第六届腾讯安全技术峰会全纪实(含PPT)

2013-10-28 147564人围观 ,发现 9 个不明物体 头条

2013年10月25日,腾讯安全平台部举行了第六届的腾讯安全技术峰会(以云安全为主题),FreeBuf作为合作媒体受邀参加,并微博@黑客与极客live直播了会议内容。【PPT在最底

 

到场人数大约80多,其中十几位受邀嘉宾,剩下的是腾讯各个安全组的兄弟姐妹。Apollo主持会议,带领腾讯安全的童鞋以“好!很好!非常好!!”的口号开场;Coolc开场致辞,提到这届大会是有史来邀请外地嘉宾最多的一届。除了参会的阿里、新浪,现场还看到一些熟悉的面孔,比如PP、黄鑫、宫一鸣,还有绿盟、大成天下的负责人等。

腾讯安全平台负责人Coolc先进行了简短开篇:

“当年提到云,都认为是浮云;如今已经感同身受,云就如水和电一样,实实在在地承载着我们的生活。 ”

 

这次会议有四个主题:

主题一:

阿里云-沈锡镛 的《云安全管理实践》。阿里云作为国内最早起步云的企业受邀分享实践经验。主题内容以阿里云的安全模型、框架为主。阿里云除了拥有自身丰富的云平台经验外,还参与国家一些相关标准的制定,以及云安全白皮书、云盾的发布。

关键词:阿里云、云安全、可信云、IaaS、PaaS、SaaS

 

主题二:

天融信-宫一鸣 的《网络安全攻与防》。有的内容与Syscan360大会的议题相同。内容与主题名不一样,(吴鲁加:“站在大网视角的分析、很开眼界”),无论是科普、分析、实验、截图、数据统计、动画(cnnic dns攻击),一一俱全。DDos手法分析描述到:“把技术用到极致,屌丝也可以有春天!”

关键词:DDos,路由,MPLS,Flowsec,anycast,蝗虫

 

主题三:

新浪SAE首席架构师-从磊 的《SAE安全机制》。内容很清晰很细致,无论是SAE的安全架构还是实践方法,PPT都对细节内容做了介绍。从中摘取的关键词也很多。

关键词:安全实践,沙箱,代码保护,codeFS,访问安全,PaaS SDN,消费审计。

 

主题四:

腾讯云-黄岸平 的《腾讯云安全联合团队建设体验》。介绍腾讯云的诞生,一步步走到现在的经验和收获。“开放”是腾讯云与其它云平台最主要的区别,他们相当于提供一台主机,让开发者自由配置和操作。

关键词:腾讯云、开放平台

 

议题都结束后,进入了沙龙问答环节。四个演讲者坐台前接受提问,小编原以为这会是个冷环节。但事实是腾讯安全同学的激情大大超出了想象,甚至演讲者之间都互相提问……

记录几个有意思的问答——

腾讯同学:阿里云的漏洞扫描与防护功能,选择的用户多吗?有没有存在把用户站点扫挂的风险?用户选择的情况怎么样?(阿里云的ppt里提及了这项内容,晚饭时得知阿里云和腾讯云也正准备在不久的未来上架云WAF)

沈锡镛(阿里云):用户基本都会选择。但是他们选择的重心不是漏洞扫描,而是安全防护。

腾讯同学:对一些屌丝开发者写的比较烂的MySQL语句会不会进行拦截(即使能成功执行并返回)?拦截影响了业务?(SAE的ppt里提及会计算MySQL语句的权值,甚至会过滤阻挡掉一部分的“笨”语句)

从磊(SAE):会进行阻挡,但会告诉开发者为什么阻挡。(想起前段时间各种XSS平台的流行,在SAE上搭建的时候很多MySQL语句都执行失败)

腾讯同学:安全这一块有什么好的合作模式吗?比如现在阿里云、SAE、腾讯云之间的合作,甚至和安全厂商之间的合作?

宫一鸣(天融信):由于业务不同,各自的解决办法并不一定适用。但是国外有类似这样的民间组织:各个公司的牛人之间组成个小组,出于人之间的信任,互相分享各自的数据和解决办法,通过数据共享来共同分析;国内应该形成这种氛围,而不是你出问题了我就来笑话你……(这是一条遥远的路…)

腾讯同学:现在乙方的安全水平都比甲方全面、而且比我们还了解攻击,你认为我们有什么好的发展方向和选择?

宫一鸣(天融信):我认为甲方的安全水平很快就能盖过乙方……

 

上面这个最后的话题微博上也有讨论,小编是真的有话想说:

根本不能够单一的去判断并比较甲乙方安全人员之间的实力。

一、乙方中有不少长期专注于攻防研究、漏洞挖掘的人员,给乙方公司的安全团队提供后端服务;而甲方人员大部分接触的都是乙方售前、产品实施人员,根据印象去评价乙方水平太主观;

二、乙方安全人员日常工作点是面,工作内容中涵盖金融、运营商、政府等各个领域,而这类企业一般不设有自己的安全部门,使得乙方能长期服务,并对整个行业无论在数据、架构、解决方案上都有一定的沉淀和了解;而甲方安全人员更多的是解决自身业务特点的安全问题、实现针对自身业务的细节方案(如腾讯有自己的DDos研究团队,在DDos防火墙硬件不出问题的前提下,能够比乙方定制化更适合自己的DDos解决方案;而很多其它行业则完全需要乙方进行定制、人员培训)

三、客户的安全需求驱动乙方安全人员不断去接受新的攻击方法、实现新的解决方案;甲方的业务驱动甲方安全人员不断地完善自身的安全体系、通过实现某些技术细节来完善平台。这是两种不同的方向,而且也不能去比较其中的“广”和“精”的问题。

四、安全是保障业务稳定为前提,而甲乙方虽然工作内容不同但都是出于相同的目的,实力的评判应当是谁能更好更有效地保障同种业务的能力。

五、工作性质的不同,甲方安全人员更热衷于分享成果(因为自身业务安全问题已经解决);而乙方则要考虑是否还要进行复用、保密等问题。所以许多同学会认为甲方人员在技术研究上更深入?

       另外,或出于温饱问题,或出于生活所迫,或出于环境喜好,乙方往甲方跳槽的人还是蛮多的;而甲方往乙方跳的也是有的,如宫一鸣老师。

 

 最后,感谢现场提供清晰原画的腾讯Ryan同学及玲子的招待。

会议PPT点此下载)

这些评论亮了

  • cnhawk (4级) 支付宝安全专家 回复
    其实甲乙方之间技术对比没什么意思,只能说各有所长,乙方很多安全技术虽然研究的很深入,但是放甲方来看基本就是屠龙之术,因为甲方根本没这些业务也就无从谈起需求。
    安全服务上比如渗透测试,乙方未必就能搞得定甲方那么复杂的业务体系,这样甲方就觉得比如自己搞自己还来得全面点,甲方学几次然后自己自己培养人自己做,反而最终结果可能更好。
    而安全产品上本来是乙方天下,可是乙方因为满足各种客户蛋疼的需求,很快一个好产品就成了一个大而全,无比复杂的东西,还卖的很贵,很多有能力的甲方发现这个问题和安全服务一样可以先买来学学,然后自己招人自己研究,做的还更好也不可能采购,甲方在设计产品上都是为自己业务模型为基础,设计东西完全是自己所想要的自然好用。
    我觉得以后乙方要尽快走出以前那种模式,打包服务打包产品,all in one的这种模式,更多的应该走定制化路线,毕竟客户业务模型的多样性导致安全需求的多样性,更多的云服务更是体现这一的安全趋势。
    )9( 亮了
发表评论

已有 9 条评论

取消
Loading...
css.php