freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CIS 2020主论坛首日全程回顾,明日精彩继续
2020-12-29 13:10:58

“不管我们从业人走得多远,FreeBuf和CIS永远在这里,永远年轻,永远热泪盈眶,期待我们下一个十年。”

在2020年的倒计时里,来自全国各地的网络安全爱好者们整装待发,赶赴一场年末安全盛会。

12月29日,CIS 2020网络安全创新大会在上海正式开幕,本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办。从FIT到CIS,再到CIS第二届,安全、创新、深度、趣味似乎一直都是大会的诚意所在。

从签到台的防疫小组,到创意展区、主论坛熟悉的开场唱跳,新老朋友们从到达的那一刻就能感受到满满的回忆和一些新的惊喜。

在魔都的冬天,疫情的背景下,FreeBuf除了进行CIS大会线上直播,依然选择办线下会议,也是希望在年末,为网络安全人提供一次聚会的契机,见见老朋友,聊聊这一年的安全故事……

开场致辞

中共上海市委网络安全和信息化委员会办公室总工程师杨海军,上海市经济和信息化委员会软件和信息服务业处处长裘薇,主办方代表、斗象科技CEO、FreeBuf联合创始人谢忱等出席大会并致辞。

杨海军表示,随着国内数字化基础建设的推进,在经济领域,数字化也催生了大量新模式、新业态。与此同时,需要对网络信息安全有更高要求,加强基础数据安全的防护,加强网络安全的统筹机制,积极发展网络安全产业,做到关口前移,防患于未然。

裘薇再一次强调了“数字经济正成为拉动我国乃至全球经济发展的重要关键手段”,同时指出各领域对网络安全产品和服务的需求在快速提升,上海网络安全产业规模需不断做大。

谢忱则主要分享了《数字时代的安全框架重构:FreeBuf 2020网络安全产业观察》。他表示,疫情无疑是一个巨大的灾难,但从另外一个角度来说,疫情也是一个机会,它快速推动了网络安全的数字化、智能化,“我们有理由相信疫情以后行业将迎来机遇“

可以发现,IT产业每隔12年会迎来一次平台的革新,从PC到移动,再到云、5G。随着数字化覆盖深度和广度到一定程度,网络安全独立的特征将愈发明显,而未来12年,将是数字化平台的演变,网络安全将逐渐形成数字孪生安全……

Hack Demo:悄悄“码”个臂

剑思庭 国际工控厂商网络安全负责人,工控安全红队IRTeam联合创始人

万物互联之下,智能设备随处可见,比如在汽车工厂中发挥重要作用的机械手臂。目前,机械手臂的主要应用场景涵盖了搬运、精准加工、焊装等,极大地代替了人工,提高了生产效率。

然而,当剑思庭通过一串恶意代码,接管机械臂后,会发生什么?

通过交换机远程控制,执行恶意代码,可以直接改变机器臂的动作轨迹,当机器臂脱离原有“控制”,会发生多个机器臂之间产生碰撞、砸毁设备,甚至直接造成周边工作人员伤害……

机械手臂的漏洞只是工业互联网安全问题的一个小小缩影,但其危害巨大。随着智能联网设备更多地应用于生产场景,如何保障网络安全是避不开的问题。

防护TIP:

  • 部署Modbus TCP的工业防火墙
  • 部署链路层ACL管理机制
  • 部署威胁工业流量可视化系统
  • 组态软件设置登录/权限/审计功能

G-Tech 全球安全战略会

网络安全监测与技术创新

姚佳明 国家信息技术安全研究中心威胁监测事业部副部长

姚佳明的分享围绕网络安全检测和技术创新展开,着重分析了中美的检测思路。

其中美国主要分为2种策略:持续监测(CM)、网络安全监测(NSM)。前者以脆弱性为中心,重点关注配置和软件缺陷,后者以威胁为中心,关注入侵者。其中,爱因斯坦计划作为美国政府为了加强对其联邦政府网络出口安全而进行的一项长期的安全监测与防护计划备受关注。

目前,美国爱因斯坦计划及其配套计划基本具备:网络集成接入、阻断不安全访问、阻断不可信的供应链产品接入等,这些安全维度值得深入思考。而随着强调供应链安全、主动防御、网络安全监控和态势感知的计划准备完成后,美国将自然而然地进入零信任基础,进行授权访问资源,做到数据安全。

我国在安全检测与技术创新上同样做了很多尝试,按照国家2019年科技经费投入统计公报显示,中国研究与实验发展投入经费达到22143亿元,而目前等保的战略规划中也涵盖了安全监测、通报预警、应急处置、态势感知等关键方向。

最后,姚佳明还分享了不同层级的态势感知能力的建设思路,以及现有黑客画像。

中国网络安全产业推进及公共服务探索

崔涛 中国信通院安全研究所网络安全部副主任

数字化转型创新机遇不断推动安全新技术、新业务、新模式的变革,网络安全产业发展渐入佳境,我国网络安全市场发展潜力巨大,是增速最快的toB市场之一。

中国信通院安全研究所网络安全部副主任崔涛先生远程分享了中国网络安全产业的推进及公共服务探索。主要围绕网络安全产业分析、信通院正在推进的先进网络安全能力验证评估计划、网络安全产业的前景展望展开。

其中,崔涛指出,网络逐渐在5G、6G更快的方向发展、组网技术也从原来的硬件化逐渐向软件化方向发展(如云网结合、算网结合,链网融合),整体来看,我国网络安全产业正在形成产学研用各个环节相密切衔接的态势。未来,新兴领域安全保障政策将会逐步完善、垂直的重点行业将陆续出台相关管理办法、信创密码等方面的核心技术发展也值得关注。

E-Tech 企业安全实践

漫谈移动应用个人信息安全保护治理

万小博 上海互联网应急中心网络安全处项目负责人

伴随互联网发展,App市场一片繁荣,然而在便利的同时,App也成为个人信息泄露的重灾区。App基于精准营销而超范围收集个人信息,对个人信息隐私保护来说成一大隐患。

这一背景下,可以发现近两年对于App的治理工作正在逐步开展,相关法规也不断细化,四部委旨在通过监管手段加强个人信息保护。目前一些典型的App违规收集类型包括以下几类:

未公开使用收集规则;

未明示收集使用个人信息的目的、方式和范围;

未经用户同意收集使用个人信息;

违反必要原则,收集与其提供的服务无关的个人信息;

未经同意向他人提供个人信息;

未按法律规定提供“删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。

万小博表示,APP运营者收集和使用个人信息的时候要严格落实网络安全法的个人信息保护制度,建立个人信息的删除和更正制度。APP运营者可以调整产品设计的环节,避免出现违规收集的行为,也可以通过委托专业的第三方机构对网络安全数据保护进行整体的评估工作。

网络流量安全分析的创新探索与实践

徐钟豪 斗象科技CTO

网络安全的本质是信任,但随着攻防升级,企业对于做好安全建设容易缺乏方向,失去安全感。从网络流行角度进行威胁检测、安全分析成为新的思路。

目前,虽然大数据在网络安全领域的应用相较于电商等行业进展较慢,但基于大数据、Al的应用会让网络安全的整体决策和检测更有效,而安全情报数据也已经成为基础安全能力之一。

此外,徐钟豪还分享了关于图计算的应用·、网络ACL策略模型、邮件安全分析等在安全分析中的创新实践与探索。

企业安全合规与物联网隐私保护实践

宋文宽 小米集团信息安全与隐私委员会秘书长
如果说5G+AIoT将是下一代超级互联网,那么大数据就是新时代的“核燃料”。这意味着大数据驱动的力量非常庞大,但一旦泄露造成的危害也是巨大的。
随着合规驱动,以及数据泄露带来的名誉与资产损失加剧,隐私保护、信息安全成为企业安全建设的重要议题,也是物联网持续发展难以避免的重要问题。目前小米除了在内部安全培训中强化隐私保护意识,同时把技术嵌入App,通过安全机制保障隐私。如差分隐私,在数据中增加噪音;端侧计算,将数据留在用户端,保障数据安全等。
此外,面对企业庞大的产品体系,宋文宽进一步提出了做好全链隐私保护的几点要素:

1、做好设备分级

2、具备物联网产品安全基线

3、技术提升,符合测评要求

X-Tech 创新前沿技术

EvilEssid to bypass WIPS surveilled environments

伊万 Lenovo全球安全实验室首席信息安全研究员

伊万分享到,对于无线入侵防御系统WIPS,最常见的WIPS威胁检测方法包括指纹特征(被动;抓包)和数据包检测(主动)。目前,WIPS仅检测ESSID,且在监控环境里可以创建一个恶意热点却不能用目标热点的ESSID。

这时候怎么办?如何创建一个不是双面恶魔的“双面恶魔”,从而绕过WIPS?我们常说人是安全最薄弱的环节,通过社工替换一些字母就可以完成一次“双面恶魔的攻击”。这里涉及到了IDN国际化域名,即部分或完全使用非英文字母组成的互联网域名,而人的肉眼无法分辨这些字母是否是英文字母。因此,替换字母的新创建的热点与目标热点在肉眼上看起来是一样的,但实际上并不一样,可以绕过WIPS。

Deep X-Ray:一种机器学习驱动的WAF规则窃取器

XunSu,KeyunLuo 腾讯朱雀实验室AI安全研究员

“WAF规则逆向一般是用于复制WAF的防护能力,或是便于构造出绕过WAF的payload”。

传统的WAF防护规则是基于表达式写的,那么如果攻击者掌握了这些规则漏洞是否就可以绕过WAF防控?XunSu和KeyunLuo以研究者的角度探讨了如何逆向出整条完整的规则。

首先找出最小的匹配单元,基于payload将正则单元做一个合并,另外选举一些样本,测试是否达到预期。这是一个手工逆向的过程,但因为人工探测存在很多不足,在研究中选择引入机器学习。通过大量优质数据,通过算法自动化提取payload的文本特征,再利用控制变量算法进行探测,最后实现自动化规则输出。

智能终端隐私防跟踪技术实践

张栋vivo千镜安全实验室安全研究员

当用户数据涉及方方面面,在保护用户、防止被跟踪方面哪些数据是关键?在实际场景中如何综合考虑业务的各个方面、寻找合适的用户隐私防止跟踪的方案?

张栋认为,信息的价值在于流通与使用,而隐私安全在于对信息在流通过程中的合理控制。

作为隐私威胁中比较重要的场景,隐私跟踪的主要特点为:隐私信息泄露是基础,组织方式从无序变成有序,跟踪者从观测一个人的行为到预测一个人的行为,甚至影响一个人的行为。

对于“哪些数据是保护重点”,张栋认为包括,目前危险来于标识符跟踪、GPS、基站、蓝牙等相关的位置跟踪,涉及身份认证·、识别与追踪的人脸识别。可以通过主流隐私增强技术对信息流进行控制,通过

标识化技术、经典加密方案、本地差分隐私联邦学习以及多方安全计算,真正做到隐私保护的始于尊重,终于信任。

Wit Awards 2020

WIT Awards作为业内广受关注的网络安全创新大奖评选,自2015年举办以来一直饱受赞誉。评选旨在以最专业的角度和最公正的态度,发掘优秀行业案例,树立年度标杆。

本次Wit Awards 2020的获奖情况如下:

年度创新产品

安芯网盾(北京)科技有限公司 安芯神甲智能内存保护系统

深圳开源互联网安全技术有限公司 开源组件安全及合规管理平台

年度产业领军企业

360政企安全集团

年度热门安全产品与服务

杭州默安科技有限公司 幻阵·高级威胁狩猎与溯源系统

北京威努特技术有限公司 威努特工控漏洞挖掘平台(VHunter IVM)

年度产业创新黑马

北京微步在线科技有限公司

上海派拉软件股份有限公司

年度安全品牌建设典范

杭州安恒信息技术股份有限公司

年度技术变革

远江盛邦(北京)网络安全科技股份有限公司 盛邦安全新版网络资产安全治理解决方案

滴滴云 滴滴鹰眼:新一代终端数据泄露防护系统

年度安全SRC

美团安全应急响应中心 MTSRC

年度最佳安全开源项目

百度安全 MesaTEE通用安全计算

明日精彩预告

精彩不止今日,明天安全话题持续上演~

白帽LIVE秀、攻防演练研讨、金融科技安全专场、DevSecOps 实践、人工智能与物联网安全……等你一起嗨!

Day2议程查看

现场精彩花絮

* 出于疫情防护,现场设置防疫小组严格把关。安全参会~

# CIS 2020
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录