VisualThreat发布业界首款抵御汽车攻击的硬件防火墙

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享

在刚刚结束的SyScan360安全大会上,VisualThreat公司成功演示了如何利用WIFI对汽车进行劫持攻击的方法,同时展示了业界第一款用来抵御汽车黑客攻击的硬件防火墙。防火墙直接插在汽车OBD2接口上,能有效的阻止对汽车的CAN message攻击,包括之前在黑客大会,DEFCON等会议上采用的对汽车攻击的方式。

随着智能汽车时代的到来,汽车成为下一个攻击目标。尤其通过手机和汽车内部的通信,黑客可以利用蓝牙,WIFI,甚至2G/3G对汽车进行恶意攻击。
车联网安全由此成为移动安全一个新兴的市场。

7月30日,星期三 VisualThreat公司和AUTO HACK公共小组在加州montain view的Hacker Dojo 举办一次讲座,
内容有关汽车无线攻击和防火墙抵御方法。欢迎大家前来参加!

题目: Defense: Vehicle OBD2 Over-The-Air Attacks

讲座网址: http://www.meetup.com/Autohack/events/196267042/

Wednesday, July 30, 2014 7:00 PM to 8:15 PM
Location: Hacker Dojo, 599 Fairchild Dr., Mountain View, CA

Defense: Vehicle OBD2 Over-The-Air Attacks w/ Visual Threat

A host of vendors are now offering popular vehicle cloud-connected software and hardware. Loose security puts users at risk of compromised privacy and actual loss of vehicle control. In this talk, speakers from VisualThreat will show how to build the first CAN BUS firewall to defend against OBD auto attacks.

This will include reverse engineering OBD2 and CANBUS, a demo of remotely controlling a vehicle via mobile app (w/o DIY hardware), and presenting research findings on security vulnerabilities of current commercial vehicle-related mobile products.

(没有打分)

Gartner公布2014年十大信息安全技术

全球领先的信息技术研究和顾问公司Gartner近日公布了2014年十大信息安全技术,同时指出了这些技术对信息安全部门的意义。

 

Gartner副总裁兼院士级分析师Neil MacDonald表示:“企业正投入越来越多的资源以应对信息安全与风险。尽管如此,攻击的频率与精密度却越来越高。高阶锁定目标的攻击与软件中的安全漏洞,让移动化、云端、社交与大数据所产生的“力量连结(Nexus of Forces)”在创造全新商机的同时也带来了更多令人头疼的破坏性问题。伴随着力量连结商机而来的是风险。负责信息安全与风险的领导者们必须全面掌握最新的科技趋势,才能规划、达成以及维护有效的信息安全与风险管理项目,同时实现商机并管理好风险。“

 

十大信息技术分别为:

 

云端访问安全代理服务(Cloud Access Security Brokers

云端访问安全代理服务是部署在企业内部或云端的安全策略执行点,位于云端服务消费者与云端服务供应商之间,负责在云端资源被访问时套用企业安全策略。在许多案例中,初期所采用的云端服务都处于IT掌控之外,而云端访问安全代理服务则能让企业在用户访问云端资源时加以掌握及管控。

 

适应性访问管控(Adaptive Access Control

适应性访问管控一种情境感知的访问管控,目的是为了在访问时达到信任与风险之间的平衡,结合了提升信任度与动态降低风险等技巧。情境感知(Context awareness)是指访问的决策反映了当下的状况,而动态降低风险则是指原本可能被封锁的访问可以安全的开放。采用适应性访问管理架构可让企业提供不限设备、不限地点的访问,并允许社交账号访问一系列风险程度不一的企业资产。

 

 

全面沙盒分析(内容引爆)与入侵指标(IOC)确认

无可避免地,某些攻击将越过传统的封锁与安全防护机制,在这种情况下,最重要的就是要尽可能在最短时间内迅速察觉入侵,将黑客可能造成的损害或泄露的敏感信息降至最低。许多信息安全平台现在都具备在虚拟机(VM)当中运行(亦即“引爆”)执行档案和内容的功能,并且能够观察VM当中的一些入侵指标。这一功能已迅速融入一些较强大的平台当中,不再属于独立的产品或市场。一旦侦测到可疑的攻击,必须再通过其他不同层面的入侵指标进一步确认,例如:比较网络威胁侦测系统在沙盒环境中所看到的,以及实际端点装置所观察到的状况(包括:活动进程、操作行为以及注册表项等)。

 

端点侦测及回应解决方案

端点侦测及回应(EDR)市场是一个新兴市场,目的是为了满足端点(台式机、服务器、平板与笔记本)对高阶威胁的持续防护需求,最主要是大幅提升安全监控、威胁侦测及应急响应能力。这些工具记录了数量可观的端点与网络事件,并将这些信息储存在一个集中地数据库内。接着利用分析工具来不断搜寻数据库,寻找可提升安全状态并防范一般攻击的工作,即早发现持续攻击(包括内部威胁),并快速响应这些攻击。这些工具还有助于迅速调查攻击范围,并提供补救能力。

 

新一代安全平台核心:大数据信息安全分析

未来,所有有效的信息安全防护平台都将包含特定领域嵌入式分析核心能力。一个企业持续监控所有运算单元及运算层,将产生比传统SIEM系统所能有效分析的更多、更快、更多元的数据。Gartner预测,至2020年,40%的企业都将建立一套“安全数据仓库”来存放这类监控数据以支持回溯分析。籍由长期的数据储存于分析,并且引入情境背景、结合外部威胁与社群情报,就能建立起“正常”的行为模式,进而利用数据分析来发觉真正偏离正常的情况。

 

机器可判读威胁智能化,包含信誉评定服务

与外界情境与情报来源整合是新一代信息安全平台最关键的特点。市场上机器可判读威胁智能化的第三方资源越来越多,其中包括许多信誉评定类的选择。信誉评定服务提供了一种动态、即时的“可信度”评定,可作为信息安全决策的参考因素。例如,用户与设备以及URL和IP地址的信誉评定得分就可以用来判断是否允许终端用户进行访问。

 

以遏制和隔离为基础的信息安全策略

在特征码(Signatures)越来越无法阻挡攻击的情况下,另一种策略就是将所有未知的都当成不可信的,然后在隔离的环境下加以处理并运行,如此就不会对其所运行的系统造成永久损害,也不会将该系统作为矢量去攻击其他企业系统。虚拟化、隔离、提取以及远程显示技术,都能用来建立这样的遏制环境,理想的结果应与使用一个“空气隔离”的独立系统来处理不信任的内容和应用程序一样。虚拟化与遏制策略将成为企业系统深度防御防护策略普遍的一环,至2016年达到20%的普及率,一改2014年几乎未普遍采用的情况。

 

软件定义的信息安全

所谓的“软件定义”是指当我们将数据中心内原本紧密耦合的基础架构元素(如服务器、存储、网络和信息安全等等)解离并提取之后所创造的能力。如同网络、计算与存储的情况,对信息安全所产生的影响也将发生变化。软件定义的信息安全并不代表不再需要一些专门的信息安全硬件,这些仍是必不可少的。只不过,就像软件定义的网络一样,只是价值和智能化将转移到软件当中而已。

 

互动式应用程序安全测试

互动式应用程序安全测试(IAST)将静态应用程序安全测试(SAST)与动态应用程序安全测试(DAST)技术进行结合。其目的是要通过SAST与DAST技术之间的互动以提升应用程序安全测试的准确度。IAST集合了SAST与DAST最好的优点于一单一解决方案。有了这套方法,就能确认或排除已侦测到的漏洞是否可能遭到攻击,并判断漏洞来源在应用程序代码中的位置。

 

针对物联网的安全网关、代理与防火墙

企业都有一些设备制造商所提供的运营技术(OT),尤其是一些资产密集型产业,如制造业与公共事业,这些运营技术逐渐从专属通信与网络转移至标准化网际网络通信协议(IP)技术。越来越多的企业资产都是利用以商用软件产品为基础的OT系统进行自动化。这样的结果是,这些嵌入式软件资产必须受到妥善的管理、保护及配发才能用于企业级用途。OT被视为产业界的“小物联网”,其中涵盖数十亿个彼此相连的感应器、设备与系统,许多无人为介入就能彼此通信,因此必须受到保护与防护。

(没有打分)

TSRC:主流WAF架构分析与探索

TSRC:主流WAF架构分析与探索

7926fbadf82eead3fe9292b646899103

背景:

网站安全漏洞在被发现后,需要修复,而修复需要时间,有些厂商可能无能力修复,甚至部分网站主可能连是否存在漏洞都无法感知(尤其是攻击者使用0day的情况下)。或者刚公开的1day漏洞,厂商来不及修复,而众多黑客已经掌握利用方法四面出击,防不胜防。这个时候如果有统一集中的网站防护系统(WAF)来防护,则漏洞被利用的风险将大大降低,同时也为漏洞修复争取时间!

笔者所在公司的业务较多,光域名就成千上万,同时网络流量巨大,动辄成百上千G。而这些业务部署在数十万台服务器上,管理运维职能又分散在数十个业务部门,安全团队不能直接的管理运维。在日常的安全管理和对抗中,还会经常性或者突发性的遇到0day需要响应,比如更新检测引擎的功能和规则,这些都是比较现实的挑战。

对于WAF的实现,业界知名的网站安全防护产品也各有特色。本文将对主流的WAF架构做一个简单的介绍,和大家分享下。同时结合笔者所在公司业务的实际情况,采用了一种改进方案进行探索,希望本文能达到抛砖引玉的效果。(不足之处请各位大牛多多指教)

特别声明:以下方案无优劣之分,仅有适合不适合业务场景的区别。

业界常见网站安全防护方案

方案A:本机服务器模块模式

通过在Apache,IIS等Web服务器内嵌实现检测引擎,所有请求的出入流量均先经过检测引擎的检测,如果请求无问题则调用CGI处理业务逻辑,如果请求发现攻击特征,再根据配置进行相应的动作。以此对运行于Web服务器上的网站进行安全防护。著名的安全开源项目ModSecurity及naxsi防火墙就是此种模式。

优点:

1、 网络结构简单,只需要部署Web服务器的安全模块

挑战:

1、 维护困难。当有大规模的服务器集群时,任何更新都涉及到多台服务器。

2、 需要部署操作,在面临大规模部署时成本较高。

3、 无集中化的数据中心。针对安全事件的分析往往需要有集中式的数据汇总,而此种模式下用户请求数据分散在各个Web服务器上。

方案B:反向代理模式

使用这种模式的方案需要修改DNS,让域名解析到反向代理服务器。当用户向某个域名发起请求时,请求会先经过反向代理进行检测,检测无问题之后再转发给后端的Web服务器。这种模式下,反向代理除了能提供Web安全防护之外,还能充当抗DDoS攻击,内容加速(CDN)等功能。云安全厂商CloudFlare采用这种模式。

优点:

1、 集中式的流量出入口。可以针对性地进行大数据分析。

2、 部署方便。可多地部署,附带提供CDN功能。

挑战:

1、 动态的额外增加一层。会带来用户请求的网络开销等。

2、 站点和后端Web服务器较多的话,转发规则等配置较复杂。

3、 流量都被捕捉,涉及到敏感数据保护问题,可能无法被接受。

方案C:硬件防护设备

这种模式下,硬件防护设备串在网络链路中,所有的流量经过核心交换机引流到防护设备中,在防护设备中对请求进行检测,合法的请求会把流量发送给Web服务器。当发现攻击行为时,会阻断该请求,后端Web服务器无感知到任何请求。防护设备厂商如imperva等使用这种模式。

优点:

1、 对后端完全透明。

挑战:

1、 部署需改变网络架构,额外的硬件采购成本。

2、 如Web服务器分布在多个IDC,需在多个IDC进行部署。

3、 流量一直在增加,需考虑大流量处理问题。以及流量自然增长后的升级维护成本。

4、 规则依赖于厂商,无法定制化,不够灵活。

我们的探索

笔者所在的公司在不同的场景下,也近似的采纳了一种或者多种方案的原型加以改进使用运营。(比如方案C,其实我们也有给力的小伙伴做了很棒的努力,通过自研的方式解决了不少挑战,以后有机会或许也会和大家分享一些细节)

今天给大家介绍的,是我们有别于业界常见模型的一种思路:

方案D:服务器模块+检测云模式

这种模式其实是方案A的增强版,也会在Web服务器上实现安全模块。不同点在于,安全模块的逻辑非常简单,只是充当桥梁的作用。检测云则承担着所有的检测发现任务。当安全模块接收到用户的请求时,会通过UDP或者TCP的方式,把用户请求的HTTP文本封装后,发送到检测云进行检测。当检测无问题时,告知安全模块把请求交给CGI处理。当请求中检测到攻击特征时,则检测云会告知安全模块阻断请求。这样所有的逻辑、策略都在检测云端。

我们之所以选择这个改进方案来实现防护系统,主要是出于以下几个方面的考虑:

1、       维护问题

假如使用A方案,当面临更新时,无法得到及时的响应。同时,由于安全逻辑是嵌入到Web服务器中的,任何变更都存在影响业务的风险,这是不能容忍的。

2、       网络架构

如果使用方案B,则需要调动大量的流量,同时需要提供一个超大规模的统一接入集群。而为了用户就近访问提高访问速度,接入集群还需要在全国各地均有部署,对于安全团队来说,成本和维护难度难以想象。

使用该方案时,需要考虑如下几个主要的挑战:

1、       网络延时

采用把检测逻辑均放在检测云的方式,相对于A来说,会增加一定的网络开销。不过,如果检测云放在内网里,这个问题就不大,99%的情况下,同城内网发送和接收一个UDP包只需要1ms。

2、       性能问题:

由于是把全量流量均交给集中的检测云进行检测,大规模的请求可能会带来检测云性能的问题。这样在实现的时候就需要设计一个好的后端架构,必须充分考虑到负载均衡,流量调度等问题。

3、       部署问题:

该方案依然需要业务进行1次部署,可能会涉及到重编译web服务器等工作量,有一定的成本。并且当涉及到数千个域名时,问题变的更为复杂。可能需要区分出高危业务来对部署有一个前后顺序,并适时的通过一些事件来驱动部署。

最后,我们目前已灰度上线了这套防御方案,覆盖重要以及高危的业务站点。目前日均处理量约数百亿的规模,且正在快速增长阶段。

本文只是一个粗略的简介,我们在建设过程中也遇到了远高于想象的挑战和技术难题,后续将会有系列文章来深入剖析和介绍,希望对大家有所帮助。

作者:腾讯安全应急响应中心 那个谁

(没有打分)

2013年亚太地区 。WAF 安全产品

(没有打分)

PAN . 《10 Things Your Next Firewall Must Do》

(没有打分)

Sobug白帽安全众测平台

在国外安全圈,对于安全漏洞的认识越来越趋向于为漏洞付费(No More Free Bugs),这体现了行业对安全研究价值的认可。随着认知的统一,国内的互联网公司也纷纷成立了类似微软MSRC的漏洞中心,比如行业标杆的腾讯TSRC,360安全应急响应中心(QSRC), 新浪SSRC,阿里巴巴ASRC,百度BSRC,甚至京东的JSRC,虽然各家对漏洞的价值认知不同,但是却也热闹异常。

问题来了,互联网生态圈中,大鳄自然是财大气粗,有成百上千的安全人员来重视自身的安全,但对于其余99%的中小型公司来说,招募合格的安全人员对于他们成了一件奢侈品,而面临互联网中无时无刻不在的安全威胁,该如何应对? 

在新浪微博上,业内知名人士Benjurry振臂呐喊如何让白帽子更有尊严的合法赚钱,在新闻联播上,屡屡报道黑客通过技术手段非法牟利而锒铛入狱,在各大媒体上,安全问题的互相披露成为了厂商之间无解而又无奈的公关手段。

这种新模式已经对传统安全厂商的服务项目产生了冲击,会引起行业的进一步洗牌,传统安全公司的技术优势一下子就不复存在,这也许就是互联网的威力。

对于传统安全公司来说,未来需要更多的并购保住自己的地盘,指望公司内的创新已是痴人说梦;而对于互联网入口来说,任何层面上与客户相关的业务,都会被赋予新的价值给于高溢价。

Sobug的愿景是成为连接安全专家与厂商的网络安全众测平台,组织安全专家检测授权厂商的安全问题,同时厂商基于检测效果对安全专家进行奖励。创始人冷焰来自腾讯TSRC,毅然放弃了大型互联网公司的优厚薪水,开始了sobug的创业之路。

下图是Sobug上线一周的数据,看得出来分析的角度非常互联网化。

企业安全市场足够大,相信通过精细化的运营,创新者赢。

 

 

(没有打分)

山石网科弹性防火墙架构解决方案

(3个打分, 平均:2.33 / 5)

新一代防火墙--基于大数据分析的全面网络安全架构

(1个打分, 平均:5.00 / 5)

山石网络 。《数据中心的演化和安全挑战》

(1个打分, 平均:5.00 / 5)

25个值得关注的云计算, 安全和移动初创公司

Network World — There’s no scientific formula behind this list: It’s just a bunch of new-ish, mainly enterprise-focused computing and networking companies that have launched, received fresh funding of late or otherwise popped onto my radar screen.

I’ll give you a brief description of the companies, then links to their respective websites or to stories about them so that you can explore further. Don’t read anything into the order in which these companies are presented either: It’s basically the order in which I came across them or their latest news. (IDG News Service and Network World staff reporting is included in this article.)

*Tactus: Appearing and disappearing tactile buttons for your otherwise flatscreen tablet or smartphone. Tactus, which got $6 million in Series A funding in December of 2011, announced a mysterious Series B round in January 2014: Weirdly, no financial details disclosed. One founder led JDSU’s Optical Communications Division, and the other led development efforts for microfluidic-based programmable transdermal drug delivery systems and advanced optical sensors at Los Gatos Research.

*Confide: Quickly became known as Snapchat for professionals not that Facebook has offered $3 billion for it — because like the popular photo-sharing app Confide is designed for highly secure messaging. A Confide messages, on sensitive topics like job inquiries or work conspiracies, disappear upon being read.

*ClearSky Data: This Boston-based startup is enjoying calling itself a stealthy venture on its Twitter account. The Boston Globe has reported that ClearSky’s founders previously helped get tech startups CloudSwitch and EqualLogic off the ground. Highland Capital, which along with General Catalyst invested a combined $12 million in ClearSky, describes the newcomer as “working on solving an enterprise infrastructure problem for medium and large enterprises.”

*Aorato: This Israeli company, which has received $10 million in funding from Accel Partners and others, calls its offering a firewall designed to protect Microsoft Active Directory shops. A pair of brothers are among the company’s founders.

*Nextbit: Rock Star alert! Oh, technical rock stars, from Google, Amazon, Dropbox and Apple, according to the company’s skimpy website. The San Francisco company is focused on mobile something or other possibly some sort of mobile OS reinvention — and has received $18 million in funding from Accel and Google.

*Confer: This Waltham, Mass., startup with perhaps the most boring name on this list hopes to make a name for itself nonetheless with software and services aimed at sniffing out malware and attackers targeting enterprise servers, laptops and mobile devices through its application behavior-analysis approach and its cloud-managed threat-intelligence platform.

 

*Bluebox: The latest in a long line of “Blue” IT companies (Blue Coat, BlueCat, Blue Jeans, Blue Prism, etc.), this startup has received more than $27 million in venture funding to back its mobile security technology. Its “data-wrapping” technology for Apple iOS and Android is designed to give IT control over enterprise apps but leave personal apps…personal.

*Viddme: No sign-up video posting and sharing app, which works on mobile devices and the desktop. Simpler than YouTube. Development team is out of Los Angeles.

*MemSQL: This Big Data startup formed by a couple of ex-Facebook engineers raised $45 million through January. This database company’s technology is designed to run on commodity hardware but handle high-volume apps.

阅读全文»

(没有打分)