据说7月这两天(8~9号)天下无贼了,因为天下的贼都跑到北京来了,所以天下就无贼了(盗用了nuke同学的机智)。不过这话真不是浪得虚名,基本上从7号开始各种上京赴会的报到贴就开始在朋友圈开刷,直到7号晚的各种撸串面基达到第一波小高峰。据说报名参加的人数超过1000人,能在峰会一天就能遇上这么多安全界的传奇人物还是头一回。
总体感觉两天峰会是虚实兼备。第一天更多是战略层面的碰(za)撞(chang),第二天则是实战经验的干货分享。
安全,业务为王
第一天感受最强烈的是互联网环境下谈的安全,更加强调贴近业务,贴近用户体验。不管是从早上蚂蚁金服Jason开场讲的让用户懒,让用户爽,让用户强,在安全性和便利性寻求平衡点还是阿里集团杜博讲的从传统的保护信息安全到保护业务的安全的启航,让安全也讲求体验性。还是下午腾讯安全平台部coolc讲的如果安全已经跑不过(qiang)业(hong)务(bao)的创新,那安全还是否可持续发展?现在做的安全做好了,究竟是真的做好了?还是在享受前人对安全的实践留下的红利?
其实以往谈的安全时往往是严防死守的保护传统的信息安全,而到互联网业务上,利用的已经不是一个web漏洞,一个系统漏洞,而可能是业务上的逻辑漏洞,对业务的针对性更强。一个表面无关重要的注册信息,都可能被黑产们运用到利益的获取上了。正如杜博所讲的阿里在安全上积累的经验也独特在此,也是这次峰会分享的重点主题。
关于“砸场子”的由来
由于道哥议题中对传统安全厂商的缺乏创新动力、等保机制不足以保证企业用户安全、传统防护点总是缺漏(黑客总是从看不见的灰色地带进来)等等的批判。引发了传统厂商的代表人物启明星辰大潘的“砸场子”辩论。
谈到大潘的砸场子议题不得不get的一个新词是安全的“北回归线”。安全的南面代表底层的技术,安全北面代表架构,战略层面。以后要混安全圈听不懂这南安全/北安全,鲁肃/张飞的行话,得好好温习一下下图了。
第二天还有flashsky的前拍TK,后拍大潘继续对安全发展的辩论。但其实总的来说的核心并没有冲突的。未来阿里云的安全是有所为有所不为,道哥解决的LongTail在阿里云上,而传统厂商的作用也是不可或缺的。拥有大量数据的阿里云也可以给传统厂商提供价值,例如安全威胁情报。讲到威胁情报道哥在《安全的未来是态势感知》演讲里提出的安全的挑战在于“看见”其实与业内宫大牛多次讲的visibility 不谋而合。安全情报解决的是到底攻击你的是谁?他的攻击意图是什么?他的能力如何?
其他干货(南向)
第一天的南向干货估计要数江海客的《纵深防御体系中的能力思考》,凭借对美帝APT攻击病毒的深入分析经验,海客的演讲如数家珍,记得里头的一个例子是他们曾经分析过一个欧美做的病毒平台被其他地方来做武器进行攻击。“为何美帝愿意流出着平台?因为美帝外都还是草房,而美帝自己已经是水泥房了,那武器能轻易摧毁草房,却伤害不了水泥房,”这其实是一个基础的安全防护能力的问题。所以海客说我们在被神(EQUATION)一样的对手打败了,可笑的是猪(Hangover)一样的对手也把我们搞定了。看来我们还是需要重视基础的安全防御能力(AV)的。
其他方面的干货还包括傅奎讲唯品会面临的过的风险,从账户安全到资源滥用再到信息泄露等等,每个大点下的小点都有详尽的介绍,总结出来的都是满满的吭,简直是谁做谁知道。(欢迎有相同的血泪史的童鞋私信交流交流防御的经验)这里放几张图详情请看PPT
另外还有机器学习的运用,这边厢是当年清华学霸DJ正在华丽丽的讲述机器学习算法分析恶意域名(http://www.sec-un.org/malicious-domain-name-detection.html),那边厢新一代清华学霸长亭科技实习生带来的机器学习结合编
译器对5千万条网站流量的分析打造的SQLChop来防范SQL注入。
既然在讲清华了,不得不再说说段老师第一天讲的《DNS信任体系》简直是一部浓缩的DNS安全的精华课,关于DNS的历史故事,从.cn到.伊拉克,到美国与ICANN说不清的关系。一点一点把DNS从历史,原理,架构实施过程中的安全风险点都进行了阐述。
最后,其实不管业务安全的风险控制也好,安全威胁情报也好,安全都越来越需要互相共享资源,以应对共同的敌人。