首屆INSEC WORLD成都·世界信息安全大會(huì)�����,被業(yè)內(nèi)譽(yù)為“專為中國(guó)信息安全行業(yè)定制的黑帽大會(huì)”�����。
熟悉這個(gè)行業(yè)的人都知道,世界最頂級(jí)的信息安全大會(huì)如DEF CON�,Black Hat等,多年來(lái)都只在國(guó)外舉辦�����。由于距離和語(yǔ)言的障礙��,中國(guó)的安全技術(shù)愛(ài)好者和信息安全企業(yè)想要參與����,還是有一定的困難。
其實(shí)����,在多年的發(fā)展中,中國(guó)信息安全技術(shù)在世界已位居前列�。在全球Top100白帽子榜單中�,有不少是來(lái)自中國(guó)的安全技術(shù)人員。可以說(shuō)�,中國(guó)是全球信息安全行業(yè)發(fā)展過(guò)程中一個(gè)不可或缺的角色。當(dāng)然�����,頂級(jí)的信息安全大會(huì)就不能錯(cuò)過(guò)中國(guó)這一站。
此次INSEC WORLD大會(huì)正是出于這樣的考慮�,由全球領(lǐng)先的展會(huì)主辦機(jī)構(gòu)Informa Markets(英富曼集團(tuán))在中國(guó)首次推出。
英富曼集團(tuán)是Black Hat�,IoT World這類高端活動(dòng)的主辦方,同時(shí)旗下還有多個(gè)與網(wǎng)絡(luò)信息安全有關(guān)的展會(huì)����、媒體和智庫(kù),如:Dark Reading, Information Week, Interop, Cloud Connect, Network Computing��,Ovum等�����。
恰逢成都正在建設(shè)“中國(guó)網(wǎng)絡(luò)信息安全之城”��,目標(biāo)在2022年將成都打造成為西部領(lǐng)先����、國(guó)內(nèi)一流的網(wǎng)絡(luò)信息安全產(chǎn)業(yè)高地,因而在成都市政府的大力支持下�����,INSEC WORLD大會(huì)得以順利落地成都。
那么����,作為首屆中國(guó)版的“黑帽大會(huì)”,到底有哪些精彩之處呢����?科技云報(bào)道作為INSEC WORLD大會(huì)核心合作媒體,現(xiàn)場(chǎng)采訪多家企業(yè)及演講嘉賓�����,本文將帶大家一起回顧會(huì)議現(xiàn)場(chǎng)��。
大師云集
上演中國(guó)版“黑帽大會(huì)”
Insec World大會(huì)由主論壇����、分論壇、技術(shù)展示�����、科技孵化與專題培訓(xùn)等多種形式組成����,深度聚焦安全技術(shù)、管理與應(yīng)用�,內(nèi)容包含端點(diǎn)安全、應(yīng)用安全�、數(shù)據(jù)安全、云安全����、移動(dòng)安全等,同時(shí)覆蓋金融科技��、5G網(wǎng)絡(luò)�、政府安防、安全人才管理與培訓(xùn)等熱點(diǎn)話題��。
事實(shí)上����,這些豐富的議題并非閉門造車,而是著眼于當(dāng)下中國(guó)在安全和管理方面的迫切需求�����,結(jié)合前沿的安全技術(shù)實(shí)踐����,希望通過(guò)富于實(shí)際的議題分享和交流��,給予中國(guó)安全人員及開(kāi)發(fā)者更多的啟發(fā)�����。
為了實(shí)現(xiàn)這個(gè)目標(biāo)��,將INSEC WORLD這一高端會(huì)議成功落地中國(guó)����,英富曼為此注入了大量心血�。
首先,遵循Black Hat等設(shè)立專家顧問(wèn)團(tuán)的成功模式�,由中國(guó)工程院院士、國(guó)家科技進(jìn)步一等獎(jiǎng)獲得者方濱興領(lǐng)銜��、30多位國(guó)內(nèi)外產(chǎn)學(xué)研專家組成的顧問(wèn)團(tuán)�,為本次大會(huì)量身打造適合中國(guó)的大會(huì)議程。
通過(guò)專家顧問(wèn)團(tuán)審議大會(huì)議程框架�、議題征集投稿,以及推薦演講嘉賓等方式����,保證大會(huì)的高品質(zhì)。除此之外,專家成員還依據(jù)各自擅長(zhǎng)的細(xì)分領(lǐng)域��,擔(dān)任出品人����,為本屆大會(huì)嚴(yán)選分論壇議題及講者�����。
例如�����,奇安信集團(tuán)首席安全官兼網(wǎng)絡(luò)安全部總經(jīng)理聶君出任“CSO論壇”�����,安恒信息首席安全官�、高級(jí)副總裁劉志樂(lè)出任“應(yīng)急響應(yīng)/安全運(yùn)營(yíng)論壇”,中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟秘書(shū)長(zhǎng)魯輝出任“人才培養(yǎng)論壇”�����,全球黑帽大會(huì)Blackhat&黑客大會(huì)DEFCON技術(shù)演講者��、獨(dú)角獸(Unicorn Team)安全團(tuán)隊(duì)創(chuàng)始人楊卿出任“安全創(chuàng)新論壇”出品人。
其次��,大會(huì)云集了多位國(guó)際��、國(guó)內(nèi)信息安全界大師級(jí)人物�����,例如:2015年圖靈獎(jiǎng)獲得者����、美國(guó)國(guó)家工程學(xué)院院士、斯坦福大學(xué)名譽(yù)教授Martin Hellman先生��;Lower Colorado River Authority原首席安全與風(fēng)險(xiǎn)官Tim Virtue��;Palo Alto Networks亞太區(qū)首席安全官Kevin O’Leary等�����。
在主論壇的演講中��,Martin Hellman教授帶來(lái)了“公鑰密碼對(duì)信息安全的重要性”的演講����;奇安信集團(tuán)總裁吳云坤分享了“新技術(shù)環(huán)境下的'內(nèi)生安全’能力構(gòu)建”�;LCRA原首席安全與風(fēng)險(xiǎn)官Tim Virtue從甲方的角度闡述“從0到1”的轉(zhuǎn)型路線圖”����,讓現(xiàn)場(chǎng)觀眾一睹行業(yè)大咖的風(fēng)采。
奇安信集團(tuán)總裁吳云坤發(fā)表主題演講
此外����,大會(huì)展出規(guī)模達(dá)6,000平米�,深信服、奇安信�����、360網(wǎng)絡(luò)安全大學(xué)�����、微步在線����、無(wú)糖信息等多家知名信息安全企業(yè)參與了展示,來(lái)自金融�、醫(yī)療、交通�����、政府、防務(wù)�����、通信及更為廣泛的行業(yè)企業(yè)客戶�,得以與這些安全企業(yè)面對(duì)面的交流行業(yè)解決方案,將安全需求進(jìn)一步落到實(shí)處��。
前沿技術(shù)與行業(yè)實(shí)踐并重
漏洞攻防備受關(guān)注
在主論壇的演講外�����,大會(huì)還設(shè)置了6個(gè)縱橫相結(jié)合的主題分論壇:漏洞攻防論壇�����、數(shù)據(jù)安全及云安全論壇�、CSO論壇、應(yīng)急響應(yīng)/安全運(yùn)營(yíng)論壇����、人才培養(yǎng)論壇、安全創(chuàng)新論壇��。
可以看到,這些論壇議題關(guān)注的是企業(yè)CSO在信息安全工作的前沿需求����,充分挖掘了企業(yè)CSO在各安全工作方面的痛點(diǎn),比如安全運(yùn)營(yíng)�、數(shù)據(jù)安全、人才培養(yǎng)等�,同時(shí)也通過(guò)漏洞攻防、安全創(chuàng)新等主題交流����,讓安全技術(shù)愛(ài)好者們?cè)诂F(xiàn)場(chǎng)聆聽(tīng)了全球最前沿的技術(shù)干貨�。
作為其中最為熱門的分論壇,漏洞攻防論壇現(xiàn)場(chǎng)連后排都站滿了觀眾��。來(lái)自ICONIQ汽車�����、西澳大學(xué)��、華為�����、騰訊安全、Citrix等行業(yè)專家����,帶來(lái)了汽車安全、機(jī)器學(xué)習(xí)�、工控安全、漏洞挖掘等安全相關(guān)話題�����,現(xiàn)場(chǎng)分享了來(lái)自行業(yè)一線的安全觀點(diǎn)以及最前沿的技術(shù)方法��。
ICONIQ汽車安全和研發(fā)高級(jí)主管Craig Smith在安全領(lǐng)域工作已經(jīng)二十多年了�,專攻汽車安全領(lǐng)域。
他認(rèn)為安全能夠?yàn)檐嚻笃放圃黾右鐑r(jià)����,保護(hù)消費(fèi)者免受惡意攻擊是車企需要重點(diǎn)提升的安全部分,其中有很多問(wèn)題值得深思��,比如:如何在不召回車的情況下升級(jí)軟硬件�����,修補(bǔ)漏洞�?如何讓用戶在合法改裝的情況下�����,依然保護(hù)用戶的汽車安全����?如何在GDPR等安全法規(guī)的要求下��,對(duì)汽車日志數(shù)據(jù)進(jìn)行分析以保證安全�����?Craig Smith以案例分享的方式給現(xiàn)場(chǎng)觀眾以啟發(fā)�。
西澳大學(xué)網(wǎng)絡(luò)與安全實(shí)踐中心主任David Glance分享了機(jī)器學(xué)習(xí)的攻擊和防御。他指出����,在機(jī)器學(xué)習(xí)興起的當(dāng)下�,基于機(jī)器學(xué)習(xí)的攻擊也可能同步出現(xiàn)。以圖像識(shí)別為例�����,攻擊者僅僅改變一個(gè)圖像的像素��,就可能對(duì)結(jié)果造成非常嚴(yán)重的誤差。
因此����,他提出了SEYS混合威脅模型建模的應(yīng)對(duì)方法,通過(guò)機(jī)器學(xué)習(xí)建模識(shí)別潛在的威脅參與者��,包括攻擊目標(biāo)��、攻擊目的����、攻擊行為、攻擊技能等��,最終計(jì)算出存在的漏洞�����、威脅和存在的風(fēng)險(xiǎn)�����,但前提是有多樣化的現(xiàn)實(shí)場(chǎng)景��,此研究才能夠持續(xù)有所進(jìn)展。
來(lái)自工業(yè)制造知名企業(yè)�����,同時(shí)是破曉安全團(tuán)隊(duì)核心成員��、工控安全紅隊(duì)創(chuàng)始人的劍思庭����,帶來(lái)了關(guān)于工控安全滲透和防御的演講。作為一個(gè)十幾年的工控老兵�����,劍思庭指出��,工業(yè)互聯(lián)網(wǎng)打破了所有的信息孤島�����,曾經(jīng)封閉的工控系統(tǒng)����,如今就像倉(cāng)庫(kù)門全部打開(kāi)一樣暴露在外����,安全風(fēng)險(xiǎn)極高��。
破曉安全團(tuán)隊(duì)核心成員�����、工控安全紅隊(duì)創(chuàng)始人劍思庭
但是工業(yè)控制系統(tǒng)很復(fù)雜��,具備特殊的行業(yè)性�����,只懂安全技術(shù)不懂行業(yè)很難做好工控安全�。劍思庭以占據(jù)了中國(guó)50%份額的工業(yè)通信協(xié)議Modbus為例�,介紹了Modbus的脆弱性及應(yīng)對(duì)方法。
除了以上幾位演講嘉賓結(jié)合行業(yè)實(shí)踐的分享�����,漏洞攻防技術(shù)及案例分享也吸引了很多年輕的技術(shù)愛(ài)好者�����。
北京華為研究所的章張鍇博士介紹了ARM平臺(tái)上一個(gè)非常強(qiáng)大的Super Root技術(shù)�。與傳統(tǒng)的Root攻擊相比,Super Root技術(shù)有兩大優(yōu)勢(shì):一是更高的權(quán)限,二是極難被察覺(jué)�����,一旦攻擊發(fā)起�,用戶無(wú)法跳出攻擊者的設(shè)計(jì)。
張鍇博士的研究����,讓大家看到技術(shù)是把雙刃劍,越早對(duì)Super Root進(jìn)行研究�����,就越能夠與之對(duì)抗�。
騰訊安全玄武實(shí)驗(yàn)室的高級(jí)安全研究員劉科,同時(shí)是圈內(nèi)非常有名的白帽子����,他在現(xiàn)場(chǎng)分享了三個(gè)漏洞案例,包括Adobe Reader字符串漏洞�����,西博城天府杯使用的信息泄露漏洞�,以及今年10月最新修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞����。
通過(guò)對(duì)漏洞攻擊的詳細(xì)剖析�,劉科總結(jié)出三點(diǎn)經(jīng)驗(yàn)教訓(xùn):盡量在設(shè)計(jì)之初把問(wèn)題解決掉�;對(duì)遺留的不合理設(shè)計(jì)做修改;對(duì)安全人員進(jìn)行開(kāi)發(fā)意識(shí)培訓(xùn)��。
來(lái)自Citrix的高級(jí)安全工程師Samit Anwer����,曾經(jīng)揭露了谷歌云打印、IE��、Windows等系統(tǒng)的安全漏洞����。他在現(xiàn)場(chǎng)分享了OAuth的多種適用場(chǎng)景,以及面對(duì)攻擊的各種解決方案��。
產(chǎn)學(xué)研結(jié)合
不可忽視的新生力量
除了多個(gè)論壇與技術(shù)展示�����,此次Insec World大會(huì)還有一點(diǎn)與眾不同:在眾多的企業(yè)展位中��,出現(xiàn)了廣州大學(xué)、北京航天航空大學(xué)����、南開(kāi)大學(xué)等國(guó)內(nèi)知名高校的展示。
事實(shí)上��,Insec World大會(huì)特意增加了安全意識(shí)及安全人才培養(yǎng)的相關(guān)內(nèi)容�����。這是因?yàn)榫W(wǎng)絡(luò)安全行業(yè)蓄勢(shì)待發(fā)�,企業(yè)對(duì)網(wǎng)絡(luò)安全人才需求的規(guī)模已經(jīng)大幅增長(zhǎng),人才供應(yīng)愈來(lái)愈“緊俏”�。
據(jù)數(shù)據(jù)顯示,當(dāng)前網(wǎng)絡(luò)空間安全人才數(shù)量缺口高達(dá)70萬(wàn)����,預(yù)計(jì)到2020年將超過(guò)140萬(wàn)。如何培養(yǎng)和挖掘網(wǎng)絡(luò)安全人才����,成了許多頭部企業(yè)乃至行業(yè)的“必修課”。
因此��,大會(huì)分論壇擬定了關(guān)于網(wǎng)絡(luò)安全人才培養(yǎng)模式�、人才培養(yǎng)經(jīng)驗(yàn)分享����、人才流動(dòng)數(shù)據(jù)分析等內(nèi)容����,還重磅推出“蓉安系列計(jì)劃”�,邀請(qǐng)更多企業(yè)、單位和人群免費(fèi)參與到大會(huì)中��,進(jìn)一步了解信息安全的重要性和必要性�,增強(qiáng)信息安全意識(shí)。
此外�����,大會(huì)還安排了為期兩日的2門高階培訓(xùn)課程����,包括國(guó)內(nèi)領(lǐng)先的燈塔實(shí)驗(yàn)室的“工控安全課程”,國(guó)內(nèi)首創(chuàng)的“安全意識(shí)官培訓(xùn)(Security Awareness Officer)”�����,幫助參會(huì)者進(jìn)一步提升專業(yè)技能����。
這正是主辦方為服務(wù)與回應(yīng)產(chǎn)業(yè)需求��,發(fā)揮獨(dú)立第三方平臺(tái)對(duì)于信息安全能力建設(shè)的促進(jìn)作用�。
在成都市委網(wǎng)信辦����、成都市經(jīng)信局、科技局�����、博覽局�����、天府新區(qū)成都管委會(huì)�����、成都高新區(qū)管委會(huì)等的大力支持����,及中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟、成都市軟件行業(yè)協(xié)會(huì)�����、四川省大數(shù)據(jù)產(chǎn)業(yè)聯(lián)合會(huì)等行業(yè)協(xié)會(huì)的大力協(xié)助下,Insec World營(yíng)造出政產(chǎn)學(xué)研合作創(chuàng)新氛圍����,為成都信息安全發(fā)展寫(xiě)下濃墨重彩的一筆。
