zoukankan      html  css  js  c++  java
  • 2015阿里安全峰会

    catalog

    0. 会议相关 
    1. 起航-远望
    2. 沈昌祥院士议题: 云模式下等保体系建设
    3. 安全的未来是态势感知
    4. 网络安全的北回归线
    5. 互联网+时代的移动安全实践
    6. 政企安全之云化 
    7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考
    8. 其他议题
    9. 参会感受

    0. 会议相关

    2015-07-09~10(持续两天)
    北京JW万豪酒店
    主题: 天下无贼

    1. 起航-远望

    0x1: 演讲者

    阿里安全技术副总裁: 杜跃进

    0x2: 技术背景

    1. 新形势的互联网安全包括业务安全、生产安全、技术安全
    2. 新形式下的机会: 利用不同的理念,打破行业格局,制定行业规则才是最重要的制高点
    3. 互联网+: 快速迭代 
    4. 国际化

    0x3: 议题中的关键技术 / 技术难点

    挑战/焦点

    1. 业务/数据安全
        1) 生产稳定性
        2) 安全是依托于业务。要在维持业务稳定性下开展安全
        3) 数据必须一直大量使用,在互联网+模式下,数据的边界将变得不可控,例如google的去内网化
    2. 云/移动
        1) 在互联网+下,一个网站、业务系统、APP可能就代表了一整个公司,云业务系统的安全就是整个公司的安全
    3. 国际/农村
        1) 产品在面对不同人群的时候,产品形态应该是不同的,在不同的法规、用户使用习惯下,安全服务于业务的形式都是不一样的 
    4. 信用/大数据

    安全还需要兼顾"体验",安全就像水、空气一样润物细无声,用户的业务是透明接入的,无感知的,当发生安全威胁的时候,安全防御体系会自动出现,帮用户解决安全问题

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    2. 沈昌祥院士议题: 云模式下等保体系建设

    国家级的院士讲的太理论化、高大上了,我并不能完全听懂院士的议题,而且现场还出现了"啪啪啪"事件,氛围挺不错的
    三重安全防护

    1. 计算环境
    2. 网络区域边界
    3. 网络通信
    
    

    3. 安全的未来是态势感知

    0x1: 演讲者

    阿里巴巴安全研究员: 吴翰清

    0x2: 技术背景

    1. 安全从业者最大的痛点在于,客户花了钱,还被黑
    2. FireEye、Mandian研究发现97%使用传统网络安全产品的企业无法抵挡现今的网络攻击

    木桶原理: 黑客总是从意想不到的地方(0DAY)入侵,安全解决方案不能解决全部问题,黑客只要找到一个点就能入侵

    1. 员工信息安全
    2. 资料泄漏
    3. 社工
    4. 钓鱼欺骗
    5. 第三方服务

    安全市场分析,目前市场上对安全有需求的用户群里大致可以分为以下几类

    //以下2类是目前运市场上占比较大的群体,主要以防入侵、数据防泄漏为刚性需求
    1. 互联网行业、创业者
    2. 小站长、个人
    
    //以下2类是传统安全厂商重点关注的群体,主要以等保为刚性需求
    3. 银行、电力、央企
    4. 地方政府

    0x3: 议题中的关键技术 / 技术难点

    态势感知理论基础: 提出一个问题,比解决一个问题重要,全面、快速、准确的感知过去、现在、未来的安全威胁

    1. 安全产生的数据可能比正常业务还多
    2. 让数据在线
    3. 连接不同的数据,从而创造新的价值

    SIEM、SOC的失败

    1. 部署难
    2. IT信息维护难
    3. 数据标准不统一
    4. 计算能力弱
        1) 传统安全设备受限于单机性能,所以工作模式是: 过滤,即特征库匹配模式
        2) 因为存储不下来

    三大关键数据源

    1. 镜像流量数据
    2. 主机Agent数据
    3. 情报数据

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    Relevant Link:

    https://www.fireeye.com/index.html

    4. 网络安全的北回归线

    0x1: 演讲者

    启明星辰首席战略官: 潘柱廷

    0x2: 技术背景

    北向技术包括

    1. 战略
    2. 架构
    3. 咨询智库
    4. 基础方向
    5. 人才
    6. 效益经济
    7. 生态环境
    8. 心智

    0x3: 议题中的关键技术 / 技术难点

    1. 北向给内向以指导作用,一个产品不能解决所有问题,但不能代表这个产品就没有价值
    2. 纵深防御的本质就是,所有的产品都有可能失效,当一个产品可能失效,但并不能代表这个产品就没有价值
    3. 大数据实现的价值一定是在充分实现小数据的价值基础上,才能发挥大数据的违例,安全对抗的本质是成本的资金的对抗,大数据对抗是需要成本的
    4. 北向的极端是战略

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    5. 互联网+时代的移动安全实践

    0x1: 演讲者

    阿里移动安全首席架构师: 潘爱民

    0x2: 技术背景

    1. 无线信号安全
        1) 各种无线信号的保密和真伪
    2. 无线链路安全
        1) 接入internet、ap接入
    3. 端的安全
        1) 操作系统、root、系统0day漏洞、厂商、app应用漏洞

    移动业务面临的安全需求

    1. 系统不安全,缺乏基本的可信执行环境
    2. 应用分发渠道不可控,存在应用被冒用、篡改
    3. 业务风险
        1) 帐号被盗、垃圾注册、信息泄漏
        2) 虚假交易、营销作弊、信用炒作

    0x3: 议题中的关键技术 / 技术难点

    APP模式挑战

    1. 目前尚处于漏洞频发阶段
    2. 漏洞修复的到达率取决于用户升级意愿和场景
    3. APP版本长期处于新老版本混杂

    阿里移动安全体系

    1. 威胁感知
        1) root检测,手机root破坏了操作系统原有的保护机制,容易引发针对app攻击和业务风险
        2) 模拟器检测,app运行在模拟器中,容易受到逆向破解,抓分分析网络协议
    2. app加固
        1) 针对app安装包进行加固,无需修改源代码或者二次开发
    3. app风险扫描
        1) 应用漏洞扫描
        2) 恶意代码检测,对APK进行可疑代码段静态检测,恶意行为动态分析,特诊及黑名单匹配,查找隐藏在代码中

    针对移动漏洞的方案

    1. 流层保障: 安全测试、漏洞响应规范
    2. 技术与架构
        1) 核心逻辑提供热补丁的能力: 适用于基础模块
        2) 模块级的升级/隔离方案: 特别是第三方模块
        3) 服务端的逻辑控制: 适合于业务逻辑模块
        4) 接入层控制: 适合于接口层/通讯层的逻辑

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    6. 政企安全之云化

    0x1: 演讲者

    安恒信息技术有限公司总裁: 范渊

    0x2: 技术背景

    1. 业务安全/应用安全依然是安全威胁的主要源头
    2. 内部安全威胁趋势未减
        1) 各单位管理员
        2) 第三方代维人员
    3. 政务通信安全

    政企安全之大数据

    1. 传统政企内网中的大量数据独立存放、独立分析
    2. 数据在线存储最多为1~3个月
    3. 难于深入挖掘和深入分析
    4. 个数据之间无法联动
    5. 各类安全数据需要集中存储、关联分析,形成安全分析综合平台

    0x3: 议题中的关键技术 / 技术难点

    数据库审计

    1. 全面审计、分析数据库操作行为
    //最重要、最关心的是: 变化,即通过一段时间的学习之后,而因为攻击/入侵产生的突变

    政企内网等保安全建设落地

    1. 技术安全建设
        1) 物理安全
        2) 网络安全
        3) 主机安全
        4) 应用安全
        5) 数据安全
    2. 安全管理建设
        1) 安全管理制度
        2) 安全管理机构
        3) 人员安全管理
        4) 系统建设管理
        5) 系统运维管理
    3. 指导建设
        1) 安全设计
    //等级保护是做虚还是做实,在进行安全建设的时候要明白合规等保需要实现的价值

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考

    0x1: 演讲者

    安天首席架构师: (肖新光)江海客

    0x2: 技术背景

    海客在议题中重点讲到了沙箱技术,沙箱技术是一种很古老的安全对抗技术,虽然现在Sandbox被广泛运用在了高级威胁APT的防御中,但我们也要看到,以邮件、chm、PDF为代表的APT攻击,因为本身受限于攻击载体自身的限制,导致恶意代码不得不通过"文本转换为代码"这个过程实现攻击环境的初始化,而这个过程很容易遭到Sandbox的劫持,对Sandbox这种技术,我们需要理性看待,如果放在纯粹的二进制级别的Sandbox、Anti-Sandbox对抗中,沙箱技术是很难占上风的,因为这是在进行源码对源码的对抗

    1. 一种必须部署的基本能力
    2. 一种能够杀伤普通对手的能力
    3. 一种高级攻击者必须绕过的能力
    4. 传统的AV等基础检测能力才是"制高点"
    5. 不要神话制高点
    //制高点并不是说比基础防御就有效,而仅仅只是防御体系中必须的一个环节

    沙箱:反思

    1. 沙箱的核心优势是针对攻击中的数据->指令转换的弱点
    2. 在复合鉴定器中,绝大多数检查率是静态机制贡献的,FireEye的检测引擎中也集成了开源AV检测系统ClamAV
    3. 沙箱针对对PE对抗没有必然的优势,FireEye使用沙箱对抗的效果是因为在以PDF为代表的攻击路径中,受限于文本空间有限,而不得以借助于文本向代码转换

    0x3: 议题中的关键技术 / 技术难点

    1. 安全性与保密性的平衡
    2. 用户端和云端检测能力的平衡,在客户端也需要有一定的检测能力

    沙箱没法解决的问题

    1. 完整性
    2. 有效性
    3. 准确性
    4. 信息淹没

    在安全攻防产品中,安全防御者还会面临的一个大问题是,即可探测性

    1. 产品的能力是提供给用户的,但也是暴力在攻击者面前的,黑客者可以利用类似于SQL注入中的盲注技术思想,对安全产品的能力进行推理探测,从而逐步画出目前产品的防御能力谱线,针对性的制定Bypass措施,这也是免杀攻防对抗激烈的根本原因
    2. 产品能力来自于更大的支撑纵深
    //反馈是一种微秒的东西,它有可能导致黑客成功尝试获取目标产品的能力范围

    0x4: 类似原理相关的技术

    0x5: 攻防思考

    Relevant Link: 

    http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162
    http://www.cnblogs.com/LittleHann/p/4460954.html
    http://www.programlife.net/sandbox-detecting-tricks.html

     

    8. 其他议题

    电子商务业务与安全 趋势、挑战与应对: 郭睿
    脱茧: 腾讯安全平台部负责人 杨勇 coolc
    网络空间的信任模型-现状与挑战之--DNS信任体系: 段海新

    9. 参会感受

    总体来说,不论是甲方、乙方、还是融合了甲乙方特性的互联网公司安全部门,业内都基本形成了几个共识

    1. 安全是一个纵深防御体系,在体系化结构下,没有哪个产品比哪个产品高端、先进,就像塔防游戏一样,只有在正确的位置/场景部署最合适的攻防产品,让产品的能力发挥最大的极限,才能真正解决安全问题
    2. 安全是一个持续对抗,迭代升级的过程,传统的三大件(防火墙、IDS、IPS(Intrusion Prevention System))并不是说一定会淘汰,而是需要根据新形式下的攻防作出改进
    3. 市场对安全最大的诉求在于"感知入侵、防入侵、反入侵",要实现这个目的,需要有以下几个体系和人才的搭建
        1) 态势/威胁感知
        需要有传统的Agent产品完成基础数据的收集,以及依托云计算平台进行交叉关联的运算,实现情报->威胁的产出
        2) 安全漏洞(尤其是0DAY CVE)的原理性研究团队,在当前,WEB/系统/基础软件库的0DAY漏洞爆发,依然是导致用户资本被入侵的主要原因,当然这里并不包括APT攻击,但诚如海客说的,APT的防御一定是搭建在基础/常见漏洞已经极大程度、甚至完全消失之后的基础之上的,APT的防御相当于最后一张极细的过滤网
        3) 漏洞修复/Hotfix
        当漏洞出现的时候,不管是云厂商,还是传统甲方厂商,在尽可能的情况下,都需要帮助用户完成漏洞的修复,例如源码修复重编译、配置项的动态修改、内核打补丁,而漏洞修复是建立在完成了漏洞细节的研究的基础之上的
    4. 安全产品虽然不是安全攻防的唯一形态,但是却是一个很好、很有效的形态,依托于安全产品,可以实现安全研究、漏洞修复、SDL的服务器输出
    5. 系统层的安全加固、检测能够对用户的机器起到"安全基线"的作用,相当于一个简单、原始的"等保措施"

    Copyright (c) 2015 Little5ann All rights reserved

  • 相关阅读:
    Docker之Harbor
    idea 代码块编辑(批量列编辑)快捷键 -- idea version 2018 不常用
    mysql 去除表中重复的数据,保留id最小的数据信息
    打家劫舍(动态规划+滚动数组+取模运算优化)
    利用线程异步调用
    idea 2019激活码
    mysql导出PDM表结构并带有注释
    安装GO
    GO语言
    项目启动
  • 原文地址:https://www.cnblogs.com/LittleHann/p/4632990.html
Copyright © 2011-2022 走看看