主站

分类

漏洞 工具 极客 web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据库安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

2015阿里安全峰会“天下无贼”纪实(下):谁与争锋
2015-07-13 10:21:35

阿里安全峰会的第一天可谓是“各路神仙显神通”,而第二天的阵势与嘉宾阵容则同样庞大,设置了“云与端安全”、“电商金融业务安全”以及“白帽子与安全技术”三个分论坛,这也着实小难为了下我们这些分身无术的普通人类。

以下是小编游走于三个论坛之间吸收的不完全精华,详略不当之处,敬请见谅。

云与端安全分论坛

《阿里云安全生态》 阿里巴巴资深安全专家 方兴(网名flashshy、闪空)

著名白帽子方兴(flashsky)临时上阵,代替同事聂万泉讲《阿里云安全生态》,深夜时分,他发出一条微博预告:

“……晚上挑灯写PPT,终于写完了这版专业拍砖PPT,前拍@tombkeeper后砸@潘柱廷,明天一早,大家都来万豪看打架了。”

而他为什么这么说呢?

Tombkeeper曾表达了一个观点:

传统安全企业在互联网企业中有近忧有远虑,近忧是奇虎,远虑是阿里。但当整个行业处于一个比较好的发展机会时,传统安全企业是有可能和近忧远虑一起过日子的。

方兴认为这是tk对阿里云安全的误解与偏见。

他从“认识阿里云”讲起,IT云化给传统安全厂商带来了挑战也带来了机会;云的安全是阻拦云发展的重要因素;阿里云在积极推动云安全生态体系。

阿里云云安全的目标是夯实云平台底层基础安全,打通专有云专有域市场,让阿里云成为流量入口,向所有安全伙伴开放。

阿里云安全关注点:云平台安全、完善云用户安全体系(自身开发+引入第三方)、应用市场体系(方便用户、统一管控)、基于大数据提供知识与能力、基于大数据提供威胁情报信息。

DT时代,用户安全开放体系,阿里云安全做部分,但不会独占,给用户选择权利。

云平台自身安全由阿里自己做,能力与知识中心提供给其他厂商,软件及服务这层可严锁,因为这里会对用户安全形成影响。从产品到服务、再到知识能力中心,都开放。

方兴又是怎么“砸”大潘的?

他在这里套用了历史事件:

1、传统攻防类产品的困境:安全产品不能比作裤子,应该是有对抗的如武器,随着技术变革越快(像义和团)
2、合规刚开始推动了安全的发展毋容置疑:但随着形势的发展,就在改变。当情形变化导致合规僵化成一种对情势的阻碍时,合规就有需要变革的时候。(如同慈禧)
3、边界不断变动导致无法感知:消失除了不存在,还有看不到、感知不到的含义。边界不断推动导致感知不到,就是感知上的消失。

《LTE网络环境下的云管端安全》 恒安嘉新解决方案部总监 何文杰

介绍:1、LTE带来的安全挑战;2、LTE环境下的业务安全体系;3、“云管端”安全解决方案。

移动、电信、联通都积极推进LTE网络基础设施建设,加强覆盖的广度和深度。工信部开放了虚拟运营商,使得民间资本打破垄断。

LTE网络特点:4G

LTE带来的业务安全挑战:无线侧智能终端面临木蠕、恶意代码等攻击;成为DDoS攻击源对整个LTE EPS网络发起的DDoS攻击

LTE安全保障—隐私(资产)安全:2013年网民信息安全状况研究报告。5亿手机网民中,个人信息泄露和账号密码被盗的发生比例分别为13.4%和8.9%,并呈上升趋势。

白帽子与安全技术分论坛

本次峰会汇集了很多白帽子的参与,其中也有不少白帽子慕名而来,为的就是近距离接触一下排行很高、传说中的白帽子。

Gainover(二哥)诙谐风趣地给大家了讲了个他“当医生的故事”。他治疗了五位病患,他们分别是:百度浏览器、傲游浏览器、搜狗浏览器、猎豹浏览器和QQ浏览器。[1]

小米安全专家吕伟(网名:呆子不开口)讲得则是《Get带来的漏洞和风险》。[2]

老马的出现引得现场掌声不断。网名iceyes、老马,Xmd5解密网站站长,曾任职多家安全公司,在信息安全技术服务领域有丰富的经验,现在为阿里安全应急响应中心负责人。

他与在座的白帽子们分享了自己的故事:做自己(菜鸟)、帮人做(安全工程师)、教人做(安全顾问)、做自己(安全运营)。

曾经下过马、撸过站、拜过师、收过徒的他,梦想就是当个黑恶,而他常思考,能用技术实现什么价值呢?
后来他便开始做了信息安全咨询顾问,做安全培训、安全规划、安全体系…光线的外表下掩饰不住一颗屌丝的心。
白帽子是一种黑客文化,也是一种“茶”文化,曾经因爆漏洞被请去喝茶。“国内所有大的广告联盟都可以被劫持”。
这是一个拼人品的圈子。会议太多了,会棍不够用,漏洞太多,白帽子不够 用,CTF太多,赛棍不够用……

《永别了SQL注入》 长亭科技实习生 

这位“实习生”陈宇森向大家介绍了SQL注入攻击,并一步步引出公司的“神器”。剑指安全宝、360、腾讯,经测试结果显示国内三家云WAF误报率与漏报率均不尽人意,而他们的团队则在苛刻的条件中达到了很高的标准。

因为这位实习生说会尽快写一篇更详细的文章和PPT一起放出来,所以小编在这里就不多做介绍,要PPT的小伙伴可以暂时先等一等。(更新:PPT链接见文章结尾[3])

《天罗地网—WAF漏洞挖掘及安全架构》 安全狗资深网络安全专家 黄登

演讲中,黄登通过对案例的具体分析,针对性的提出了当前WAF防御所面临的的困境,展示了安全狗提出的WAF模糊测试框架,并且通过对业务与安全之间平衡的陈述,分析了安全防御今后的发展方向并讲述了安全狗在这一方面做出的努力。

黄登通过一个案例为我们清晰的展现了当前WAF防御存在的主要问题:

1、PHP-DDOS CVE-2015-4024 这个漏洞将一直存在,而类似的问题很普遍。
2、架构、策略以及规则复杂度之间存在着必然联系,当架构无法弥补的情况下,规则越复杂就陷的越深。
3、安全性与业务量之间的平衡同样是需要考量的。

在谈到业务与安全之间的关系时,黄登表示:所有不给予业务的安全都是耍流氓。

最后,黄登提出了他对于安全防御的看法,他认为安全的纬度才能决定其高度,立体防御、动态对抗,、端云合一,方为正道。传统端安全防御思路存在很多局限性,片面、独立、非动态并且不顺应业务。[4]

电商金融业务安全分论坛

《不可忽视的电商业务安全问题》 唯品会业务安全团队负责人 傅奎

傅奎致力于捍卫电商平台业务安全,共建电商安全联盟。他所带领的团队长期奋战在对抗“黑灰产”一线,在欺诈检测、账户安全、交易风险控制等业务安全领域有丰富的实战经验。[5]

《非传统安全的路》 岂安科技联合创始人 刘明

曾在魔兽世界、1号店、携程等公司负责账户、业务安全体系与产品建设的刘明,介绍了业务、账户、交易安全方面的研究,大规模实时计算、机器学习算法、筛选引擎等。

“做安全,即放弃成为百万富翁。”

账号安全问题90%可以通过30分钟或者一个小时看出来。就不需要历史数据。

本地策略的瓶颈:本地策略与安全情报,例如恶意注册(本地策略:注册频率、同密码注册个数、注册后行为、手机号码归属地、ip归属地、注册名相似度、设备指纹;外部情报:访问ip是否为机房/代理组织出口,手机号码是否为自动短信收发平台手机号码,邮箱是否为临时邮箱)。

未来&挑战

·  基于GPU运算的快速回归
·  坏样本的定义、收集
·  联防联控
·  无监督模型侦测异常
·  基于内网流量的风险分析

阿里巴巴安全专家许文奇和大家分享《非法信息管控在云计算领域的实践》,聚焦在如何有效及时发现各种违法信息,为云计算创造一个健康向上的网络氛围。那么如何在云计算环境下发现违法信息,进行黄图识别,以及违法视频识别呢?

《从高危漏洞看电商金融安全》 FreeBuf&漏洞盒子高级安全研究员 曾裕智(曾老师)

曾老师作为“电商金融业务安全分论坛”上压轴嘉宾,最后一个出场。[6]

正当互联网金融犹如雨后春笋般地发展时,安全问题也日益突出。根据漏洞盒子团队整理分析了大量金融安全案例,截止2015年6月底,有上百家平台遭受不同程度的黑客攻击,造成了严重的用户信息泄露,数据库被恶意篡改,甚至是系统瘫痪等安全事故。

漏洞攻击趋势则由普通漏洞向业务逻辑漏洞转变;web应用漏洞向APP漏洞、各类API接口、微信接口漏洞发展;变一次性攻击为APT(高级持续性威胁)攻击。而它们的核心则是盗取用户数据,获得金钱利益。

曾老师总结了下目前面临的问题主要来自两个层面:技术层面与管理层面。

接着,曾老师用几个鲜活的案例给大家展示了金融行业的漏洞与危害。其中不乏越权查看、越权修改、权限绕过、密码重置漏洞、支付漏洞等等。

最后,曾老师总结说:

有人的地方就有江湖,有江湖就有漏洞。人永远是安全威胁中最薄弱的环节。
受利益趋势,金融及电商行业被更多黑客“盯上”,厂商越早地主动客观对待安全问题,才能避免更多的损失。
网站安全,内外兼修。解决网站本身安全漏洞,防止黑客攻击;加强内部研发运维人员安全意识与知识。

参会小感

在阿里峰会举办的两天,有幸结识了各路豪杰。无论是在台上演讲的嘉宾,还是台下认真聆听的安全工作或者爱好者,无疑都是抱着对安全行业的极大热忱而来。

会后小编在与白帽子的交流中发现,这次阿里提供的不只是一个名家传授知识经验的百家讲坛,而是一个开放、自由的交流平台,参与者在茶歇时刻轻松自如地沟通,微信群中实时传递的直播图片,台上台下观点的碰撞......这些点滴把每个人都牵扯其中。这不再只是阿里的峰会,而是圈里所有人的大派对。

阿里峰会,再见!

大会部分PPT共享

[1]《疗一疗本土“瘤”览器》 链接: http://pan.baidu.com/s/1ntxLnct 密码: ap98

[2]《Get带来的漏洞和风险》 链接: http://pan.baidu.com/s/1eQrnROY 密码: kixj

[3]《永别了SQL注入》 链接: http://pan.baidu.com/s/1jGhCxE2 密码: u7ke

[4]《天罗地网—WAF漏洞挖掘及安全架构》 链接: http://pan.baidu.com/s/1hqo2bCK 密码: 7k8k

[5]《不可忽视的电商业务安全问题》  链接: http://pan.baidu.com/s/1uJSC2 密码: jdu5

[6]《从高危漏洞看电商金融安全》  链接: http://pan.baidu.com/s/1kTMRMlx 密码: qs3s

[7]《恶意域名识别与分析》  链接: http://pan.baidu.com/s/1dDnmtlZ 密码: d9ej

两天大会所有PPT汇总 链接: http://pan.baidu.com/s/1joAce 密码: 3pf2

*现场报道:banish、明明知道,感谢每个为本篇报道提供图文信息的朋友,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦