2015阿里安全峰会“天下无贼”纪实(上):华山论剑


发布人:admin分类:网络安全浏览量:59发布时间:2017-12-12

2015年可以毫不夸张地说是“网络安全年”,乘着互联网+的东风,网络安全问题也逐渐为人们所熟知与重视,成为大众关注的焦点。

7月9日—7月10日,由阿里巴巴集团和蚂蚁金服集团共同发起的2015阿里安全峰会“天下无贼”在北京召开,云集了国内信息安全领域千余从业者,大家围绕移动安全、云安全、电商金融业务安全、黑客攻击防御等用户最为关心的核心安全问题进行研讨。

9号是大会开幕的第一天,主会场里大咖云集,台上嘉宾分享着各自的议题,与观众形成友好的互动与交流,现场常响起掌声与笑声,让“网络安全”这一本该严肃的话题成为连接现场所有人的桥梁,在从不同的观点与角度的碰撞中追逐着各自的真理。

大会从蚂蚁金服副总Jason Lu的致辞中拉开帷幕,以下是FreeBuf小编总结的大会集锦。

《致辞》 蚂蚁金服副总 Jason Lu

Jason的出现更像是主办方有意送上的惊喜,因为在原本的大会演讲嘉宾中并没有他。而他也随性地进行了一场没有ppt的演说,并说“PPT已死,密码已死”。

现在不夸张地说,智能手机已经成为人体器官。大数据时代、分析系统、精准安全判断、安全生态往往让“安全”与“便利”像跷跷板的两头,无法同时得到满足。但是移动互联网与智能手机正在改变着这种状况,密码过去由前台走向后台,未来将走到灭亡。我们想把安全与便利做到极致,有三个要点:1、让用户懒;2、让用户爽;3、让用户强。

最后,Jason放眼未来:网络安全行业将会迎来一个新的历史篇章。

《起航,远望》 阿里巴巴安全技术副总裁 杜跃进

杜总先简单介绍了一下议题的来历:这是阿里第一次正式举办安全峰会,安全进入新的开端,迎来历史的拐点,因此叫启航。

回望历史时期

1、千年轮回:我们的历史使命

《华盛顿邮报》不久前预测全球经济中心将回到以中国为代表的亚洲区域。而正处在互联网+时代的我们,无疑就是历史的创造者。

2、整装启航:我们手里的航图

机会与挑战并存,大数据带来的机会与灾难共举。在互联网+Everything的时代,一个APP的背后可能就是全部,移动用户数量庞大,环境异常复杂,因此网络终端变得不再可信。

安全之所以做得累,也是信用缺失问题的体现,存在千万级用户炒作买卖信用信息。而未来要朝多维度的数据方向走去,时间、空间、类型的多维度,造就了未来“安全+数据+业务”的发展模式。

3、极目远望:我们心中的未来

未来是生态、体验、联合与责任的共同融合发展,杜总如是总结。

《我国信息安全等级保护制度创新和发展》 中国工程院院士 沈昌祥

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。

沈院士依据信息系统等保建设经验,从安全保护环境中的计算环境、区域边界、通信网络、管理中心等安全重区域做了阶段性的安全防护需求分析。提出信息系统云化是指其信息处理流程在云计算中心完成。因此云计算中心负有安全保障责任,也有信息系统用户的行为安全责任(即“宾馆模式”)。而宾馆怕恐怖分子,用户怕假冒,因此严格可信的验证具有重要意义。

《安全的未来是态势感知》 阿里巴巴安全研究员 吴翰清(道哥、刺、大风)

作为白帽子必读物《白帽子讲WEB安全》的作者,道哥可以说是现场人气颇高。作过很多演讲嘉宾的他,一上来便是轻松地告诉大家:“道哥、刺和大风,其实是一个人,希望大家不要以为会有三个人要同时上台演讲。”

玩笑开完,道哥骤然反转,变得“苦大仇深”起来,PPT显示:

作为一个安全行业从业者,最大的痛苦莫过于,客户花了钱,还被黑。by 道哥

这又是为了哪般?道哥继续记叙:

任何一个叫得出名字的网站,都被黑客光顾过。而黑客总是可以从一些意想不到的地方进来……这个地方,叫做灰色地带。其中包括了员工信息安全防线、内部资料的泄露、社工、钓鱼欺骗、第三方服务等等。

道哥以当前最先进的安全厂商Fireeye、paloalto的技术视野参观学习经历,分析基础网络安全架构的弊端,众测服务100%渗透成功率本质原因。传统厂商面对当前安全挑战的动力衰减,需要重新定义安全,提出了全面,快速,准确的"态势感知"安全趋势。

道哥提出安全的挑战在于【看见】,而提出一个正确的问题则比答案更为重要。因此,要纵览全局,感知态势。

态势感知

道哥表示这四个字是其团队对未来的感知,也最能表达出他们最想要的东西。

全面、快速、准确感知过去、现在、未来的安全威胁,帮助客户清楚【看见】这个世界。倘若看都看不见,那还放什么呢?

态势感知,因云数据而生,因大计算而与众不同。

《网络安全北向技术和方法探究》 启明星辰公司首席战略官 潘柱廷(大潘)

“今天特别适合‘砸场子’,作为传统安全厂商代表,我来讲一讲。”

大潘一上来,便语惊四座,引发了现场的一阵又一阵的骚动。

我们现在有两个误解,一是“一个东西不能解决所有问题,就是没有价值的”。刚才吴翰清质疑十年前的工具我们怎么还在用,我们要对失效的事物有所尊重,发明了百年的裤子我们也还在穿着。二是“我能解决你解决不了的问题,所以我能解决所有的问题”。这就不是全面冷静的安全观点。全面、快速、准确在安全圈是不存在的,只能说是“尽量”。

大潘表示最近在读《乌合之众》,因此对于群体力量及潮流有着自己独到的理解。大潘继续书写着“砸场子”语录。他对前面几位演讲嘉宾的观点进行了一一辩驳。

传统厂商没有创新动力?这也是一个误读。所谓的传统安全厂商,启明、绿盟、天融信、卫士通与阿里一样都在为客户的安全努力,在创新。

大计算就意味着很花钱,安全对抗到最后就是资本的对抗。这里大潘反驳了前面院士的观点,认为云防护中最高的安全体系,即用最高标准进行防护,这个成本实在太重,APT防护成本无疑在提升着,在经济上便能打死大批中小企。
大潘也不认同杜总前面的一个观点,大潘认为边界不会消失。网络博弈,是四缘博弈的一个方面:地缘、网缘、人缘、经缘。

对于合规这一话题,大潘与道哥的观点又有了分歧,大潘认为合规是必须的。效果与合规综合起作用,模式应该是合规+效果+效益。
而前面Jason说“密码要死”,大潘这句话绝对是错的。首先,“密码”怎么可能死呢?今后要谨慎地说出否定性的结论。

大潘后来按部就班地讲了准备的PPT,这里篇幅有限,请感兴趣的童鞋可以自行下载PPT。

链接: http://pan.baidu.com/s/1qW840ig 密码: vg8w

大会插曲

大潘演讲时,现场的气氛被充分调动了,虽说稍有些剑拔弩张的味道,但主持人随即上台表示:

这是一个开放的会议,欢迎思想对撞!

或许有些事情在一个阶段是没有是非对错的,但大家能够勇于提出自己的见解,也是对本次大会自由、开放的充分肯定。

《互联网+时代的移动安全实践》 阿里巴巴无线安全首席架构师 潘爱民

“阿里巴巴今天的业务大大超过百分之五十已经转移到移动平台,因此也面临更多挑战。”

潘爱民介绍了介绍互联网到互联网+时代的安全威胁;介绍移动业务背景下的安全需求;“云”+“端”的安全模型;阿里移动安全事件。

阿里移动安全实践

威胁感知(Root检测、模拟器检测、数据篡改检测、恶意调试检测);App加固(低成本、有效性);App风险扫描(漏洞检测、恶意代码检测、App仿冒检测);漏洞修复与响应;针对移动漏洞的方案:(流程保障、技术与架构);服务接入层是针对用户的一个重要控制点,对用户请求的安全认证提供多维度支持;安全审计(提高研发效率、有效预防实际安全风险、审计服务标准化);业务风险控制(最全面的风控数据、领先技术、全方位整体解决方案)。

《政企安全之云化、大数据化和移动化》 安恒科技总裁兼技术总监 范渊

范渊是第一个登上全球顶级信息安全大会BLACKHAT大会进行演讲的中国人,他用一个个生动的案例向观众介绍政企安全防护的特点。

政企安全防护之变化:云安全防护、云审计之运维审计、政企安全之大数据。
政企环境下的APT预警:发现、下载时防护、执行时防护。
政企内网等保安全建设落地:有人说,等保毁了安全,很多人只是拿了一块等保的牌子,应付要求。 我来谈谈我的观点。

为什么在你最需要的时候,安全措施并没有带来安全?等级保护做虚还是做实?范渊认为借等保把安全工作做实,才是最重要的意义。

《打造APT纵深防御体系的制高点》 安天首席架构师、反病毒老兵 肖新光(网名江海客)

被大潘誉为“通晓南北向的怪物”,江海客低调现身演讲。从塔防说起,他一一讲解了对手的武器,APT手段和趋势。APT不是纯技术概念,而是带有政治经济性质的组合。

案例分析时,安全分析方程式被奉为神一样的对手,而hangover样本分析则充当了猪一样的对手。无论是神还是猪,都是把我们搞定了的对手。这里确实是存在疑问的。

江海客总结了Fireeye的六个技术支撑点:场景组合分析、复杂流量分析、多向量分析、信息关联分析、云端能力、实时防护。

沙箱的有无不解决问题,“沙箱并不是下一代技术,而是一个古老的技术”,沙箱本身会引入很多的完整性有效性准确性和信息淹没问题。

雷场的不确定性,可加大攻击者成本。但布雷点在哪里江海客还没有考虑清楚。

反馈是一种微妙的东西:反馈本身是信息采集的动力,但反馈需要用户提供。

 《互联网业务安全-趋势,挑战与应对》 阿里巴巴安全专家 郭睿

 长期从事风控大数据方向技术架构和研究工作的郭睿,总结道通过互联网的漏洞进行非法获利已成为一种趋势,2013年第一季度上海市互联网犯罪增长率高达60%。

趋势

线下犯罪正在向线上犯罪转移,隐蔽性强、盈利高成为两大特点;从传统的利用互联网基础系统漏洞的犯罪向利用业务规则漏洞犯罪的方向转移,过去是炫技,后来黑产将目标转移到业务漏洞,打擦边球。

挑战:黑产产业链

黑产产业链目前呈现了以下三个特点:产业化、精细化分工;组织专业化(团伙化、地域化、跨境化),攻击迅速;新型手段层出不穷,隐蔽性增强。

依赖大数据应对挑战

风险大数据的特点(海量逆向数据、实时性高、关联性强、攻防转换频繁);依赖数据打造风控产品闭环(情报中心-风险监控-分析-识别处理);基于多层数据处理技术的体系;联防联控、行业联盟。

《脱茧》 腾讯安全平台部负责人 杨勇(coolc)

“我们曾经做的很好的事情,后来发现其实是在茧中。”

近期股市动荡,我们所处的互联网行业却正乘风破浪,风头正劲。

随着BAT的发展壮大,泛安全问题逐渐崛起,包括利用互联网金融洗钱、利用养号和外挂抢红包、第三方安全,海量业务环境下APT攻击被发现,事物的发展与隐患是并行的。

杨勇讲了三个故事

红包的故事:15年春节,10.1亿次红包发放数量,110亿次摇一摇。背后的技术支撑,临时变更和紧急扩容、场景复杂、历史包袱。攻防对抗的博弈包括提醒异地登陆4000万次、拦截恶意登录89亿次、拦截恶意消费尝试70万次……作为红包的安保,同时肩负QQ的安保与微信的安保。

杨勇说,互联网金融(红包、其他战略产品)改变生活方式,如果为一个产品耗尽心力,是否说明没有准备好迎接变化?

他心中早已有了回答。

游戏的故事:游戏是腾讯最重要现金“牛”业务。作为重体验的游戏,今年上半年遭受DDOS次数19653次(是去年一年的163倍),暴力破解839万次,web渗透173万次。危机解决了,不等于问题解决。我们真得准备好了吗?“我在股市大起大伏之后悟到了人生真理,人在最危险的时候就是最得意的时候。”

情怀的故事:大致含义就是重定义什么是“全力以赴”,即不仅仅用尽自己的力量,还要懂得用尽资源,例如寻找身边所有能帮助你的人,才是真正的“全力以赴”。

数量只能说明难度,说明不了质量、深度、高度。到底是真好,还是在享受红利。如果跑不赢业务创新,是否可持续性发展呢?

破茧

速度、视角与人才。安全不应有门第观念,兼收并蓄法务、产品设计、风控的理念和做法。拿来主义,当仁不让。敢于变革,拥抱变化。

反思

金融就是财富,医疗是生命,这才是本源。我们真正的挑战并不是数量,而是做事情的专注度、精度、品质。

《互联网信任模型-现状与挑战之一:DNS信任体系》 清华大学网络科学与网络空间研究院研究员 段海新

多年来一直从事网络安全相关教学、科研和管理工作,段海新认为网络空间没有明确的、固定的边界,也没有集中的控制权威。

他重点讲了DNS信任体系,信任举例:软硬件-dns-证书-目的地……dns和ca,前者树形结构,后者森林结构。DNS工作过程:客户端递归缓存后UDP给权威服务器。

DNS攻击面:控制劫持根域名。1998年8个root管理员被jon postel通知同步IANA,政府命令jon停止,并随后加强了对root的控制权。伊拉克域名.IQ被美国删除。.CN的域名在94年从德国迁回中国。全球400多个root,还不包括山寨的。

美国政府还在控制着ICANN吗?这是一个很难回答的问题,从法律意义上是的 ,但没有明确规定如何行使它的权利。ICANN官方解释其更多只是一种提建议的角色。

总结:对信任权威的不信任,是防止权威被滥用、保证权威可以被信任的重要手段。

《大数据时代安全攻防运营》 蚂蚁金服安全攻防负责人 苗霖

对系统安全的思考:如何防止挂一漏万;如何系统性解决信息泄露;如何贴近业务;如何量化?

思路与对应措施:两个闭环,即技术安全平台和业务;策略、机制、出口控制;攻防能力平台化,数据化运营。

 《全球化,信息安全的海外之旅》 百度杀毒负责人 董志强(Killer)

2012年,百度产品走向海外,开启了“从0到1”漫漫长路的第一程;2013年,百度杀毒产品开始攻入泰国、巴西、印尼等国;2014年,百度杀毒护城河(国内)与生产力(国外)两个团队开始整合;后来百度走进了巴西、墨西哥、欧洲、非洲……

Killer为大家提供了国内公司走向海外的心路历程,他认为有两个要点值得大家借鉴:一是产品性能,用事实说话,从以厂商为中心转为用户为中心;二是重视效果,以百度为例,他们在不同国家建立了病毒排行榜,从而一一克敌。

如何对多语言、多地域和多国家升级软件版本?不能完全依靠IP库,还需要借助语言、时区、使用习惯。市场份额的边界在哪里?当份额到达一定地步,国外政府会介入和置疑。

全新的大航海时代,这一次,中国人来了。但Killer同时提醒,中国的安全厂商应该考虑如何竞争与合作。

会议第一日结束。更多精彩,敬请期待本次大会特邀媒体FreeBuf后续报道。

*现场报道:banish、明明知道,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:22062736(PV) 页面执行时间:71.512(MS)
  • xml
  • 网站地图