即使有一天你发现家里丢了什么东西,小偷也打不通摄像头方面的任何信息,而不是像传统找到线索靠捡其他标记破案。

在网络安全,这种“偷”的方式在恶意攻击越来越流行,从棱镜XcodeGhost门,从HP驱动器键盘记录后门后门XSHELL,蟒蛇PIP污染从源头到VSCODE供应链软件插件钓鱼 。不仅安全事故频频发生,和巨大的力量。有时黑色不再花钱搞生产0天,我们将能够以“四两拨千斤”的方式来获得高回报,在事件发生后,又往往溜之大吉,很难跟踪。

从目前的情况来看源很多软件是恶意“污染”,今年阿里巴巴从三月到十月,举办了供应链安全软件大赛,近日,阿里的资深安全专家的主要组织者之一猎人,花了整整一个下午,雷锋,编辑聊了本次比赛的详细通话,以及当前的软件供应链安全困境组织面临的深层次原因。

▲阿里安全专家亨特

我们生活在一个危险的世界充满了代码

除了水,空气,阳光,并且它正在成为我们只需要一件事---软件。

我们的这些广泛的应用内智能手机,大约是物联网设备的每一个角落,未来最终将流行的无人驾驶汽车 。近10年来,世界各地的程序员准备和大规模的软件复用已经极大地改变了我们的生活。

据不完全统计,开源软件目前的数量已经超过5.3十亿线,在全球2000家强公司,使用共同的组件,至少开源每个家庭50,000行。

换句话说,今天的许多产品和应用程序,我们使用,是“站在巨人的肩膀上”,开源和闭源软件的供应链,越来越重要的作用被发挥。

但最终这个巨人可靠不可靠?

文章频繁的安全事故之初的背后,从软件的北京大学微电子章施昆教授带来了一组数据:下载JAVA成员,已知的安全漏洞存在的可能性是在旧版本的组件,其中十六分之一,更可能包含安全漏洞。

这些漏洞并非由完全的恶意代码,背后却隐藏着不能忽视。

现在的情况是,要分析更多数量的对象,规模也越来越复杂,但分析师的数量有限,精度水平参差不齐的水平无法得到保证,由于人员流动更将带来不可估量的损失。

当时大量保安人员的重复劳动中度过的各种低级别的脆弱性分析中,反向占用了大量的能源,很多时候更像一个纯粹的体力劳动。

这种情况下,如以下几点:

▲来源:阿里聚安全

亨特介绍,用于检测的恶意代码,除了几个常用的工具,(IDA,Ollydbg的等。),大部分工作都需要人工分析。对于学生刚刚起步,人工反向打怪升级成就某种意义上说,“阅读这些文件”,“使这些数据”,“哦,原来是这么回事”,但随着时间的推移,提高时间的技能,在反向工作已经成为纯粹的体力劳动,只能来回每天运行程序,设置断点,获得接口数据,修改数据,记录的书面分析,大量的时间花费在这些繁琐而不是创造性的工作和炭黑生产带来的威胁呈指数级增长,已经越来越难打。

\

要检测大质量物体的那张脸,通过自动化工具,这些重复的任务能否实现,更有效地对恶意攻击作出回应?

它的想法,阿里举行这样一个难得的行业,比赛是如此长的供应链安全软件竞争。(2018年2月 - 月; 2018年3月 - 四月将举办软件供应链的安全测试赛四月 - 在9月举行的比赛,在10月举行的总决赛,总奖金1.500万元)

有组织竞争的根本原因

对于目前的情况来看,供应链的安全软件,美国已经开始谋篇布局。

正如前面提到的,写人类速度的新软件比人工检测速度,出色的安全人员在最近几年快得多,还供不应求,所以自动发现软件漏洞已经成为网络安全技术的发展趋势之一。

2016年8月,美国国防部高级研究计划局(DARPA),它举行了世界上第一个网络攻击和防御的机器到机器(CGC),在大赛中使用,才发现在错误的自动化技术的较量软件,并确保这些漏洞可以被利用的安全漏洞和入侵电脑。

在比赛过程中,参赛队需要建立自动化系统,使程序有缺陷的自动增强,并相互攻击,这些系统不仅要能够抵御外部攻击,而有必要打击对手。

这表明,在大洋彼岸的美国,有这种自动检测和攻击和防御为国家战略,并按照大手笔投入和长期发展规划。

换句话说,这些顶级的安全研究人员共同积累的攻击和防御技术的自动化,将逐步完成的长期支持DARPA的技术积累,为大规模替代劳动力的未来做准备。

亨特看来,游戏和CGC分析对象的难度,同时,超过所有类型的CTF和松材线虫的。

属于另外的右上角▲CGC区,用于软件供应链安全的挑战,美国有完善的工艺标准NIST-800-161,VET还对近5000万美元的投资高的物品,不幸的是,这个家庭的块或空白

那么,这么多国外的情况,我们把目光投向了阿里举办的软件供应链安全竞赛。

这就是为什么比赛阿里来搞?

\

首先我们来看看,互联网公司拥有多样化的生态,阿里的服务范围的指挥下已经覆盖了我们生活的各个方面。

这些服务,都没有支持几乎所有的各种各样的软件,无论是书面的源代码,编译源代码,或软件分发,软件下载,软件更新等诸多方面,脸上有潮水般的恶意代码检测任务。

亨特说,由此产生的后果确实大大超出了他的预料,他们也做了软件的供应链安全性的实验,在供应链中的节点上插入恶意代码。(关于实验细节编辑的一再追问下,他没有透露)

如果这个技能掌握黑色的大批量生产,他们将不必花大价钱买0天漏洞攻击可以达到预期的效果,这将大大降低攻击的成本,安全人员面临的挑战日益严峻。

雷锋网发现自己其实,阿里开始了攻击和防御的自动化的布局,不久前,阿里安全研究与自动反向机器人的发展TimePlayer已经出现在公布的报告,这次举办的供应链安全软件的竞争,也期待提升产业生态的自动检测功能形式。

还有很长的路要走

虽然本次比赛是由阿里赞助,但软件供应链的安全,需要各方共同解决问题。

在软件供应链,设施网络安全环保峰会8月22日阿里由雷锋网组织(公共号码:雷锋网)发现,公安部,工信部,大学和其他企业部的权威专家和机构。

因此,事实上,国家相关部门已经意识到了问题的严重性,并开始探索解决方案。

会上,公安部部相关领导表示公共安全部有销售许可证的管理功能,目前也正在改革销售许可证管理系统,软件保护水平,他们增加了供应链的安全软件的重要要求在工业部门更严格的安全测试中使用的重要的源代码,他们也趁机质疑你想了解如何更有效地检测和阻止威胁。

但对于软件供应链安全,自动检测和进攻和防守将面临一个漫长的过程。

来自腾讯杨勇坦言,对抗攻守双方总是在这个过程的转变,不仅是安全人员在这项研究中,炭黑生产自动化的进攻和防守方面也正在研究怎么去解决,所以未来就像是军队建设一样,拼的不仅是一个技术性很强的,而且更重要的是,持续的投资和正在进行的研究。

“在公司到底能造成什么样的危害,它是通过这种攻击来获取资源,给予行业什么样的社会或造成伤害?“勇认为,缺乏这些系统的评价,通过这次比赛,也想安全隐患更清晰和准确的表征,但仍然有很长的路要走。

时间回到1960年,当象棋计算机系统已问世,但它用了30年击败了世界冠军卡斯帕罗夫在1997年。计算机安全高棋ň幅度比订单的复杂性,未来仍是荆棘密布。

但是,除了理解的困难更重要的是,你应该立即采取行动,或许正如谚语所说,“的最佳时间种一棵树是20年前,种树的下一个最好的时间是今天。“。

相关阅读

友情链接:

心经结缘 念佛 佛经大悲咒全文

|移动互联|大数据|电商|营销实战|网络营销|

苏ICP备18043316号    互联网思维网版权所有    网站地图