你看到的也许是问题,而他们看到的是机遇。
响应着这一届FIT2017(CodeSec 2017互联网安全创新大会)的主题“脉动与机遇”,第二天的日程当中更多的演讲者分享了,在新挑战不断发生、攻击不断演化的情况下,自己的企业和团队如何迎战,甚至将之转变为新的机遇。
企业安全工坊 IoT之殇这两年,智能设备的发展可谓是风生水起,几乎所有的设备都正走向智能化,正如Panasonic株式会社产品安全中心亚太区负责人林永熙介绍的,松下甚至已经推出家庭网络系统,连接着几乎所有的家用联网设备。智能联网设备的开发走在了其安全框架和规则的前头,因此智能设备的潜在风险也带来了不少担忧,尤其是今年的Mirai僵尸网络事件,更是将智能设备的安全性问题提到了前所未有的高度。除了成为僵尸网络的肉鸡,IoT还有其他潜在风险,诸如机能停止、个人信息泄露、远程控制、登录信息篡改等。
Panasonic株式会社产品安全中心亚太区负责人 林永熙
就此,松下不惜花费大量时间重组改造公司架构,设立一套网络安全架构,以应对产品的风险问题。林永熙认为,解决设备安全问题的重要基石在于保证产品自身的安全性――即在产品上市前将“风险最小化”,从开发阶段检讨可能发生的威胁,并拟定对策成为安全要件,定入设计中,上市前进行漏洞检测,在事前的最后一步把控安全;此外,再配以事后应急响应团队,出现事件后,立即应急响应。松下在产品安全上严谨认真的精神,也许就是对智能设备安全问题的最好回应。
密码泄露之解古有四十大盗因密码泄露,报复阿里巴巴,而导致集团团灭,今人吸取教训为密码的命名设置了许多规则。但密码本身并不安全,黑产利用大数据甚至可以计算出大家的密码命名规则,面对这样的问题该怎么办?
小米公司CSO 陈洋
小米公司首席安全官陈洋在提出,要消灭密码。陈洋提出用APP生成动态登录指令的方式去密码,用代理去内网,用应用去蜜网,以应对移动办公时代中的企业安全问题。
中小企业谁来关注?大多数安全企业面向大型企业做安全,体量颇大的中小型企业终端安全却被“忽视”。其实黑客攻击中小型企业成本高、回报小,但因为大多数企业用的还是免费全家桶型的个人级安全设备,信息安全建设缺乏体系,容易遭受黑客攻击,更有数据显示,60%的小企业遭遇攻击后在6个月之内倒闭。
瑞星终端安全产品架构师 杨绍波
面对这样的问题,久未谋面的瑞星终端安全产品架构师杨绍波提出用“SaaS安全云”应对。“SaaS安全云”由云终端和SaaS云中心组成,前者作威胁探侦,后者执行威胁收集、威胁情报、云防御等功能;“SaaS云中心”还需与传统的管理员进行联动,并且全程需要安全专家的参与。瑞星认为低成本、低使用门槛的SaaS安全云,将是“中小企业安全的必选项”。
网络创新还能做些什么?Gartner曾预言,至2020年,60%的数字化企业将发生信息安全事件,60%的企业在信息安全方面的预算将围绕在威胁快速检测和安全应急响应上。斗象科技联合创始人兼COO谢忱分享了一个安全事件响应实践CaseStudy,并介绍斗象科技安全矩阵,用互联网安全社区化数据为基础,加上漏洞盒子2年经营的互联网众包测试2.0模式(基于漏洞定义、业务场景、定向目标的安全测试),辅以网藤的风险感知功能,建设一个漏洞驱动的安全整体响应体系,快速高效有针对性地进行风险检测。
斗象科技联合创始人兼COO 谢忱
谢忱提到,我们谈起网络安全创新,往往只聚焦几个方面,重复太多,少有突破。那么推动创新还能做什么事?还能从什么角度切入?
上海嘉韦思信息技术有限公司CEO舒首衡的讲话正是对这一问题的完美解答――我们可以做网络安全保险。
网络安全保险――由保险公司、主管机构、服务单位联合建立网络安全服务保险生态。其中,主管机构,即公安部第三研究所发布权威安全服务标准和体系,聚合安全服务单位,保险公司分担企业网络风险,安全服务单位提供服务。网络安全保险分为事前安全服务和事后安全服务,前者将由公安认证的专业团队实时监控、定期对投保人网站进行扫描,后者是指在安全事件发生后,由保险公司承担费用,第一时间提供网络应急方案。此险种在国内为首创,从另一个侧面打造安全生态,解决企业安全问题。
上海嘉韦思信息技术有限公司CEO 舒首衡
斗象科技凭借卓越的实力,获得网络安全保险服务合作伙伴手牌。公安部第三研究所、公安部信息安全产品检测中心、国家网络与信息系统安全产品质量监督检验中心检测部主任陆臻先生,安信农业保险有限公司、上海宝山支公司总经理助理张勇,斗象科技联合创始人兼COO谢忱共同见证了这一仪式。
攻防现状如何打破?
如今,黑客攻击之势越发猛烈,组织化的黑客,让企业更难应对。无论是过去的单点防御还是现在的塔防模式,企业都是在严防死守。深信服安全技术总监王振兴举了个巧妙的例子:这种攻防现状就好比二战期间法国重兵部署的马奇诺防线,却被德国袭击北部失去作用。企业“花了那么多钱,为什么一直被吊打?”
深信服安全技术总监 王振兴
面对攻击者的各种“套路”,我们似乎应该换个视角来看企业安全建设,真正应用起来包括五个阶段:1. 从黑客准备攻击的前期阶段从暗网获取相关信息,为企业针对性防御赢得时间。2. 在黑客对目标进行信息收集的阶段,探寻github、社工库等资源,模拟信息已被掌握的情景,识别漏洞风险,制定整改策略。3. 黑客攻击手段不断变化,攻击方也要持续对抗,利用大数据,实时动态防御。4. 黑客进行隐蔽控制,需要发现线索,主动出击。5. 黑客交易阶段,对暗网、黑色论坛进行云端监控,在攻击最后阶段,挽救企业信息资产。五个步骤,四层防御,用黑客视角,打破攻防不对等的局面。
全网数据显示,互联网金融应用系统安全基础较为薄弱。但和钱打交道的企业理应更重视安全。互联网金融企业要建设安全团队,却面临新兴行业、基础实力、人才储备、安全经验不足等问题。
宜人贷安全负责人 王哲
宜人贷安全负责人王哲分享了宜人贷信息安全的建设过程。首先制定规划,随后快速展开团队建设,还设立了宜人贷安全应急响应中心,鼓励白帽子帮助发掘漏洞。有了外界助攻,还要有内部的防御力量。宜人贷还开发了自己的NetSky监控系统以发现Web访问异常,以及Github泄露监控系统,不再需要认为检索Github。作为甲方,自身安全团队建设的重要性也并不亚于购买第三方服务。
产业创新俱乐部 继续攻防讨论早上的演讲嘉宾谈到如何打破攻防现状,极验验证CTO黄胜蓝认为当前存在如下问题:由于底层协议的脆弱性,攻击者可以轻易修改数据;传统方法仅仅能检测到明显不符合正常情况的伪造;攻击者对于蜜罐的警惕性也越来越高――未来攻防将更多偏向数据的伪造与鉴别方向。
黄胜蓝认为可以利用深度学习进行防伪:从攻击者接收到的信息中,每项数据都可以轻易被修改掉,但不同项数据之间又存在着关联。利用深度学习只需要对数据之间进行合理的建模,神经网络会基于数据模型自行拟合关系。他还认为未来攻防对于数据的分析能力愈发重要。正如深度学习未来将在安全领域也产生深远的影响。
同样是应对攻防不对等,锦行网络科技产品总监胡鹏认为应用蜜网构建一个欺骗网络,把多种蜜罐放置在一个网络;同时用蜜场集中化管理蜜罐、蜜网;再利用蜜标将欺骗数据多样化――结合起来形成欺骗技术HoneyX,从多维度欺骗攻击者。胡鹏分享国内外引入欺骗技术的产品,已实现预测攻击意图、攻击溯源、与其他安全产品联动,共享威胁情报等功能。
锦行网络科技产品总监 胡鹏
安全初创企业将走向何方?安全威胁情报推进联盟发起人、君源创投管理合伙人金湘宇认为当前整个IT业正处于变革期,信息安全市场成为了变革的焦点,信息安全市场增长性良好,增长空间巨大,信息安全成为新的资产市场宠儿。全球网络安全投资出现缓慢下降,但安全公司投资依然猛增。网络安全创业市场不是所有人的春天,也不是所有人的秋天。
安全威胁情报推进联盟发起人、君源创投管理合伙人 金湘宇
《网络安全法》通过后对安全企业产生了什么样的影响?段和段律师事务所合伙人刘春泉首先从法律体系、基本制度建设、基本主体分类、禁止行为、未成年人保护、网络安全等级保护制度、网络产品及服务的安全要求、网络安全认证、信息收集规则等方面为大家全面介绍了《网络安全法》。刘春泉认为,此法通过将大大刺激安全行业的发展,但同时也会带来一些法律风险:如甲方企业专业安全责任等,网络安全行业需要重点关注。他建议企业应在该法生效前,确立安全生产管理体系,申请网络信息安全预算,并且与外部律师对接等等。
段和段律师事务所合伙人 刘春泉
CodeSec Live II 段子和技术不分家PKAV双螺旋攻防实验室负责人、无人敢说不帅的白帽子张瑞冬分享几种骗局:伪装公检法机关或银行发送虚假短信、微博微信虚假红包等,受害人数众多、金额巨大,而背后的实施人员仅为1到2两人。
宝宝树安全总监、段子界技术第七好的白帽子吕伟(呆子不开口)谈POC链接的反分析,建议安全人员不要贸然请求链接进行分析,并给出了详细的保护建议,包括从http请求层面拒绝可以的鬼、浏览器端人鬼识别、风控请求的防模拟、poc代码自身保护等。
宝宝树安全总监、段子界技术第七好的白帽子 吕伟(呆子不开口)
ArkTeam团队负责人刘潮歌也谈到了蜜罐、蜜网、蜜标、面包屑等在防御者的网络欺骗战术中的应用。
携程信息安全总监凌云形象地用边防、公安、子弟兵的三种角色谈起安全防御的架构,其中边防对应的是被动式扫描、水平权限检测、运维安全管控平台、软件防火墙WAF,公安则包括安全合规和权限限制等,而子弟兵指的是自动化操作、社会分工、情报共享等等。
携程信息安全总监 凌云
最后,连尚网络信息安全部高级研究员龚沛华分享了Android移动安全与保护, 首先介绍了Android平台安全现状,随后从linux内核安全特性、沙盒、权限、IPC访问控制、代码签名和系统签名、多用户访问控制、加密和SELinux等角度谈Android安全模型,而后从应用、数据、系统角度分析Android安全,最后还分享了一些APK保护措施。
WitAwards 2016 三大奖项揭晓继昨天颁发三项重磅大奖之后,WitAwards 2016互联网安全年度评选继续公布三大奖项: 微步在线ThreatBook威胁情报分析平台斩获年度创新产品奖项 ; 阿里云云盾Web应用防火墙获得年度云安全产品及服务奖项 ; 安天实验室肖新光拿到年度安全人物奖项 。此外,漏洞盒子还专门给白帽子设立并颁发了 漏洞盒子2016年度最佳白帽子奖项,Tangyuan、lakes和gdygdy获此殊荣 。
微步在线合伙人 李秋石
阿里云高级安全专家 祝建跃
代为领奖的北京安天华东区域总经理 钱吉明
这次的WitAwards 2016为了提高专业性,首次引入了专业评委,优化了大众评委、专业评委和专家评委的决策权重。大众评委投票占比20%,20天收到了超过25万次投票;行业评委投票占比30%;专家评委投票占比50%(是由40名安全行业大牛组成的)。WitAwards是CodeSec期望鼓励安全从业者、研究人员、安全企业、产品和项目的评选活动,更希望通过扩大行业影响力,让安全行业受到全社会的关注。
激变中的时代必然会催生各类问题,其中安全问题又是极为引人注目,如何从问题中抓取机遇,把握时代脉动,是各个企业一分高下的重点。产业创新圆桌环节豌豆科技创始人&CEO宋国徽、锦行网络科技产品总监胡鹏、极验验证CTO黄胜蓝、火绒科技联合创始人周军、红点创投副总裁刘岚、安全威胁情报推进联盟发起人/君源创投管理合伙人金湘宇(Nuke)共同就机遇与挑战发起了圆桌讨论。
当问及创业者如果作为投资者会投资哪些领域,几位共同选择了大数据、物联网和云作为答案。谈到在创业过程中遇到的困难,人才匮乏、技术起点低还是创业者共同的痛。在国内创业环境方面,几位创业者给出了不同的看法:刘岚认为相较国外,中国的环境稍差,金湘宇认为创业市场还有发展余地。最后,几位还谈到公司融资情况,其中火绒的回答最有意思,火绒目前还没有融资,似乎火绒想要在拿钱以前继续思索自己想做的事情。其中提及的有些挑战,虽然还是目前没有完美的应对方法,但说不定有一天也会启迪一些创业者,将之转变为机遇。
时代在前进,问题与挑战也不断演化,在这两天的大会上,我们也不止一次听到演讲嘉宾提到传统防御方式已经无法抵御不断进化的黑客攻击,但他们并没有墨守陈规,反而从各个不同的角度,尝试去解决问题,这对他们来说就是机遇,而他们的每次尝试就像是跳动的脉搏,昭示着这个时代的生命力。与所有与会嘉宾代表的企业和团队一样,我们CodeSec也正在蓬勃生长,也在探索新的机遇,面对新的挑战。今年的FIT已经圆满落幕,但交流的思想与精神仍在,我们期待在全新的一年里与大家分享见证安全行业的成长,更希望在明年为各位呈现更加精彩的互联网安全创新大会。
* CodeSec官方报道,作者:kuma,未经许可禁止转载