微软BlueHat v8安全大会:威胁建模、SDL与漏洞利用技术深度解析

微软BlueHat v8安全大会聚焦犯罪软件分析、社交网络威胁、CSS/DNS新型攻击技术,并深入探讨安全开发生命周期(SDL)、威胁建模工具及并发攻击防御策略,涵盖多项前沿安全实践。

宣布:BlueHat v8!

Andrew Cushman再次登场。
BlueHat v8将于10月15日、16日和17日在微软雷德蒙德园区举行。BlueHat团队精选了内容,这些内容对微软工程师和高管来说尤其有趣且具有时事性。我们从15日的“高管日”开始——这是演讲的浓缩版本,仍然深度技术化,只是交付更快,图形和演示更少。然后是两天的通用会议——第一天上午聚焦新兴安全威胁(现已成传统),下午讨论最先进的黑客工具和技术。第二天涵盖安全开发生命周期(SDL)——全天内容专注于安全工程的完整生命周期,从设计到实施再到验证的逐步推进。

过去四年中,BlueHat不断扩展和成长。看到BlueHat在微软内部取得的进展和影响,以及它在更广泛生态系统中开始产生的影响,令人欣慰。两个原始目标仍然适用并指导会议:

  • 让高级产品领导和一线工程师接触现实世界中的威胁、攻击工具和方法论;将安全威胁从“我理解缓冲区溢出是什么”的理论/智力层面,提升到“天哪,原来是这样”的层面。BlueHat在高管和工程师的内心深处产生共鸣,真正传达信息。
  • 让安全研究人员(和安全社区)接触微软工程师和业务领导。BlueHat给我们一个机会,在我们的主场开放,让研究人员有机会与组织的各个层级互动。他们亲身体验到微软确实有聪明、热情的工程师,真正关心安全。

对于第八届BlueHat,我们明确添加了一个新目标:

  • 推广基于社区的防御议程。BlueHat寻求利用微软在生态系统中的独特地位和我们独特的关系集,在不同生态系统组成部分之间建立桥梁连接,并促进必要的对话,以赋予“需要全村之力”这一口号生命力。

以下是演讲和演讲者的简要概述。完整详情将在一周内在BlueHat网站上提供。

第1天

我们将以犯罪软件为重点开始通用会议的第一天。Alladin的Iftach Amit将让我们一窥供需的复杂运作、定价模型、分发模型以及开发环境的复杂性。

接下来,在“可能出什么问题”的类别中,有几场关于社交网络现象和互联网信息爆炸的意外后果的演讲。Nitesh Dhanjani(安永)与微软ACE团队的Akshay Aggarwal合作,讨论如何跟踪、关联您的在线形象和活动,并用于影响行为。

Roelof Temming(Paterva)涵盖类似主题,但更广泛,并且(如果可能)对在线社区的影响更大。Roelof将展示Maltego框架如何收集和关联公共信息,并创建个人或团体/组织的全面档案。他还将描述网络上缺乏真实身份如何导致虚构朋友和 wholesale 虚构虚拟社区的创建,这些社区可用于从股市操纵到政治收益的任何事情。

我们将以关于如何以新方式滥用旧宠如层叠样式表(CSS)和DNS的演示结束当天的威胁部分。David Lindsay(Security Innovation)、Gareth Heyes和Eduardo Vela将详细说明CSS如何用于比让网站看起来性感更多的事情——例如,如何扫描内部网络、跟踪第三方网站上的访问链接,或读取第三方网站的内容。Dan Kaminsky(IOActive)也重返BlueHat。Dan要求我们不要透露他演讲的细节(或至少给他30天从宣布之日起),所以我们不确定Dan要讲什么。但我们真的很高兴他能再次回来。

我们将有来自SWI的两场演示——Richard Johnson和Ian Hellen。Richard将讨论几种可视化技术及其在软件安全中的可用性。他还将演示内部开发的过程,用于从静态分析创建数据可视化。Ian将回顾从Windows安全审查过程中学到的教训,并讨论识别需要以设计和代码审查形式特别关注的高风险组件的方法。

第2天

我们将以关于威胁建模的几场演讲开始第二天——Danny Dhillon将分享EMC将威胁建模应用于EMC开发过程的经验,Adam Shostack将讨论微软的方法,并公开演示微软开发团队使用的新SDL威胁建模工具。

SDL日还以行业真正巨头的回归为特色——Matt Miller重返BlueHat,这次在SDL轨道上讨论复杂利用技术的演变以及相应开发的同样复杂的缓解措施,如GS、DEP和ASLR。本演讲通过说明微软缓解措施的逻辑演变以及每种缓解措施的表现如何,探索这些发展的技术细节。

iSEC Partners的Scott Stender和Alex Vidergar开启下午的会议,演示Web应用程序上的并发攻击。他们将提供关于并发缺陷如何轻易引入系统的见解,提供评估此类缺陷安全影响的指导,并讨论消除此类缺陷的策略,帮助开发人员和测试人员。

SWI团队的三名成员将讨论模糊测试的几个方面:我应该如何模糊测试?什么时候我模糊测试够了?现在我已经模糊测试了,我该做什么?Jason Shirk、Lars Opstad和Dave Weinstein将比较模糊测试模型(愚蠢 vs. 智能)并强调几种方法的优点。他们将使用真实世界的例子讨论在考虑多少模糊测试才足够时涉及的许多变量。

Vinnie Liu再次回来——这次谈论代码审计。他将提供对静态代码分析工具、黑盒应用程序扫描器的好处、缺点和权衡的全面客观审查,并提供哪些活动最好由机器完成的建议。

我们将以小组讨论结束SDL日和会议,讨论“所有这些SDL东西真的必要吗?为什么不在我们所有在线属性上贴上Web应用程序防火墙,避免100多个SDL要求的麻烦?”这不是一个修辞问题!我们的 panelists,White Hat Security的Arian Evans、Foundstone的Mike Andrews、SDL团队的Bryan Sullivan和安永的Nate McFeters将认真讨论这个问题并得出结论。

我们继续扩展BlueHat博客和TechNet网站,让您了解会议的最新动态。我们将定期更新两者,添加新的博客条目和视频播客。

-Andrew

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次