这是个需要“鸟枪换炮”的时代:盘古Janus发布会除了越狱还有什么?

DSC_4263.jpg

据说亚洲的一家企业若遭遇网络攻击,这家企业需要172天才会知道自己已经被攻击;而北美比亚洲提前70%的量。这是微步在线CEO薛峰在今天的“Janus移动安全威胁数据平台发布会”上说的,这个数字应该不会让人感觉到意外,比如去年雅虎5亿+10亿数据泄露就是后知后觉的典范。

“不过现在我们也看到越来越多的企业不只是为了合规在做安全,不光是扫个漏洞、用个WAF,它们已经开始有分析和检测的需求。Gartner的数据显示,以前企业有75%的钱是花在防御上的,这在当下肯定是不行的,检测和响应需求在提高。”

这也是我们前不久在《2017金融行业应用安全态势报告》提到过的。这里薛峰提到的是数据分析对当代企业安全的价值,而像微步在线和Janus这样的产品,是期望帮助安全人员做到分析的部分“自动化”,“这也是分析平台最大的价值”。

DSC_4318.jpg

犇众信息创始人兼CEO 韩争光

FreeBuf今天前往上海梅赛德斯奔驰文化中心参加Janus移动安全威胁数据平台发布会所知,像Janus这样一款产品最直白的价值表达。

用简短的语言来概括什么是Janus,大概可以说,Janus就是盘古基于自己在移动安全分析方面的经验,专门针对移动安全所推的威胁情报类产品——虽然盘古自己在发布会上将“威胁情报”仅归结为Janus的某一个环节。

盘古 ≠ 越狱

说到盘古,大部分人的第一反映是iOS越狱。所以犇众信息创始人兼CEO韩争光起先就在发布会上告诉我们,盘古≠越狱。即便如此韩争光还是没有忘记在屏幕上罗列盘古以往实现iOS越狱的辉煌历史。甚至还率先在会上给出了一段最新iOS 10.3.1的越狱演示视频(注意哦!iOS 10.3.1可以越狱哦)。

DSC_4326.jpg

“盘古这个名字有开天辟地的意向,就像iOS越狱一样,而且还有中国特色。”“以前国内老是有iOS越狱的假新闻,老外就认为中国人根本没能力搞越狱。我们就是要让世界知道,中国也有顶尖的技术人才。”

“所以我们的公司后来就叫犇众,拆开来就是三个牛人的意思。”“但是盘古从来就不只是越狱。”系统与应用安全研究、程序自动化分析、漏洞挖掘与攻防都是盘古的身影,而盘古的主要研究方向就是移动设备与IoT设备。就如他特意放出《速度与激情8》的电影片段,其中车联网导致大量IoT汽车成为僵尸车——这是在表明盘古在安全领域的重要性。

所以才有了Janus移动安全威胁数据平台产品,“我们在Android方向上的能力,就是今天这款产品的基础。”

DSC_4374.jpg

Janus的LOGO是基因螺旋,这本身也代表了数据的价值

实际上,盘古在移动安全方面的积累的确不止是iOS越狱——当然越狱实现所需的投入本身就比较大。如前年iOS平台的XcodeGhost事件(感染Xcode SDK来实现大量应用的感染)影响到过亿用户,盘古当时依托自己的经验和合作伙伴的数据,推了检测工具——“同事连续加班很长时间才做出来的检测工具”,还将相应情报反馈给苹果,获得苹果致谢。

“为什么做Janus这个产品,能力是一方面。”

这是个需要“鸟枪换炮”的时代

XcodeGhost这种事如果只是普通黑客攻击的话,去年iOS三叉戟漏洞的公开就已经包含了APT攻击成分。所以犇众信息大数据安全研发负责人陈业炫(小G)才将当年斯诺登棱镜门事件作为安全攻防进入“核武时代”的分水岭。他援引了习大大的话:

“人家用的是飞机大炮,我们这里还用大刀长矛,那是不行的。”

DSC_4388.jpg

犇众信息大数据安全研发负责人陈业炫

在盘古眼中,Janus的本质就是要鸟枪换大炮——至少是在移动安全上。小G将所谓的“大刀长矛”在此理解为分析工具,光有分析工具是不够的;还需要配合大数据,也就是“感知能力”;再来就是威胁情报,以动态的手段对抗变化的威胁;最后还需要社区化,动用白帽子的力量。

DSC_4415.jpg

就像上图展示的那样,这些形成的开放平台就是Janus。Janus所体现的也就是这两年安全行业呼吁的主流思路:协同联动,共建网络安全共同体。与之可呼应的是,白帽子“鸟枪换炮”,也变成了高级分析师,为这个平台作贡献。

发布会进行的当下,Janus已经在网上提供试用。在小G的介绍中有一些有趣的实现,比如说,可以在搜索框中输入“腾讯旗下本地监听端口的App”,搜索花了36秒就能看到那些存在问题的腾讯应用。

比如尝试搜索微信、QQ可以发现不少仿冒应用;再如支付宝,可以在搜索结果中看到各种支付宝APK。Janus界面右部就会显示参考的几十个字段,若以其中的“证书”为分组维度,显然那些数量较少的集合就是仿冒应用。

而这些结果同时还具有进一步分析的价值,基于大数据的有效关联。甚至Janus的搜索是支持图片识别的,如提交一个工商银行的App图标作分析,又能发现不少仿冒版本。甚至直接当场给图标截张图再上传分析,Janus平台都能够进行图片识别来得出搜索结果。此外,Janus平台也支持自定义扫描规则来分析所有应用。

DSC_4480.jpg

微步在线创始人兼CEO 薛峰

就“威胁情报”部分,用户可以直接上传应用APK,并在结果中标记出可疑的线索。像是某个“结婚请柬”应用,可明确了解到这款应用会查看用户短信,还将图标本身藏起来;作进一步的追本溯源是可以发现该应用幕后团伙的面貌的。

实际上国内的不少威胁情报平台也具有类似的功能。小G在演示中不止一次地提到了微步在线,大约其中的DNS、IP、URL等基础数据是有双方的合作的。

这只是阶段性产品

这样一来,Janus是什么的问题就已经相当清楚了,这是个以移动应用为对象的威胁情报+社区的开放平台。至于盘古提到的大数据和分析工具,这本身就是威胁情报类产品的固有属性。

小G告诉我们,从这款产品的理念诞生到技术研发至今,前后已历经了几年时间,所以Janus并不是个DEMO型的产品。按照盘古官方的说法,Janus本身目前已经有了超过1000万样本库。犇众信息联合创始人兼移动安全研发负责人唐祝寿分享了开发Janus产品的经历和某些技术,从前端到后端。

DSC_4494.jpg

犇众信息联合创始人&移动安全研发负责人 唐祝寿

比如在对分析技术的尝试中也经历了不少波折,像是勒索应用——这不是个大数据问题,机器学习和深度学习也并不适合检测勒索应用,这是在探索过程中发现得来的经验。所有这些都需要在摸索中,“对数据心怀敬畏,从容前行。”

去年的BlackHat Asia大会上,盘古就已经携Janus列席了。不过现在还只是Janus的第一阶段,未来Janus还将支持iOS平台,提供SDK识别、代码相似性识别、互持特征等数据挖掘成果,提供大规模动态分析能力等。

DSC_4504.jpg

至少在我们看来,Janus提供移动App威胁情报的全面开放平台是个不错的想法,而这个想法的付诸实现以及将其真正做好本身的确不是件容易的事,Janus是否在移动安全领域占据一席之地就要靠时间来解读了。尤其是如小G所说,现如今的安全越来越难做,移动平台都已经在面临APT攻击。

* FreeBuf官方报道,作者:欧阳洋葱,未经许可禁止转载

本文由 华盟网 作者:小龙 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论

// 360自动收录 // 360自动收录