蔡一郎的部落格

Yilang's Blogger

The Honeynet Project Annual Workshop 2014在華沙

Published by Yi-Lang Tsai under , , , on 上午7:27
今年的The Honeynet Project Annual Workshop遠在波蘭的華沙舉行,包括了三天的公開會議以及二天的組織會議,非營利型的組織其實最欠缺的就是穩定的財源,從幾年前開始辦理公開的會議之外,除了擴大研究成果的分享之外,主要也能夠透過會議的收入,多多少少補貼一些年會的支出,這點就跟個人每年在台灣辦理HoneyCon台灣誘捕網路技術研討會一樣,都是需要依賴贊助商的支持,尋找贊助之餘又希望能夠保有原本組織的特性。

今年的議題,主要聚焦在誘捕技術的發展現況、工具的開發進度、VirusTotal與Shadowserver的資安情資平台分享、行動裝置的安全議題、關鍵基礎設施誘捕系統的發展等,偵測與誘捕技術的發展上,必須與目前或是未來可以成為主要資訊安全威脅的項目有關,例如:Thug、Conpot、Ghost、Hpfeeds等,這些都是在The Honeynet Project中發了一段時間的誘捕系統,可以協助需要掌握網路上的資安現況,前兩天的會議以資安的趨勢與誘捕技術最新的發展為主,第三天則進入實作的課程,此次的課程包括了Understanding and Mitigating Botnets、Virtualization Security、Reverse Engineering Android Malware以及Malware Reverse Engineering等,這些都是可以應用在資安實務上的技術,對於研究工作可以節省許多的時間。


今年的會議由NASK支持舉辦,當然少不了介紹一些關於波蘭的資訊安全威脅現況,也讓其它各國的與會人員做個參考,可以對應到自己國家境內的資訊是否雷同,相對於台灣的資訊安全現況。

Conficker雖然已是古董級的問題了,不過因為惡意程式仍然持續的變種以及許多的資訊系統不一定已經處理了這個問題,造成在網路上偵測到的結果,Conficker仍然佔了大宗,不過許多的威脅仍然以Bot所造成的影響最大,這也許是因為許多的使用者並不知道自己所使用的電腦早已威染了惡意程式,並且加入了殭屍網路(Botnet)所致。

針對家用的設備,波蘭境內仍然與國內相似的個案,利用家庭使用的IP分享器,對於使用者進行資訊的竊取,並且假冒其身份存取網路上的服務。

目前惡意程式所形成的殭屍網路(Botnet),採用了動態網域名稱的技術,以增加分析上的複雜度,不過關於DGA的問題,目前已投入許多的研究,希望可以針對域名的產生規則進行分析,以掌握可能會被運用的域名,甚至進行相關的預測。

帳號與密碼是資安的防線,也是重要的問題,因為與人的使用習慣有關,而密碼的強度就直接影響了系統本身對於安全管理上的強度,目前透過誘捕系統,可以檢測遠端對於資訊系統的帳號、密碼探測,也瞭解一下這些自動化的攻擊工具,經常使用的密碼有那些,也可以提供系統管理人員千萬不要選擇這些會被猜測的密碼,降低可能的風險。

資安威脅情資以及資訊的視覺化處理技術,是今年的重點項目之一,許多的研究人員或是組織,分享了對於巨量資安資料的處理以及如何應用視覺化的技術,減輕分析上的複雜度,透過視覺化的分析平台,做為趨勢預測以及情資掌握的參考依據。

對於資訊的處理是一門大學問,不同的組織或是不同的研究人員,在選擇適合的分析方式時,往往與希望掌握的情資有關,所以設計出的來處理流程不盡相同,但是亦不脫離對於資料如何進行處理的大原則。

許多的朋友,每年藉著參加會議的機會,能夠聚上個幾天是多麼高興的一件事,每天都有不同的話題可以聊,也分享一下各自國家在資訊安全領域上的發展現況、最近在進行的研究等等。


後記:後兩天的組織內部會議就不方便分享了。

相關網站:
The Honeynet Project
The Honeynet Project Annual Workshop 2014

The Honeynet Project Taiwan Chapter
HoneyCon 2014