你在这里

时代的机遇与脉动:FreeBuf 2017互联网安全创新大会(FIT)首日精彩全记录

 

时代的机遇与脉动:FreeBuf 2017互联网安全创新大会(FIT)首日精彩全记录

2016-12-29 Sphinx FreeBuf

机遇是什么?当电子科技行业不再像从前那样一路高歌,甚至连全球经济形势都不够景气的当下,任何一个逆势上扬的行当都是“机遇”。这样的机遇,在整个时代的大背景下,显得更为突兀,犹如心跳般一张一翕地表现出脉动。

“脉动与机遇”实际上就是这一届FIT2017(FreeBuf 2017互联网安全创新大会)的主题。所以我们听到斗象科技创始人兼CEO袁劲松说,斗象科技目前已获得7000万元B轮融资,其中1000万将用于启动“战车计划”,专注安全人才培养、项目资助和安全研究。在国内经济形式下行的大形势下,安全行业的发展却在逆势上涨,澎湃的行业生态就是安全行业的“脉动与机遇”。

合纵连横的安全事业

作为FreeBuf的主场,本届FIT 2017自然也是整个斗象(FreeBuf所属公司)团队耗费大量精力打造的年度盛会。这种脉动和机遇就是从袁劲松《打造安全新生态的理想国》开始的。不止是拿出1000万做战车计划,还在于斗象科技与FreeBuf的进一步战略布局。

近一年的安全事件真可谓高潮迭起,所以FreeBuf的编辑们也是忙得不亦乐乎——尤其这下半年一浪高过一浪的攻击事件,Shadow Brokers盗取NSA内部工具事件刚刚唱罢,Mirai僵尸网络立刻登场致美国半个互联网瘫痪,雅虎不甘示弱——相继宣布两波5亿和10亿用户数据被窃。

这是一个真正将原本在很多常人看来,“黑客还很遥远”的想法带往“这已经是近在咫尺,与每个人息息相关”的时代。莫说FreeBuf原本常年关注安全行业的媒体,如华尔街日报、BBC、USA Today这样的社会媒体都无法对这些事件莫不关注。FOX News都已经在美国互联网遭遇攻击后向普罗大众普及什么是DDoS了。

这原本就是安全行业在向前推进,足以被社会大众关注的表征。这种脉动和机遇早就不是行业内一群人自High的游戏了。所以我们听到斗象科技和机智云合作,共同建立了物联网安全联合实验室,为物联网设备安全保驾护航;所以我们也听到,漏洞盒子平台这两年来的成果,白帽子技能提升。

就好像万物互联时代,你家里的不少家具都需要承载安全属性——将安全拓展到日常生活中,这大概是未来一段时间内所有人都需要思索的话题。所以FIT2017首日的演讲议题也几乎涵盖了安全的方方面面。

就像思科大中华区安全业务总经理庄敬贤(Victor Chong)说的,“50年前,钱在银行,抢钱的是劫匪;现在,数据就是钱,抢钱的是黑客”。这是实实在在的转变,关乎每个人切身利益的转变,而不是遥远的神话。所以“新时代,需要全面地去看安全”——当然这也是思科现如今立足在网络边界安全产品中就从攻击前、攻击中、攻击后,以威胁防护为中心,建立全方位架构的原因。

代表未来,也在你身边

用联想全球CISO Richard Rushing的观点来看,现如今的企业安全问题已经变得越来越复杂,需要从各种不同的角度做充分考量,不管是网络还是端点。防火墙、WAF都有技术绕过方式,端点部分的浏览器、沙箱技术、白名单机制要绕过也是稀松平常。即便如此,面对安全也不该持悲观态度,从各种切分维度的各个层面注重安全才是FIT2017探讨的重点。

怎样关注安全?谁来关注安全?上海市经济和信息化委员会信息安全处副处长刘山泉在开幕致辞中谈了对此的看法,他认为:“互联网融合发展,大量企业不断涌现,在建设上海智能城市过程中具有不可替代的作用。但网络安全问题不断出现,互联网企业是应对网络安全问题的中流砥柱。”

而中国互联网协会网络与信息安全工作委员会秘书长何能强也提到:国家网络安全层面,提倡信息共享——这原本也是安全走入寻常百姓家,走上国家层面的佐证,或者各安全厂商和安全专家的发言,更在于小到手里的手机、大至人工智能的未来,都在一步步加大向安全的偏移。

IBM全球首席资讯安全架构师李承达分享《认知时代的安全体系》,这是IBM一直致力于人工智能方向之后,将之应用到安全领域的典型。科技最前沿已经为安全所用,这是安全在世界当下位置的很好说明。

这是IBM Security现如今一直在宣扬的“认知安全”概念——将深度学习应用到安全中。就好比如FreeBuf这样的安全媒体、安全专家的安全博客每天都在更新,而这些资讯如果能够集结为有意义、能够为企业安全所用的威胁情报,价值自不可同日而语。如李承达所说,企业安全人员无法时时刻刻关注每一刻的安全动态,这项工作若由机器完成,由机器消化互联网上大量“未组织过的”安全资讯,最终内化成自身的知识体系。这种认知技术即达成了在安全领域的绝佳应用方式。

这样的深度学习,包含了对图片、视频资料,威胁数据库、研究报告、安全教材、安全热门网站的全面搜集。安全专家过往的积累也就不会付诸东流。这种认知计算或许会成为许多威胁情报提供商,以及传统安全产品的重要补足——这种面向未来的技术也正着眼安全

斗象科技联合创始人兼CTO张天琪(Pnig0s)在谈《“机器”如何推动漏洞检测革命》则对机器学习做了深究。我们的小P同学饶有兴趣地谈到了风险检测发展的三阶段:基于规则->基于统计方法->机器学习。整个议题既论述了风险检测引入机器学习的原因,也谈到了机器学习的一般流程、和机器学习的风险识别流程,以及机器学习需要突破的难点。

这亦是着眼未来的技术,解决现如今实际问题的范例。但与此同时仍是安全行业的一致课题:协同合作,因为“机器学习需要结合其他专业知识、统计学知识,才能发挥最优效果”。

若论及立足当下,基本都在下午的X-TECH技术派对了。

来自娜迦信息科技的阎文斌则从移动软件保护原理的技术沿革入手,纠正了人们对壳的错误认识:其实,壳、加花、乱序混淆没有想象中那么简单;被神化的虚拟机保护没那么复杂。并且向大家介绍了一种“投机取巧”的So自定义Linker技术和能够在编译期间提供保护的llvm安全编译器。

而来自安天移动安全公司的副总经理陈家林则从Android系统本身分析了威胁和可能的防护方案。从近年来Android系统漏洞趋势和安卓系统漏洞研究数据,安天认为,下一个系统安全的主战场是系统内核。那如何根治系统漏洞的顽疾呢?安天对此提出一种设想——智能检测+智能防护,这种方法基于可信域的芯片级别的运行时安全防御。将核心的检测主逻辑和相应检测规则放于高安全等级的可信域中,避免被恶意者攻击从而丧失防护功能。

比较有趣的是首日大会将近结束时,平安科技银河实验室信息安全研究员高亭宇带来的议题《浅谈人脸识别技术的移动端应用风险》。这是个尤为深入现代人生活的议题,因为刷脸登录、刷脸放贷、刷脸支付似乎已经成为很多人移动生活的组成部分。

但实际上,通过一些有趣的方式是完全能够做到欺骗人脸识别的。即便有些人脸识别方案要求各种检测,比如要求你在刷脸的时候眨眼睛,转头——然而要绕过这些刷脸过程也轻而易举,且能用的方法不止一两种。比如通过注入应用来绕过这种所谓的“活体检测”;甚至使用一些软件来制作照片的动图,也能欺骗人脸识别方案;还有3D建模绕过云端检测;再不济还有脸模攻击方案。

像人脸识别这样深入生活、原本为安全而生的技术却如此脆弱,这也可算是安全在你身边的代表了。

仍是一场极客技术盛宴

如果说上面这些或可归结于把握安全脉络的行列,那么FIT2017首日的很多议题分享还是着眼于极客的。比如说半小时的Hack Demo一下子把现场与会者的情绪提升到了最高点。    

哈尔滨理工大学机器人安全研究者薛恩鹏(烧鸡)现场演示了《突破物理隔离的窃密方式》。大会舞台上,烧鸡的机器人以窃取办公室中电脑内的考试答案为目标,一步步让装载了摄像头和各种传感器的机器人一路“偷偷”走近那台PC,随后插入U盘,启动——拷答案一气呵成。

而白泽安全团队成员付山阳则演示了《机器人如何变身窃听专家》。他利用未公开的漏洞远程入侵并控制了一款时下流行的机器人,令其能够被攻击者利用,就好像你家里的监控摄像头被劫持一般,机器人能够被更为灵活地用来监视你的一举一动。

腾讯科恩实验室研究院的安全研究员刘令/聂森给我们带来了主题为《特斯拉网关的逆向揭秘》的演讲。他们认为汽车网关在车联网中是连接各汽车服务的桥梁,是黑客侵入汽车最为关键的一环。演讲中,两位研究员详细地介绍了他们是如何通过多种渠道/工具对特斯拉汽车网关完成逆向分析,最终加以利用成功使一辆行驶中的特斯拉汽车在驾驶者未操作的情况下打开了后备箱。

除此之外,FreeBuf Live分论坛上的议题也同样精彩缤纷。Freebuf年度作者bt0sea梁洋洋分享了《Web应用防火墙竞品分析》——这也是他先前在FreeBuf发表之后引起广泛关注的文章。梁洋洋从行业现状、产品功能、交互设计、产品运营等多个角度分析了目前市面上常见的Web应用防火墙产品。

接着,漏洞盒子产品经理来勇为大家介绍了漏洞盒子4.0中的大量新特性,包括新引入的评级、积分和新的赛季制度,让白帽子们愉快地玩转漏洞盒子。火绒科技联合创始人周军带来的《终端安全和威胁情报的双重变奏》则从多个案例分析了当前的网络安全环境,也分享了自己对于目前的安全软件行业的看法。

WitAwards 2016三大奖项揭晓

除此之外,最为值得一提的是WitAwards 2016互联网安全年度评选部分奖项的公布:思科Firepower 4100新一代防火墙摘取了年度品牌力量奖项;东巽科技的铁穹高级可持续性威胁预警系统拿下了年度技术变革奖;还有腾讯科恩实验室摘取的年度安全团队。另一部分奖项预计会在第二天的FIT2017揭晓。

这次的WitAwards 2016为了提高专业性,首次引入了专业评委,优化了大众评委、专业评委和专家评委的决策权重。大众评委投票占比20%,20天收到了超过25万次投票;行业评委投票占比30%;专家评委投票占比50%(是由40名安全行业大牛组成的)。WitAwards是FreeBuf期望鼓励安全从业者、研究人员、安全企业、产品和项目的评选活动,更希望通过扩大行业影响力,让安全行业受到全社会的关注。

实际上,就如文首所述,安全得到全社会的关注已经是趋势。这是互联网的发展,以及人们生活方式转变,脉动与机遇即在此刻凸显。高峰圆桌环节,各嘉宾从各自角度阐述了自己对于安全趋势的认识:国家信息技术安全研究中心金融安全处副处长曹岳说,现如今的数字钱包很多人认为不安全,但实际上这至少比带现金安全——这就是对安全思维的转变。

应当改变的并不是从互联网生活中彻底解脱出来,而是如何在这样的生活下提升安全性;上海互联网应急中心运行部主任戴沁芸博士从《国家安全法》的角度,展望了一个更加安全,企业更加负责的未来;思科的Victory Chong则是代表了安全厂商的角度,他认为,威胁情报领域需要创新和突破;作为更偏重硬件的厂商,Panasonic产品安全中心亚太区负责人林永熙表示:平衡IoT设备成本和计算能力是Panasonic未来需要面对的问题;来自平安科技的陈建认为,一些新技术如大数据中的安全风险是企业需要面对的重大转变和挑战。

而在所有这些观念、行业环境和技术的改变中处处都是我们未来要寻找的机遇。