2015阿里安全峰會

catalog

0. 會議相關 
1. 起航-遠望
2. 沈昌祥院士議題: 雲模式下等保體系建設
3. 安全的未來是態勢感知
4. 網路安全的北迴歸線
5. 網際網路+時代的移動安全實踐
6. 政企安全之雲化 
7. 制高點、雷區和火力支援-縱深防禦體系中的能力點思考
8. 其他議題
9. 參會感受

 

0. 會議相關

2015-07-09~10(持續兩天)
北京JW萬豪酒店
主題: 天下無賊

 

1. 起航-遠望

0x1: 演講者

阿里安全技術副總裁: 杜躍進

0x2: 技術背景

1. 新形勢的網際網路安全包括業務安全、生產安全、技術安全
2. 新形式下的機會: 利用不同的理念，打破行業格局，制定行業規則才是最重要的制高點
3. 網際網路+: 快速迭代 
4. 國際化

0x3: 議題中的關鍵技術 / 技術難點

挑戰/焦點

1. 業務/資料安全
    1) 生產穩定性
    2) 安全是依託於業務。要在維持業務穩定性下開展安全
    3) 資料必須一直大量使用，在網際網路+模式下，資料的邊界將變得不可控，例如google的去內網化
2. 雲/移動
    1) 在網際網路+下，一個網站、業務系統、APP可能就代表了一整個公司，雲業務系統的安全就是整個公司的安全
3. 國際/農村
    1) 產品在面對不同人群的時候，產品形態應該是不同的，在不同的法規、使用者使用習慣下，安全服務於業務的形式都是不一樣的 
4. 信用/大資料

安全還需要兼顧"體驗"，安全就像水、空氣一樣潤物細無聲，使用者的業務是透明接入的，無感知的，當發生安全威脅的時候，安全防禦體系會自動出現，幫使用者解決安全問題

0x4: 類似原理相關的技術

0x5: 攻防思考

 

2. 沈昌祥院士議題: 雲模式下等保體系建設

國家級的院士講的太理論化、高大上了，我並不能完全聽懂院士的議題，而且現場還出現了"啪啪啪"事件，氛圍挺不錯的
三重安全防護

1. 計算環境
2. 網路區域邊界
3. 網路通訊

3. 安全的未來是態勢感知

0x1: 演講者

阿里巴巴安全研究員: 吳翰清

0x2: 技術背景

1. 安全從業者最大的痛點在於，客戶花了錢，還被黑
2. FireEye、Mandian研究發現97%使用傳統網路安全產品的企業無法抵擋現今的網路攻擊

木桶原理: 黑客總是從意想不到的地方(0DAY)入侵，安全解決方案不能解決全部問題，黑客只要找到一個點就能入侵

1. 員工資訊保安
2. 資料洩漏
3. 社工
4. 釣魚欺騙
5. 第三方服務

安全市場分析，目前市場上對安全有需求的使用者群裡大致可以分為以下幾類

//以下2類是目前運市場上佔比較大的群體，主要以防入侵、資料防洩漏為剛性需求
1. 網際網路行業、創業者
2. 小站長、個人

//以下2類是傳統安全廠商重點關注的群體，主要以等保為剛性需求
3. 銀行、電力、央企
4. 地方政府

0x3: 議題中的關鍵技術 / 技術難點

態勢感知理論基礎: 提出一個問題，比解決一個問題重要，全面、快速、準確的感知過去、現在、未來的安全威脅

1. 安全產生的資料可能比正常業務還多
2. 讓資料線上
3. 連線不同的資料，從而創造新的價值

SIEM、SOC的失敗

1. 部署難
2. IT資訊維護難
3. 資料標準不統一
4. 計算能力弱
    1) 傳統安全裝置受限於單機效能，所以工作模式是: 過濾，即特徵庫匹配模式
    2) 因為儲存不下來

三大關鍵資料來源

1. 映象流量資料
2. 主機Agent資料
3. 情報資料

0x4: 類似原理相關的技術

0x5: 攻防思考

Relevant Link:

https://www.fireeye.com/index.html

 

4. 網路安全的北迴歸線

0x1: 演講者

啟明星辰首席戰略官: 潘柱廷

0x2: 技術背景

北向技術包括

1. 戰略
2. 架構
3. 諮詢智庫
4. 基礎方向
5. 人才
6. 效益經濟
7. 生態環境
8. 心智

0x3: 議題中的關鍵技術 / 技術難點

1. 北向給內向以指導作用，一個產品不能解決所有問題，但不能代表這個產品就沒有價值
2. 縱深防禦的本質就是，所有的產品都有可能失效，當一個產品可能失效，但並不能代表這個產品就沒有價值
3. 大資料實現的價值一定是在充分實現小資料的價值基礎上，才能發揮大資料的違例，安全對抗的本質是成本的資金的對抗，大資料對抗是需要成本的
4. 北向的極端是戰略

0x4: 類似原理相關的技術

0x5: 攻防思考

 

5. 網際網路+時代的移動安全實踐

0x1: 演講者

阿里移動安全首席架構師: 潘愛民

0x2: 技術背景

1. 無線訊號安全
    1) 各種無線訊號的保密和真偽
2. 無線鏈路安全
    1) 接入internet、ap接入
3. 端的安全
    1) 作業系統、root、系統0day漏洞、廠商、app應用漏洞

移動業務面臨的安全需求

1. 系統不安全，缺乏基本的可信執行環境
2. 應用分發渠道不可控，存在應用被冒用、篡改
3. 業務風險
    1) 帳號被盜、垃圾註冊、資訊洩漏
    2) 虛假交易、營銷作弊、信用炒作

0x3: 議題中的關鍵技術 / 技術難點

APP模式挑戰

1. 目前尚處於漏洞頻發階段
2. 漏洞修復的到達率取決於使用者升級意願和場景
3. APP版本長期處於新老版本混雜

阿里移動安全體系

1. 威脅感知
    1) root檢測，手機root破壞了作業系統原有的保護機制，容易引發針對app攻擊和業務風險
    2) 模擬器檢測，app執行在模擬器中，容易受到逆向破解，抓分分析網路協議
2. app加固
    1) 針對app安裝包進行加固，無需修改原始碼或者二次開發
3. app風險掃描
    1) 應用漏洞掃描
    2) 惡意程式碼檢測，對APK進行可疑程式碼段靜態檢測，惡意行為動態分析，特診及黑名單匹配，查詢隱藏在程式碼中

針對移動漏洞的方案

1. 流層保障: 安全測試、漏洞響應規範
2. 技術與架構
    1) 核心邏輯提供熱補丁的能力: 適用於基礎模組
    2) 模組級的升級/隔離方案: 特別是第三方模組
    3) 服務端的邏輯控制: 適合於業務邏輯模組
    4) 接入層控制: 適合於介面層/通訊層的邏輯

0x4: 類似原理相關的技術

0x5: 攻防思考

 

6. 政企安全之雲化

0x1: 演講者

安恆資訊科技有限公司總裁: 範淵

0x2: 技術背景

1. 業務安全/應用安全依然是安全威脅的主要源頭
2. 內部安全威脅趨勢未減
    1) 各單位管理員
    2) 第三方代維人員
3. 政務通訊安全

政企安全之大資料

1. 傳統政企內網中的大量資料獨立存放、獨立分析
2. 資料線上儲存最多為1~3個月
3. 難於深入挖掘和深入分析
4. 個資料之間無法聯動
5. 各類安全資料需要集中儲存、關聯分析，形成安全分析綜合平臺

0x3: 議題中的關鍵技術 / 技術難點

資料庫審計

1. 全面審計、分析資料庫操作行為
//最重要、最關心的是: 變化，即通過一段時間的學習之後，而因為攻擊/入侵產生的突變

政企內網等保安全建設落地

1. 技術安全建設
    1) 物理安全
    2) 網路安全
    3) 主機安全
    4) 應用安全
    5) 資料安全
2. 安全管理建設
    1) 安全管理制度
    2) 安全管理機構
    3) 人員安全管理
    4) 系統建設管理
    5) 系統運維管理
3. 指導建設
    1) 安全設計
//等級保護是做虛還是做實，在進行安全建設的時候要明白合規等保需要實現的價值

0x4: 類似原理相關的技術

0x5: 攻防思考

 

7. 制高點、雷區和火力支援-縱深防禦體系中的能力點思考

0x1: 演講者

安天首席架構師: (肖新光)江海客

0x2: 技術背景

海客在議題中重點講到了沙箱技術，沙箱技術是一種很古老的安全對抗技術，雖然現在Sandbox被廣泛運用在了高階威脅APT的防禦中，但我們也要看到，以郵件、chm、PDF為代表的APT攻擊，因為本身受限於攻擊載體自身的限制，導致惡意程式碼不得不通過"文字轉換為程式碼"這個過程實現攻擊環境的初始化，而這個過程很容易遭到Sandbox的劫持，對Sandbox這種技術，我們需要理性看待，如果放在純粹的二進位制級別的Sandbox、Anti-Sandbox對抗中，沙箱技術是很難佔上風的，因為這是在進行原始碼對原始碼的對抗

1. 一種必須部署的基本能力
2. 一種能夠殺傷普通對手的能力
3. 一種高階攻擊者必須繞過的能力
4. 傳統的AV等基礎檢測能力才是"制高點"
5. 不要神話制高點
//制高點並不是說比基礎防禦就有效，而僅僅只是防禦體系中必須的一個環節

沙箱:反思

1. 沙箱的核心優勢是針對攻擊中的資料->指令轉換的弱點
2. 在複合鑑定器中，絕大多數檢查率是靜態機制貢獻的，FireEye的檢測引擎中也整合了開源AV檢測系統ClamAV
3. 沙箱針對對PE對抗沒有必然的優勢，FireEye使用沙箱對抗的效果是因為在以PDF為代表的攻擊路徑中，受限於文字空間有限，而不得以藉助於文字向程式碼轉換

0x3: 議題中的關鍵技術 / 技術難點

1. 安全性與保密性的平衡
2. 使用者端和雲端檢測能力的平衡，在客戶端也需要有一定的檢測能力

沙箱沒法解決的問題

1. 完整性
2. 有效性
3. 準確性
4. 資訊淹沒

在安全攻防產品中，安全防禦者還會面臨的一個大問題是，即可探測性

1. 產品的能力是提供給使用者的，但也是暴力在攻擊者面前的，黑客者可以利用類似於SQL隱碼攻擊中的盲注技術思想，對安全產品的能力進行推理探測，從而逐步畫出目前產品的防禦能力譜線，針對性的制定Bypass措施，這也是免殺攻防對抗激烈的根本原因
2. 產品能力來自於更大的支撐縱深
//反饋是一種微秒的東西，它有可能導致黑客成功嘗試獲取目標產品的能力範圍

0x4: 類似原理相關的技術

0x5: 攻防思考

Relevant Link: 

http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162
http://www.cnblogs.com/LittleHann/p/4460954.html
http://www.programlife.net/sandbox-detecting-tricks.html

 

8. 其他議題

電子商務業務與安全 趨勢、挑戰與應對: 郭睿
脫繭: 騰訊安全平臺部負責人 楊勇 coolc
網路空間的信任模型-現狀與挑戰之--DNS信任體系: 段海新

 

9. 參會感受

總體來說，不論是甲方、乙方、還是融合了甲乙方特性的網際網路公司安全部門，業內都基本形成了幾個共識

1. 安全是一個縱深防禦體系，在體系化結構下，沒有哪個產品比哪個產品高階、先進，就像塔防遊戲一樣，只有在正確的位置/場景部署最合適的攻防產品，讓產品的能力發揮最大的極限，才能真正解決安全問題
2. 安全是一個持續對抗，迭代升級的過程，傳統的三大件(防火牆、IDS、IPS(Intrusion Prevention System))並不是說一定會淘汰，而是需要根據新形式下的攻防作出改進
3. 市場對安全最大的訴求在於"感知入侵、防入侵、反入侵"，要實現這個目的，需要有以下幾個體系和人才的搭建
    1) 態勢/威脅感知
    需要有傳統的Agent產品完成基礎資料的收集，以及依託雲端計算平臺進行交叉關聯的運算，實現情報->威脅的產出
    2) 安全漏洞(尤其是0DAY CVE)的原理性研究團隊，在當前，WEB/系統/基礎軟體庫的0DAY漏洞爆發，依然是導致使用者資本被入侵的主要原因，當然這裡並不包括APT攻擊，但誠如海客說的，APT的防禦一定是搭建在基礎/常見漏洞已經極大程度、甚至完全消失之後的基礎之上的，APT的防禦相當於最後一張極細的過濾網
    3) 漏洞修復/Hotfix
    當漏洞出現的時候，不管是雲廠商，還是傳統甲方廠商，在儘可能的情況下，都需要幫助使用者完成漏洞的修復，例如原始碼修復重編譯、配置項的動態修改、核心打補丁，而漏洞修復是建立在完成了漏洞細節的研究的基礎之上的
4. 安全產品雖然不是安全攻防的唯一形態，但是卻是一個很好、很有效的形態，依託於安全產品，可以實現安全研究、漏洞修復、SDL的伺服器輸出
5. 系統層的安全加固、檢測能夠對使用者的機器起到"安全基線"的作用，相當於一個簡單、原始的"等保措施"

 

Copyright (c) 2015 Little5ann All rights reserved