漏洞防御话题BlackHat大会引关注 京东安全推出首款漏洞评估自动化解决方案

来这里找志同道合的小伙伴!

日前,网络安全领域的全球最顶级盛会——BlackHat在拉斯维加斯召开。作为网络安全行业公认的最高技术盛会,汇聚了全球最新、最强的安全研究成果,前瞻性议题成为BlackHat最大亮点。为保证会议对全球安全行业的引导力,BlackHat对议题的筛选十分苛刻,入选率不足20%。在本届大会上,京东安全针对“内核高危漏洞自动化分析和评估”的议题成功入选,同时还发布了全球首款漏洞可利用性自动化评估工具FUZE,让安全专家们在黑产对抗的时候,手中掌握了一个“核武器”级的工具。

黑产攻防对抗的“核武器”

事实上,在安全界找漏洞并非难事,难的是如何确定漏洞的安全等级。毕竟不是所有漏洞都能对系统造成威胁,而如果工程师在处理低级漏洞里耗费了大量时间,则会让高危漏洞有机可乘,这种打击往往是致命的。以2017年初的Linux内核漏洞事件为例,在安全研究员Andrey Konovalov使用Syzkaller fuzzing工具发现了DCCP协议实现中的Linux内核漏洞并公布前,并没有任何安全专家察觉到。这一漏洞在Linux系统中“潜伏”了十余年,令业界哗然。

京东安全表示,一直以来,行业通用的应对办法是依靠个人经验,换句话说,只有等别人把漏洞的利用脚本公布出来,大家才知道这个漏洞的危害性很大,这种方法效率是很低的。而FUZE将漏洞评估全面自动化,以提升漏洞应对的针对性和效率。根据实际测算数据,在应用FUZE系统后,漏洞评估及应对的效率出现了显著提升,原来多个安全工作者数天才能完成的工作量,现在几分钟就能自动完成。

除了评估漏洞的安全等级,FUZE还能完整的“回放”漏洞可能被利用的过程,极大的提升了企业的安全防范能力。以每周为例,一家中型的IT企业就可能会面对数以百计甚至数以千计的软件漏洞。但对于这家企业而言,由于安全人员的匮乏和专业技术的缺失,无法快速完成对软件所有漏洞的修复。而现在通过FUZE完成对漏洞的评估后,则能够快速、准确的将企业有限的资源投入于修复那些高危漏洞。用京东安全专家的话说:“这就像给导弹添加了精准制导的能力。”

内核漏洞防御新机制:以攻为守,实用至上

“之所以选择内核漏洞,是因为相比其他漏洞,它才是最可怕的。”京东安全专家解释道,“要防御就要防最难的,连它都防住了,其他自然不在话下。”以造成严重安全事故的APT攻击为例,无论是“绑架”搜索巨头谷歌数月的极光攻击事件,还是日常生活中常见的手机、游戏机的越狱都是利用系统内核得以实现。

与一般漏洞不同,操作系统内核漏洞有其特殊性,攻击者可绕过内存访问的安全隔离机制,获取操作系统和其他程序保护的核心数据,就好像地基出了问题,门卫守得再严也没用,因此往往防不胜防。而京东安全的FUZE则一改传统防御方法,以攻为守,利用内核模糊和符号执行技术,为安全分析师提供了绕过安全缓解的能力,允许安全分析人员自动生成具有不同开发目标的漏洞攻击,从而可以评估即使尚未确认或验证漏洞利用的内核漏洞是否具备生成漏洞的能力。

“在防御方面,我们要采取实用主义态度。”京东安全专家解释道:“我们要比攻击方更了解攻击,更懂得漏洞的利用,这样才能比攻击方快人一步,早发现,早治疗,才能立于不败之地。”据了解,未来,京东安全还将开源更多防御工具,与全世界的安全人士一道,用实用精神共同守卫网络安全。

原文发布于微信公众号 - 京东技术(jingdongjishu)

原文发表时间:2018-08-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

重视GitHub类安全威胁 从企业外部风险监测入手

黑客在黑市出售客户数据的事件时有发生,而GitHub作为主流的面向开源及私有软件项目的托管平台,似乎每逢重大数据泄露事件发生,总能看到它的身影。

1343
来自专栏安恒信息

手机购年货需警惕吸费应用,病毒木马多伪装成电商软件

马年春节即将到来,年货市场提前火爆。与以往不同的是,今年随着智能手机的普及和手机购物方式的流行,手机买年货已经成为时下家庭的首选。然而,手机网购...

3424
来自专栏java达人

网络攻击是如何运作的—一份完整的列表 ( 1 )

作者:PAUL CUCU 译者:java达人 来源:https://heimdalsecurity.com/blog/cyber-attack/ 你一定在新闻...

2265
来自专栏人工智能快报

研究发现无人机可被用于攻击物联网

以色列魏茨曼科学研究所与加拿大达尔豪斯大学的研究人员指出,ZigBee与Z-Wave无线通信协议对物联网设备尤其是智能灯存在巨大安全隐患。研究人员给无人机配置了...

3517
来自专栏大数据文摘

代理银行业务:通过监管列表对代理银行客户进行风险评级

1344
来自专栏FreeBuf

中消协就Apple ID盗刷事件向苹果施压,但我想给苹果洗地……

前段时间的 Apple ID 盗刷事件想必大家均有所耳闻,而最终事发原因似乎也大多数归咎于用户账户密码被泄露,导致异地登陆消费,虽然有用户表示找苹果客服申请退款...

1435
来自专栏FreeBuf

自动化合规测试工具InSpec 2.0促进DevSecOps发展

在当前的网络空间形势下,软件开发者需要在开发阶段就考虑到安全问题,因此应用程序上线前针对各种法律法规的合规测试也极为重要。合规测试实施起来困难且耗时,测试结果也...

2297
来自专栏FreeBuf

2018年我们将面临哪些云数据安全问题?

总部位于密苏里州圣路易斯的TierPoint公司,是一家私人投资支持的主机托管和混合云服务供应商,目前已迅速成为数据中心行业一支不可忽视的力量。TierPoin...

3149
来自专栏云计算D1net

如何应对云应用带来的安全问题?

云计算时代,IT安全专家承担着管理安全的重担,因为他们面临的是日益复杂的基于云的威胁。 安全专家需要的是深入理解云,其目的是理解最新的威胁,并找到强化防御的方法...

3494
来自专栏FreeBuf

勒索软件新威胁:你敢不付赎金,我就敢往你喝的水里投毒

勒索软件已存在数年之久,但在最近两年,勒索软件攻击了世界各地的企业、医院、金融机构和个人电脑,造成重大损失,成为大家的心头之恨。勒索软件的原理,就是通过强大的加...

1965

扫码关注云+社区

领取腾讯云代金券