11月27日,CIS 2019网络安全创新大会在上海隆重开幕,也正式完成了从FIT到CIS的完美进化。今年的CIS 2019火热依旧,虽然魔都已经入冬,但你如果在现场,一定会被这样浓烈的氛围感染。在今天的X-Tech技术派对上,看雪学院收到一份来自CIS的神秘礼物。本环节由无糖信息CEO张瑞冬担任主持人,他也是本分论坛的出品人之一。在精彩的开场白过后,他向来宾展示了台上的一份神秘礼物,大家一头雾水,有人猜想是个蛋糕,等到观众上台揭开黑布,一个插着“20”蜡烛的生日蛋糕映入眼帘,上面写着“看雪20年,看见未知,看见你我”,原来这竟然是主办方为看雪学院成立20周年准备的一份生日惊喜!看雪学院创始人段钢先生坐在台下很惊喜,随后作为出品人之一上台发言:段老师:
收到这个生日礼物,非常的惊喜!感谢尤文和冰洋的活动策划!感谢CIS,FreeBuff大会组办方!感谢斗象科技CEO谢忱,无糖信息CEO张瑞冬出品人对看雪20周年的祝福!
看雪从2000年创立至今,今年刚好20周年,一路走来,一直得到大家支持和关心!
看雪是一个侧重于二进制安全研究的社区,二进制需要一定的开发技术,因为当前安全技术日益发展,发现它的变化特别快,往往需要一个安全技术人员,不光某一项单项目的技术,同时也要关注更多的安全技术。
比如我们现在的一个白帽子做渗透测试来说,之前几年掌握一个Web渗透技术就能测试一个项目,现在越来越多的厂商把网站往移动客户端上进行转移,对移动客户端的安全测试需求也逐渐体现出来。这需要白帽子不仅仅需要渗透能力,也需要有移动客户端逆向分析的能力。
这时候第一步对移动客户端进行脱壳,需要你有一定的脱壳能力。
第二,现在移动客户端大多采用了SSL证书绑定技术,因此需要通过HOOK技术手段绕过该技术才能继续测试。
第三需要移动客户端对数据包进行加解密,这时候需要测试人员逆向分析这个算法。早期的移动客户端还比较简单,把算法放在APK里,现在的移动客户端做法很变态了,将加解密算法放在.SO文件里,并且用虚拟化和混淆等技术处理,往往需要测试人员有一到三年的功底才能把算法还原出来。
最后一步伪造移动客户端签名,才能构造一个完整的测试分包,从而对WEB接口进行渗透测试。
这要求一个安全技术人员掌握的知识越来越全面。也说明一个项目靠单一个人、单一技术是不可能解决的,需要团队协作。比如你至少需要一个逆向分析人员在移动客户端这一层进行逆向分析,构造好算法,此外也需要白帽子进行Web渗透测试的配合。
现在物联网不断发展,包括我们接触到的很多智能设备的安全测试更是综合性的。包括硬件的支持、固件的提取、协议的分析和Web的渗透等等。
从这个方面讲,安全领域是一个从点到面、全方面的发展。
安全跟开发是密不可分的,一个好的开发人员必须要懂安全技术才能设计出更好的安全产品,同时一个安全人员掌握了一定的开发技术,也有利于自我提升,不然技能提升会遇到瓶颈。
今天上午会议的几个议题涉及到这些点,我相信大家在这个学习过程中会有所启发的,谢谢大家!
![]()
本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办,除了规模进一步增大之外,在形式及主题上都有大量细节创新,从踏入入场大门的那一刻起,你就会不自觉放慢脚步尽情漫游在这个精心打造的网络安全世界。接下来就让我们一起对CIS 2019主论坛的精彩瞬间进行回顾吧!CIS 2019吸引了全球的精英学者、行业专家、技术专家、前沿厂商、顶级白帽共聚一堂,共探网络安全。中共上海市委网络安全和信息化委员会办公室总工程师杨海军,中国互联网发展基金会理事长马利,国家信息技术安全研究中心党委书记万仁忠相继登台阐述了自己对网络安全世界现状、技术发展趋势的理解和愿景,正如杨海军所言:“一花独放不是春,百花齐放春满园”,一语道出网络安全行业健康发展的要诀。在开幕致辞中,斗象科技CEO、FreeBuf联合创始人谢忱表示,网络安全本质就是一个非常追随时代变化,非常追随技术最新浪潮的很特别的一个领域,我们必须要与时俱进,追随技术,追随创新,创新驱动,才能让我们的产业变得更好。在他看来,CIS有望成为全球最棒的安全峰会,成为属于安全从业者的年度盛会。CIS 2019聚焦网络安全全生态内容,由浅入深,视角从大到小,试图诠释这一整年内网络安全的变化及未来发展。首个话题聚焦到网络空间安全战略,感受来自微软、F5及平安集团行业巨头企业的精彩分享。微软(中国)首席技术官卫青的演讲中,有一句话很实在:安全是一种工具,安全并不是本身的目的。你得先知道你那个场景产生了什么变化,才能相应的产生出新的安全技术来应和场景的变化。![]()
来自平安集团的陈建分享了关于新技术在企业安全实践中的思考,在企业安全建设中,新技术的应用一般是为了解决新的问题或者原有的问题,与此同时可能也产生了新的问题和风险,利用中台的方式推进新技术在安全上的应用可以更加高效。F5亚太区方案架构总监Mohamed Tanana分别阐述了安全性方面遇到的挑战、私有云和公有云问题以及企业安全内部对于云安全的要求。一般来说,企业实现数字化转型可以获得较高的投资回报比。不论是政策驱动还是安全形势的要求,越来越多的企业开始重视企业安全建设,这也对企业安全管理者提出了更高的要求。直接照搬其他企业的安全建设经验不能解燃眉之急,最理想的是根据企业资产、成本等条件选择最合适的解决方案,创新精神必不可少。Fortinet中国技术总监张略基于Fortinet的实践经验,分享了以云为基础怎样实现自动化,如何合理应用自动化的技术。Fortinet认为所有的自动化跟云原生的集成密不可分。正如之前Mohamed Tanana在演讲中提到的,跨国企业可能会遇到异域文化和政策的挑战。德勤网络和数字风险业务首席战略官Puneet KUKREJA在自己的分享中就阐述了跨国企业在网络安全法律方面所面临的挑战,并给出了可供实际参考的建议。NGINX是目前全球跟全中国最大的Web服务开源厂商,它大概有4亿个网站的Web服务都采用了它的服务。而目前F5已经收购了NGINX,但某著名开源Web服务器软件大中华区技术总监吴静涛确切表明:NGINX依然会保持开源这条路走下去。随着《网络安全法》的出台,还有法律法规不断陆续落地,在大数据、AI等新技术的支持下,企业安全在未来也进入一个合规保护的新阶段。在这个背景下,如何实现网络安全管理和网络安全技术的有效结合,同时提升企业网络安全工作的效能,打造以安全合规为企业信息安全防护体系框架,成为了多数企业不断探索的问题。腾讯安全平台部总监胡珀主要从蓝军的角度去做分享,在他看来,红蓝对抗是渗透测试的升级版,渗透测试是一个比较老的概念,就是模拟黑客进行攻击,发现问题。红蓝对抗包含了渗透测试,同时检验防御体系,红蓝对抗是检验整个防御体系的有效性。斗象科技北京技术总监孙维伯认为,渗透测试和攻防演练有一个非常大的区别,渗透测试解决黑客从哪里进来的问题,而攻防演练带来的更多的是对整个安全体系的连接检验。当你左右互搏分析更多的安全演练,分析安全点,这是真正的攻防演练带给你的受益。在长期的与黑客和黑产等对抗中,阿里云积累了非常多的经验,检测、防御、应急响应等。随着安全对抗的升级,需要引入一些新的技术手段或者思维方式来提升安全对抗水平。阿里云智能高级安全工程师郭伟博基于这些实践经验,在本次大会上作了详细分享。在万众期待的Hack Demo环节,这次一一个特别的小剧场形式展开,嘉宾意外被困小黑屋,被白帽子迅速破戒掉智能门锁成功解救。在成功获救之后,现场面对面探讨了智能门锁的安全性问题,想必这也是大多数人会关注的点。跟智能门锁相关的漏洞挺多的,因为智能门锁里面用到大量的WiFi、NB等等模块都可能存在通讯漏洞。刘继顺提醒称,如果漏洞一旦被一些不法分子发现,或者是进一步的利用,就会引起非常严重的后果。所以我们要充分的重视这些信息安全问题。他还透露智能门锁网络安全的重点标准已经在制定中,这将大大规范智能门锁行业安全发展,降低用户使用风险。相比之下,舒首衡在对待智能门锁的问题上似乎更加乐观,他建议大家用智能门锁,因为太方便了。而且现在的智能门锁做得很美观、漂亮,家门口的入口,作为门面特别有档次。第二,智能门锁的安全问题既给我们带来了挑战,同时也是安全从业者的一个机会。因为做安全的,有必要做到天下无贼,让门锁安全。作为每年网络安全创新大会的重磅项目,WIT 2019依然在继续,评选旨在以最专业的角度和最公正的态度,发掘优秀行业案例,树立年度标杆。本届WIT 2019获奖详情如下:年度优秀网络安全解决方案——京东云云端数据全生命周期安全解决方案年度最佳开源项目——陌陌安全 Aswan风控静态规则引擎
CIS 2019网络安全创新大会(2019 Cyber SecurityInnovation Summit,简称CIS)是原「FIT互联网安全创新大会」的全面升级,由国内领先的网络安全新媒体FreeBuf、赛博研究院、上海市信息安全行业协会联合主办。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458301448&idx=1&sn=301c70951f4bb173c4b66085b3e1aa8c&chksm=b181848286f60d945077d10a6f3412b08513c7145f5018e3a56d2383fa71b7a8a7ab04b59696#rd
如有侵权请联系:admin#unsafe.sh