安全是有分量的

ddos防御_海外防恐培训_怎么办

2022-01-13 09:20栏目:商业圈

ddos防御_海外防恐培训_怎么办

上周,我参加了美国黑帽作为前往拉斯维加斯参加DEFCON CTF决赛与0daysober队的一部分。以下是我能够参加的会谈的总结。

"为什么安全数据科学很重要以及它的不同之处:基于数据科学的漏洞检测和威胁情报的陷阱和承诺"

在过去一年中,我一直关注这一领域,我对本演示的内容非常感兴趣。这位发言者提醒我们数据科学所依据的核心原则:数据采集和存储、机器学习和可视化。不幸的是,我没有参加第二次会议,第二次会议更多地关注真实的例子。

演示者展示了主要使用python scikit learn执行的数据分析示例,该示例是该领域的参考库之一,并解释了集群、分类和,第一部分很好地解释了为什么数据科学在信息安全领域是不同的。最大的问题之一是没有固定的攻击集,攻击者试图逃避检测。因此,这个问题不如书籍推荐引擎那么简单。第二个问题是误报率太高,ML的附加值损失太多,太低,可能会错过一些攻击。

他还介绍了他们在Invincea的一个项目,包括爬行StackOverflow问题,如何实现功能,以建立功能的知识库。因此,他们能够将潜在恶意应用程序调用的函数映射到此数据库,并推断此应用程序执行的操作。

关于此主题,我建议阅读有关covert.io的研究论文。

"这些不是你爷爷的CPU性能计数器"

在本次演讲中,演讲者解释了性能计数器是如何工作的可用于检测ROP等攻击技术或RowHammer等攻击。检测基于ROP的攻击的思想已被学术论文涵盖,并在Georg Wicherski的一项专利中提出。

第一部分说明了如何设置性能计数器并读取其值。扬声器所做的实现使用了各种优化,例如计数器启用范围的限制。

为了检测基于ROP的攻击,由于这种攻击技术的性质,近三年ddos防御技术,CPU执行的分支预测将多次失败,因此会检查未命中的次数。RowHammer是在短时间内使用LLC_MISS(cache misses)计数检测到的,因为它也会比标准操作期间高得多。

虽然很有趣,但我怀疑这种技术是否能在部署广泛的保护解决方案中使用,但在漏洞分析沙盒中可能会更多。开销可能太大,无法在工作站上使用,缩小范围可能会使其像粗粒度的ROP检测技术实现一样容易受到攻击,例如在Microsoft EMET中实现的一个(这仍然是一个强烈建议的保护措施,淘宝是如何防御ddos,以防止过时的攻击)。

"未经修改的乘用车的远程攻击"

这篇演讲可能是有线和其他媒体上最受关注的一篇。全文详细介绍了此项开发的研究,可概括为以下步骤:

未经验证访问的D-BUS服务监听mediacenter(OMAP)的所有网络接口该车使用的移动网络运营商通过LTE进行通信,并没有阻止设备之间的通信在D-BUS发布的方法中发现了多个代码注入漏洞,还有一个更明确的漏洞:execute:)从这一点上,他们可以在OMAP上执行命令或修改其配置(音量、电台等),局域网ddos攻击防御,但不能访问CAN总线,因为OMAP不在这个网络上幸运的是OMAP通过SPI连接到CAN总线上的v850芯片v850允许将未签名的固件推送到OMAP上,或者被多个内存损坏漏洞利用他们精心设计了一个漏洞来闪存v850,同时保持对OMAP的访问,以便远程生成CANBUS消息

从我的观点来看,最可怕的一点是,这种攻击的根本原因是未经验证的访问、错误配置的服务(D-BUS真的应该监听所有接口吗?)和糟糕的安全编码做法。这在2015年并不存在,但却暗示了这个行业的安全意识水平。

"SKM和IUM之战:Windows 10如何重写操作系统体系结构"

多年来,微软一直在处理一个常见的安全问题,即凭证管理器与具有系统权限的其他服务在同一级别上运行除了加密部分内存外,无法保护其内存,这或多或少是成功的。Windows 10引入了基于虚拟安全机的新概念。

启动时,运行一个占用空间较小的虚拟机监控程序,然后正是此组件将启动两个虚拟机:在虚拟信任级别0运行的安全内核模式和标准NT内核。Userland还具有与在VTL-1运行的独立用户模式等效的模式。此安全模式由Intel VTd(虚拟化技术)实施从2007年左右开始出现在CPU中,现在大多数虚拟化解决方案都使用它)和IOMMU,并阻止NT内核访问SKM以及在IUM中运行的安全应用程序,高防cdn为什么那么贵,因为VTL比核心操作系统本身具有更高的特权。

这种新的范例现在被DeviceGuard、vTPM、,防护织物和凭证防护。最后一个通过在VTL-0的Trustlet中运行来保护lsass。从userland访问Trustlet是由访问VTL-1中网关的特定库提供的。

演示详细介绍了该体系结构的所有方面以及潜在的攻击。虽然很有趣(可能是我最喜欢的演讲),但这个主题在45分钟的演讲中很难理解。然而,幻灯片包含了所有详细的解释,但尚未发布。

"返回到哪里?"?你不能利用你找不到的东西"