说起卫兵,你也许会想到一身戎装,军姿挺拔,坚守在岗位上保家卫国的军人。他们坚毅有耐力,团结协作,为着共同的目标而坚守。这样的卫兵,令人敬佩。 事实上,在网络世界中,也有一群卫兵,那就是安全研究者和安全团队。他们要么潜心钻研,找出系统、产品、程序等各方面的漏洞,提醒开发运营者修复,保障用户和企业的安全;要么研究出不同的安全产品或安全服务,确保网络世界的安全运转。 安恒卫兵实验室团队汇聚了众多相关领域的专家,在安恒研究院高级安全研究员郑国祥的带领下,专注于WEB安全,移动安全和二进制安全领域研究。卫兵实验室挖掘过数百个安全漏洞,为全球各大公司提供了不少安全输出。 将安全实验室取名为“卫兵”,除了字面寓意的安全守卫之外,这个团队其实还为自己的名称赋予了更多含义:卫兵实验室的英文为weBin,可以解读成 we Bin — we are binary ;又可以解读成Web in ,即web安全。不论哪种解读,都代表着卫兵实验室对于 Web 安全以及二进制安全的热爱和专注。 漏洞挖掘者,网络守卫兵安恒卫兵实验室成立于2016年10月份。当时正值安恒公司成立将满十周年,不论是行业地位、自身实力还是公司人力,都发展到了比较成熟的阶段,因此也有更多的资源和精力去组建更加专业的团队。与卫兵实验室同时期成立的还有海特实验室,专注物联网、智能设备和工控安全。在5月21日的2017西湖论剑高峰论坛上,这两个实验室联手发力,现场演示了如何破解智能汽车。而在即将举办的 FIT 2018 互联网安全创新大会的「HACK DEMO」环节,也将有安恒成员演示“智能外设入侵汽车网络解密”,提醒用户和厂商重视智能设备的安全问题。 作为一个专注于WEB安全,移动安全和二进制安全的实验室,“卫兵”们的日常工作主要是针对目前使用比较广泛的WEB框架以及底层开发的组件进行深入的分析研究。同时,成员们也会对网上已有的漏洞进行深入的分析,发掘一些其他利用的方式。当然,除了技术钻研,同事之间的沟通与交流、在漏洞挖掘方面的思想碰撞,都有助于团队成员开拓思路、不断成长。有了这种开放交流的轻松氛围和积极进取的精神,“卫兵”们的技术愈发精进,能着力应对更多的安全问题。 目前为止,卫兵实验室已经在阿里云安全峰会和中国互联网安全大会发表过演讲,分享技术见解、和安全工作心得。同时,他们还挖掘了Struts2 s2-029, s2-32, s2-045, s2-046,以及CVE-2017-10970、CVE-2017-11114、CVE-2017-11115、CVE-2017-11116等数百个安全漏洞。 与研制安全产品或提供安全服务的工作相比,挖洞似乎听起来没那么光鲜、重要。但是,在网络战场中,及时发现漏洞并上报并及时响应,对于网络安全而言意义重大。每个漏洞挖掘的过程,都是与潜在攻击者和网络犯罪分子争分夺秒的比赛过程。 以卫兵实验室挖掘到的 Struts2 远程代码执行漏洞S2-045 为例,这个漏洞利用方式简单,不受任何条件限制,可以绕过绝大多数的防护设备的通用防护策略。利用这个漏洞,攻击者可以通过浏览器在远程服务器上执行任意系统命令,引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件,甚至影响到全球 20 多万个网站。如果 S2-045没有得到及时发掘和响应,一旦被攻击者利用,将会对这 20 多万个网站造成重大损失。 不论漏洞大小,只要存在就可能有威胁。而正是有了卫兵实验室这些漏洞挖掘者,才能在最大程度上抵御威胁。 网安卫兵队伍正日益壮大近年来,网络安全行业势头大涨,网络安全形势也愈发严峻,网络安全人才缺口大开。各大企业都摩拳擦掌,在人才培养方面发力,不论是各种信息安全比赛,还是组建专门的安全团队,都体现了企业以及业界对网安人才的重视。 安恒信息董事长范渊曾说:“十年来,不管企业处于什么样的阶段,是艰苦还是顺利,我们都非常注重技术的创新和研发的投入,公司总营收的30%会投到这个方面。” 也许正是有了这样的态度,才有卫兵实验室以及其他安全团队的诞生。网络安全行业正在蓬勃发展,越来越多的个人或团队开始投身到安全行业,发光发热。网安卫兵队伍正日益壮大,守护着网络世界的秩序与安全。 *本文作者:AngelaY,转载注明来自FreeBuf.COM |
|
|
