catalog
0. 会议相关 1. 起航-远望 2. 沈昌祥院士议题: 云模式下等保体系建设 3. 安全的未来是态势感知 4. 网络安全的北回归线 5. 互联网+时代的移动安全实践 6. 政企安全之云化 7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考 8. 其他议题 9. 参会感受
0. 会议相关
2015-07-09~10(持续两天) 北京JW万豪酒店 主题: 天下无贼
1. 起航-远望
0x1: 演讲者
阿里安全技术副总裁: 杜跃进
0x2: 技术背景
1. 新形势的互联网安全包括业务安全、生产安全、技术安全 2. 新形式下的机会: 利用不同的理念,打破行业格局,制定行业规则才是最重要的制高点 3. 互联网+: 快速迭代 4. 国际化
0x3: 议题中的关键技术 / 技术难点
挑战/焦点
1. 业务/数据安全
1) 生产稳定性
2) 安全是依托于业务。要在维持业务稳定性下开展安全
3) 数据必须一直大量使用,在互联网+模式下,数据的边界将变得不可控,例如google的去内网化
2. 云/移动
1) 在互联网+下,一个网站、业务系统、APP可能就代表了一整个公司,云业务系统的安全就是整个公司的安全
3. 国际/农村
1) 产品在面对不同人群的时候,产品形态应该是不同的,在不同的法规、用户使用习惯下,安全服务于业务的形式都是不一样的
4. 信用/大数据
安全还需要兼顾"体验",安全就像水、空气一样润物细无声,用户的业务是透明接入的,无感知的,当发生安全威胁的时候,安全防御体系会自动出现,帮用户解决安全问题
0x4: 类似原理相关的技术
0x5: 攻防思考
2. 沈昌祥院士议题: 云模式下等保体系建设
国家级的院士讲的太理论化、高大上了,我并不能完全听懂院士的议题,而且现场还出现了"啪啪啪"事件,氛围挺不错的
三重安全防护
1. 计算环境 2. 网络区域边界 3. 网络通信
3. 安全的未来是态势感知
0x1: 演讲者
阿里巴巴安全研究员: 吴翰清
0x2: 技术背景
1. 安全从业者最大的痛点在于,客户花了钱,还被黑 2. FireEys、Mandian研究发现97%使用传统网络安全产品的企业无法抵挡现今的网络攻击
木桶原理: 黑客总是从意想不到的地方(0DAY)入侵,安全解决方案不能解决全部问题,黑客只要找到一个点就能入侵
1. 员工信息安全 2. 资料泄漏 3. 社工 4. 钓鱼欺骗 5. 第三方服务
安全市场分析,目前市场上对安全有需求的用户群里大致可以分为以下几类
//以下2类是目前运市场上占比较大的群体,主要以防入侵、数据防泄漏为刚性需求 1. 互联网行业、创业者 2. 小站长、个人 //以下2类是传统安全厂商重点关注的群体,主要以等保为刚性需求 3. 银行、电力、央企 4. 地方政府
0x3: 议题中的关键技术 / 技术难点
态势感知理论基础: 提出一个问题,比解决一个问题重要,全面、快速、准确的感知过去、现在、未来的安全威胁
1. 安全产生的数据可能比正常业务还多 2. 让数据在线 3. 连接不同的数据,从而创造新的价值
SIEM、SOC的失败
1. 部署难
2. IT信息维护难
3. 数据标准不统一
4. 计算能力弱
1) 传统安全设备受限于单机性能,所以工作模式是: 过滤,即特征库匹配模式
2) 因为存储不下来
三大关键数据源
1. 镜像流量数据 2. 主机Agent数据 3. 情报数据
0x4: 类似原理相关的技术
0x5: 攻防思考
Relevant Link:
https://www.fireeye.com/index.html
4. 网络安全的北回归线
0x1: 演讲者
启明星辰首席战略官: 潘柱廷
0x2: 技术背景
北向技术包括
1. 战略 2. 架构 3. 咨询智库 4. 基础方向 5. 人才 6. 效益经济 7. 生态环境 8. 心智
0x3: 议题中的关键技术 / 技术难点
1. 北向给内向以指导作用,一个产品不能解决所有问题,但不能代表这个产品就没有价值 2. 纵深防御的本质就是,所有的产品都有可能失效,当一个产品可能失效,但并不能代表这个产品就没有价值 3. 大数据实现的价值一定是在充分实现小数据的价值基础上,才能发挥大数据的违例,安全对抗的本质是成本的资金的对抗,大数据对抗是需要成本的 4. 北向的极端是战略
0x4: 类似原理相关的技术
0x5: 攻防思考
5. 互联网+时代的移动安全实践
0x1: 演讲者
阿里移动安全首席架构师: 潘爱民
0x2: 技术背景
1. 无线信号安全
1) 各种无线信号的保密和真伪
2. 无线链路安全
1) 接入internet、ap接入
3. 端的安全
1) 操作系统、root、系统0day漏洞、厂商、app应用漏洞
移动业务面临的安全需求
1. 系统不安全,缺乏基本的可信执行环境
2. 应用分发渠道不可控,存在应用被冒用、篡改
3. 业务风险
1) 帐号被盗、垃圾注册、信息泄漏
2) 虚假交易、营销作弊、信用炒作
0x3: 议题中的关键技术 / 技术难点
APP模式挑战
1. 目前尚处于漏洞频发阶段 2. 漏洞修复的到达率取决于用户升级意愿和场景 3. APP版本长期处于新老版本混杂
阿里移动安全体系
1. 威胁感知
1) root检测,手机root破坏了操作系统原有的保护机制,容易引发针对app攻击和业务风险
2) 模拟器检测,app运行在模拟器中,容易受到逆向破解,抓分分析网络协议
2. app加固
1) 针对app安装包进行加固,无需修改源代码或者二次开发
3. app风险扫描
1) 应用漏洞扫描
2) 恶意代码检测,对APK进行可疑代码段静态检测,恶意行为动态分析,特诊及黑名单匹配,查找隐藏在代码中
针对移动漏洞的方案
1. 流层保障: 安全测试、漏洞响应规范
2. 技术与架构
1) 核心逻辑提供热补丁的能力: 适用于基础模块
2) 模块级的升级/隔离方案: 特别是第三方模块
3) 服务端的逻辑控制: 适合于业务逻辑模块
4) 接入层控制: 适合于接口层/通讯层的逻辑
0x4: 类似原理相关的技术
0x5: 攻防思考
6. 政企安全之云化
0x1: 演讲者
安恒信息技术有限公司总裁: 范渊
0x2: 技术背景
1. 业务安全/应用安全依然是安全威胁的主要源头
2. 内部安全威胁趋势未减
1) 各单位管理员
2) 第三方代维人员
3. 政务通信安全
政企安全之大数据
1. 传统政企内网中的大量数据独立存放、独立分析 2. 数据在线存储最多为1~3个月 3. 难于深入挖掘和深入分析 4. 个数据之间无法联动 5. 各类安全数据需要集中存储、关联分析,形成安全分析综合平台
0x3: 议题中的关键技术 / 技术难点
数据库审计
1. 全面审计、分析数据库操作行为 //最重要、最关心的是: 变化,即通过一段时间的学习之后,而因为攻击/入侵产生的突变
政企内网等保安全建设落地
1. 技术安全建设
1) 物理安全
2) 网络安全
3) 主机安全
4) 应用安全
5) 数据安全
2. 安全管理建设
1) 安全管理制度
2) 安全管理机构
3) 人员安全管理
4) 系统建设管理
5) 系统运维管理
3. 指导建设
1) 安全设计
//等级保护是做虚还是做实,在进行安全建设的时候要明白合规等保需要实现的价值
0x4: 类似原理相关的技术
0x5: 攻防思考
7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考
0x1: 演讲者
安天首席架构师: (肖新光)江海客
0x2: 技术背景
海客在议题中重点讲到了沙箱技术,沙箱技术是一种很古老的安全对抗技术,虽然现在Sandbox被广泛运用在了高级威胁APT的防御中,但我们也要看到,以邮件、chm、PDF为代表的APT攻击,因为本身受限于攻击载体自身的限制,导致恶意代码不得不通过"文本转换为代码"这个过程实现攻击环境的初始化,而这个过程很容易遭到Sandbox的劫持,对Sandbox这种技术,我们需要理性看待,如果放在纯粹的二进制级别的Sandbox、Anti-Sandbox对抗中,沙箱技术是很难占上风的,因为这是在进行源码对源码的对抗
1. 一种必须部署的基本能力 2. 一种能够杀伤普通对手的能力 3. 一种高级攻击者必须绕过的能力 4. 传统的AV等基础检测能力才是"制高点" 5. 不要神话制高点 //制高点并不是说比基础防御就有效,而仅仅只是防御体系中必须的一个环节
沙箱:反思
1. 沙箱的核心优势是针对攻击中的数据->指令转换的弱点 2. 在复合鉴定器中,绝大多数检查率是静态机制贡献的,FireEye的检测引擎中也集成了开源AV检测系统ClamAV 3. 沙箱针对对PE对抗没有必然的优势,FireEye使用沙箱对抗的效果是因为在以PDF为代表的攻击路径中,受限于文本空间有限,而不得以借助于文本向代码转换
0x3: 议题中的关键技术 / 技术难点
1. 安全性与保密性的平衡 2. 用户端和云端检测能力的平衡,在客户端也需要有一定的检测能力
沙箱没法解决的问题
1. 完整性 2. 有效性 3. 准确性 4. 信息淹没
在安全攻防产品中,安全防御者还会面临的一个大问题是,即可探测性
1. 产品的能力是提供给用户的,但也是暴力在攻击者面前的,黑客者可以利用类似于SQL注入中的盲注技术思想,对安全产品的能力进行推理探测,从而逐步画出目前产品的防御能力谱线,针对性的制定Bypass措施,这也是免杀攻防对抗激烈的根本原因 2. 产品能力来自于更大的支撑纵深 //反馈是一种微秒的东西,它有可能导致黑客成功尝试获取目标产品的能力范围
0x4: 类似原理相关的技术
0x5: 攻防思考
Relevant Link:
http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162 http://www.cnblogs.com/LittleHann/p/4460954.html http://www.programlife.net/sandbox-detecting-tricks.html
8. 其他议题
电子商务业务与安全 趋势、挑战与应对: 郭睿 脱茧: 腾讯安全平台部负责人 杨勇 coolc 网络空间的信任模型-现状与挑战之--DNS信任体系: 段海新
9. 参会感受
总体来说,不论是甲方、乙方、还是融合了甲乙方特性的互联网公司安全部门,业内都基本形成了几个共识
1. 安全是一个纵深防御体系,在体系化结构下,没有哪个产品比哪个产品高端、先进,就像塔防游戏一样,只有在正确的位置/场景部署最合适的攻防产品,让产品的能力发挥最大的极限,才能真正解决安全问题
2. 安全是一个持续对抗,迭代升级的过程,传统的三大件(防火墙、IDS、IPS(WAF))并不是说一定会淘汰,而是需要根据新形式下的攻防作出改进
3. 市场对安全最大的诉求在于"感知入侵、防入侵、反入侵",要实现这个目的,需要有以下几个体系和人才的搭建
1) 态势/威胁感知
需要有传统的Agent产品完成基础数据的收集,以及依托云计算平台进行交叉关联的运算,实现情报->威胁的产出
2) 安全漏洞(尤其是0DAY CVE)的原理性研究团队,在当前,WEB/系统/基础软件库的0DAY漏洞爆发,依然是导致用户资本被入侵的主要原因,当然这里并不包括APT攻击,但诚如海客说的,APT的防御一定是搭建在基础/常见漏洞已经极大程度、甚至完全消失之后的基础之上的,APT的防御相当于最后一张极细的过滤网
3) 漏洞修复/Hotfix
当漏洞出现的时候,不管是云厂商,还是传统甲方厂商,在尽可能的情况下,都需要帮助用户完成漏洞的修复,例如源码修复重编译、配置项的动态修改、内核打补丁,而漏洞修复是建立在完成了漏洞细节的研究的基础之上的
4. 安全产品虽然不是安全攻防的唯一形态,但是却是一个很好、很有效的形态,依托于安全产品,可以实现安全研究、漏洞修复、SDL的服务器输出
5. 系统层的安全加固、检测能够对用户的机器起到"安全基线"的作用,相当于一个简单、原始的"等保措施"
Copyright (c) 2015 Little5ann All rights reserved