评委们眼中的2015互联网安全年度评选

2015-12-28 397283人围观 ,发现 6 个不明物体 头条活动

 “智慧(Wit)之美”寓意安全行业发展背后的不变信仰。一路走来,在安全行业发展日渐成熟的背后有许多默默奉献智慧的人们。不管在行业成长的道路上有多少误解与苦难,“智慧之美”就是我们的不变信仰。

“2015互联网安全年度评选”10大奖项将在1月9日FreeBuf互联网安全创新大会(FIT)- WItAwards颁奖典礼上公布。

WitAwards各奖项坚持独立性、专业性与公正性原则,组委会特设公众投票与评委投票权重各占50%,因此评委的票选显得至关重要。32位专业评审分别来自安全行业的不同细分领域,他们将代表行业专家意见各投出关键一票。2015即将过去,评委们对过去一年发生的林林总总的安全事件有何看法?他们对各大奖项的评选标准和看法又有哪些?

以下内容选取自WitAwards评委专访,全部评委名单请点我

2015,安全警钟长鸣

2015年也注定是个不平凡的一年,大事件隔三差五的发生,小事件比肩接踵的出现。4月份,全国30个省市曝安全漏洞,数千万社保用户敏感信息或遭泄露。姓名、电话、地址可能只是精确找到一个人的物理信息,与陌生人并没有什么价值,然而在互联网欺诈中,这却是极为关键的一个环节。像这种用户数据泄露事件比比皆是,网易作为国内拥有最高级别安全的邮件系统也被疑拖库,163、126邮箱数亿数据被泄露。

其实要说影响行业的安全事件,应属Hacking Team被黑和XcodeGhost事件。Hacking Team是一家以协助政府监视公民而闻名的意大利公司,也就是“黑客公司”,他们向包括摩洛哥、埃塞俄比亚以及美国毒品管制局在内的政府及执法机构出售入侵和监视工具。然而不幸的是,他们也被黑了。

Xcode是苹果APP开发工具,XcodeGhost作者将恶意代码植入到Xcode安装包中并发布到了网上。开发者在通过非官方渠道下载Xcode时就携带了恶意代码,开发出的带有恶意代码的APP还会向正常的苹果APP中植入恶意代码。

百度云安全总经理 马杰评论说此次事件之所以危害巨大,是因为下载渠道被污染了。污染下载渠道这种攻击方式的危害要比Xcode被感染本身更为严重,下载工具的离线缓存文件被感染,使得黑客的攻击范围大大增加。

上海交通大学网络信息中心安全负责人 姜开达认为,XcodeGhost事件中编译器被注入后门影响极为深远,给人们打开了崭新的无限思考空间。安全是需要一个完整可信体系支撑的,(包括)代码安全、编译器安全、第三方库安全、开发框架安全。

阿里巴巴资深安全专家 魏兴国同样认为XcodeGhost事件令人印象深刻。他解释说:

“很多年前Ken Thompson提出过在编译器里做后门的想法,但是没有什么实践的案例。而这次XcodeGhost事件敲响了警钟,影响了大家一直认为很安全的苹果手机,沙箱也好审核机制也罢,都没有起到防御的作用。”

华为云安全首席架构师 赵彦重点提到了XcodeGhost事件,他认为XcodeGhost影响面太广,不只是终端用户,还影响了供应链上的一系列干系人,例如Apple、APP开发商、开发者社区、分发渠道等,如果把这个事件所涉及的安全管理展开来足可以写一本书。

IBM中国区首席科学家 林育震认为,从2015年发生的这些安全事件,可以发现,骇客攻击从带有恶作剧或炫技性质的手法转变为有组织的商业化行为,以及攻击性能变化成以进阶技术进行长期潜伏且不易被发现的渗透攻击,单纯的以防火墙与防毒软件等系统工具构建的被动式安全防护机制将无法有效防堵安全威胁,企业必须主动掌握最新的信息安全攻击手法,并且拟定紧急响应计划,方能有效因应(适应)层出不穷的安全威胁。

多少漏洞烟雨中

网络安全事件与漏洞总是如影随形,安全事件爆发的背后一定存在一个不为人知的漏洞作为支撑,或为系统漏洞,或为人为漏洞。2015年出现过多少漏洞,修复了多少漏洞,还有多少漏洞未被发现——这些我们均无法精确计算,但我们知道曾出现过那么几个漏洞,已经搅动了整个安全风云。

Java反序列化漏洞

一月份,安全研究人员Gabriel Lawrence和Chris Frohoff公布了一个影响范围相当广的Apache Commons工具集远程代码执行(RCE)漏洞,由于Apache Commons工具集几乎是JAVA技术平台中应用最广泛的工具库,因此影响几乎遍及整个JAVA阵营。

但是由于漏洞非常高深且难以理解,尽管研究人员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。

知道创宇CEO 赵伟认为最近爆出的Java反序列化漏洞,这是一系列的漏洞,因为他的影响不容易被观测到,危险性容易被低估,但包括安全设备都存在这一漏洞,如果被黑客攻击利用后威胁非常大。

Wormhole漏洞:溃于蚁穴

安全研究员曝出多款APP存在wormhole漏洞,安卓手机无论是否Root,只要连接了WiFi网络或者3G/4G蜂窝网络,攻击者事先无需接触手机,无需使用DNS欺骗可在存在漏洞的设备上进行:远程静默安装应用、远程启动任意应用、远程获取用用户的GPS地理位置信息、获取imei信息等。

魏兴国认为Wormhole漏洞和XcodeGhost类似也是针对手机的攻击。但是Wormhole漏洞危害更大,可以做到远程静默安装程序,偷取指定文件等等事情。

“这对于手机攻击来说,具有划时代的意义——以前的攻击要么物理接触手机,要么劫持WiFi,而这个漏洞什么都不需要,只要手机联网即可。而且由于百度巨大的影响力,涉及到的人更多。”

什么才是年度安全研究者

从震惊国内外的安全事件到搅动风云的安全漏洞,不管是事件的操纵者,还是漏洞发现者,都少不了人的参与。互联网世界最危险的不是事件、不是漏洞,而是人!有的人存在是为了破坏原有平静的生活,有的人存在是为了维持昔日平静的态势。这就是违法犯罪者和安全研究者最根本的区别。

FreeBuf采访了多位业界同仁,畅聊了一下他们心目中优秀的安全研究员应该是什么样的一个人。

马杰认为:

第一是好奇心,要有解决未知问题的兴趣。
第二是毅力,要有打破沙锅问到底的坚持。
第三是足够扎实的基本功,包括操作系统原理、网络知识、编程语言。

魏兴国继续补充道:

优秀的安全研究人员,首先要需要寂寞的时候能耐得住寂寞,很多东西只有自己一个人在深夜才能做出来。其次是交流,寂寞之余,需要沟通讨论的东西要沟通,交换思路,互相印证。

赵伟则认为技术固然重要,但还有一个最基本也是最重要的条件:一定要有正义感,有道德底线,不要误入歧途。

Palo Alto Networks中国区技术总监 耿强

我个人认为一名优秀的安全研究人员,要具备超脱的思维,能跳出常规的思维限制来思考;要有出色的分析能力和问题解决能力;以及一定的行业影响力和合作能力。

学术派代表、上海交通大学姜开达则认为,一名优秀的安全研究者,不仅看其做出的成就有多大,更看重其2015一年的进步和变化有多显著,看年度增量。计算机领域基础扎实,快速学习和动手实践能力强,具有良好的代码能力,同时要始终保持对未知安全领域的好奇心,并且年复一年,持之以恒。

从业20年的“安全老兵”林育震认为评判最佳安全研究员的标准是以“求知欲”、“创新力”、“灵活性”与“技术性”等四个方面为主,而最佳安全团队的评判标准则是以“沟通与协调能力”、“危机应变能力”、“强烈的向心力与团队精神”与“高营运绩效”等为主。

由于当前的安全攻击手法极为多元,因此一名优秀的安全研究人员应具备以下五个特质:

第一,创新力;
第二,灵活度;
第三,拥抱协同合作;
第四,具有领袖特质;
第五,热衷于学习。

年度安全产品的“气质”

此次评选,“年度安全产品”的奖项竞争尤为激烈,各家厂商都使出了浑身解数,拿出自己上一年度的最牛成果,而在评委眼中,评判年度安全产品是什么样的准则?

杭州同盾科技有限公司CEO 蒋滔

很难有标准,从我的角度而言,创新是第一标准,实用性也非常重要便捷、高效,带动整个领域智慧变革、快速发展的产品具有创新力。我觉得安全服务领域有机会诞生具有创新力的安全产品。

安全威胁情报推进联盟发起人 金湘宇

销量,技术先进性,实用性,创新性。可以满足实际需求的,新应用模式(如云),新技术的应用(如机器学习)。看好云安全服务、威胁情报、基于大数据的各种分析。

IDF实验室联合创始人 万涛

不是旧瓶装新酒,在某一个维度或安全点上有独特的突破,并能带来明显的安全改善(可以是感知或者体验)。无线安全和P2P相关技术方面有机会诞生具有创新力的产品。

赵伟

第一要看是否解决了用户的刚性需求;第二要看创新力;第三要看是否易用;第四要看是否贴合中国市场。一个好的安全产品,这四点缺一不可。

寒冬里的曙光

2015年,安全领域投融资大幅井喷,在一片繁荣的景象下,又会是怎么的暗流涌动,代表安全风投方向的评委线性资本合伙人,前Facebook安全经理 王淮说出了他的观点。

寒冬情况下所有的项目都会受到影响,但是里面特别出众的影响会相对最少,大家的融资都相对困难,一般的公司会相对收到更小的融资率,好的公司会保持相对强的竞争力,相对而言获得的概率就增加了,好的资源都留给好的 公司了,活跃的钱虽然少了,留给好的 团队的比例反而提高了。

另外 实际的钱并没有少,大家愿意投,会比较谨慎的投,流动性会变差。所以不管是什么领域,做里面最强的团队,有非常让人看的倒有增长潜力的商业模式,分两块,用户模式,不管你2B或者2C,你的用户增长模式,赚钱模式,大家都会跟你聊一个商业模式,安全这块有一个好的团队好的问题好的市场反馈像斗象这样已经拿了很大一笔的钱的够烧一两年的,利用这一阶段多招一些好的人,挑一些优秀的工程师。

投资人在投任何公司的逻辑是一样的,最看重的是背后的团队,他们是在这个相关安全问题上是不是有很强的话语权很强的影响力,安全领域与其他不同,需要专业,有技术门槛,人脉门槛。产品有很多种,内部行为监控、权限管理、数据安全、防范外部攻击、金融安全(欺诈反欺诈)等,很重要的是找到自己所要解决的问题,找到适合解决问题的产品,找到适合产品的推广销售方式,因为不同的产品是不同的,你瞄准的核心的安全问题会决定很多东西,比如市场的大小——你产品是不是够迫切,别人听到会觉得这个危险是需要去破解的是付钱是说得过去的,找到这样的特点这样的问题才有意义。

为什么需要更多女性从业者?

FreeBuf互联网创新大会各位评委们希望“安全宝贝”将是美貌与智慧并存,不仅颜值高,在技术、能力上也不逊于男士。

UCLOUD CEO季昕华评论道:

我觉得安全宝贝这个奖项很好,希望能通过更多的这种眼球曝光的形式,吸引更多的技术人员投身到安全领域,让更多的企业、资本关注安全行业,让这个行业健康的发展,更好的保护中国的互联网产业。

IDF实验室联合创始人万涛称:

目前没有印象深刻的安全宝贝,我希望安全宝贝不是易碎的花瓶,而能凝聚和寄托行业的一些气质

最后问题来了——评委们最中意的会是安全宝贝的颜值么?

看看知道创宇CEO赵伟是怎么说:

说到这个让我想起了i春秋的那个金发碧眼……其实这个就是个噱头,不过搞安全的都很苦逼,有美眉助阵还是挺好的。

FreeBuf主办的“2015互联网安全年度评选”WitAwards公众投票已结束。年度安全产品、年度安全宝贝、年度安全云、年度最佳SRC、年度安全团队、最佳安全研究者等十项大奖到底花落谁家,最终评选结果将在2016 FreeBuf互联网安全创新大会(FIT)上揭晓,敬请期待! 

*FreeBuf 编辑部,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM) 

更多精彩
相关推荐
发表评论

已有 6 条评论

取消
Loading...

特别推荐

文章目录

    文章目录

      推荐关注

      官方公众号

      聚焦企业安全

      活动预告

      填写个人信息

      姓名
      电话
      邮箱
      公司
      行业
      职位
      css.php