捍衛信任共探未來,2019京麒國際安全峰會精華回顧

  • A+
所屬分類:娛樂
摘 要

當前環境下,現代企業面臨的威脅數量現在比以往更多、更複雜,傳統的內部安全邊界取決於防火牆、VPN來隔離,但隨著員工用自己的電腦、手機工作,再加上雲計算,整個網路邊界越來越模糊。一旦「可信」網路中的某個主機被攻陷,那麼攻擊者很快就能以此為跳板完成入侵。

當前環境下,現代企業面臨的威脅數量現在比以往更多、更複雜,傳統的內部安全邊界取決於防火牆、VPN來隔離,但隨著員工用自己的電腦、手機工作,再加上雲計算,整個網路邊界越來越模糊。一旦「可信」網路中的某個主機被攻陷,那麼攻擊者很快就能以此為跳板完成入侵。

網路安全的信任邊界到底在哪里?我們又應該如何捍衛信任呢?

2019京麒國際安全峰會,以「捍衛信任」為核心主題,來自國內外的知名安全專家和企業安全高管,聚焦互聯網企業安全體系建設,討論了產業互聯網背景下的新技術、新風險、新生態與人才培養等內容,分享安全智慧,傳遞極客精神。京東集團副總裁李德浩在會上指出,安全問題的本質根源於基礎設施的安全性,未來安全基礎設施將具備身份驅動、強大的信任鏈、去中心化、虛擬化隔離等特點。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任:下一代互聯網安全基礎設施的演進

在互聯網的高速變革中,人工智能、5G、IoT等新興技術深刻改變互聯網,產業互聯網面臨基礎設施重構:數據無處不在,計算無處不在,用戶無處不在。對此李德浩提出了智能城市、智能識別用戶、智能社區等系列概念,其中包括零信任區塊鏈隱私多方計算等新技術與新思路。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

前面提到的傳統信任邊界的弱點,歸根到底都是對「可信」設備與網路環境的「過度信任」造成的。這種「過度信任」體現在以下兩個方面:

1、模型假設所有的可信設備的可信度都是相同的,即所有設備無論功能和狀態,只要認為是可信的,就都是「完全信任」其安全性。

2、模型假設對所有可信設備的信任是永久的,全時段的。

顯然這種「過度信任」是非常危險的,是一種對信任的濫用。李德浩剛才提到的「零信任」模型提出:在考慮敏感信息時,默認情況下不應該信任網路中的任何設備和區域,而是應該通過基於認證和授權重構訪問控制的信任體系,對訪問進行「信任授權」。盲目信任並不可取,「零信任」模型的授權和信任是動態的,即「信任授權」應當基於訪問實時地進行評估與變換,也許,這才是真正的捍衛信任。

據悉,京東旗下擁有超過1.5億台智能設備正在互聯網中運行使用,這是個驚人的數字,但是顯然隨著未來智慧城市的快速發展,這個數字只會呈指數級增長。下一代互聯網安全基礎設施將怎樣演進,讓我們拭目以待。

數字化轉型之路:構建健全的網路安全治理機制

安聯集團CISO Carsten Scholz以自身數十年的工作經驗,闡述了安聯集團是如何與服務提供商建立強大的網路安全治理機制,以支持服務的數字化轉型。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

截至今日,GDPR已實施一年有餘,數據保護相關的案例與公開事件數量攀升。同時,全球多個國家或地區也以GDPR為參考,制定或補充了不同的數據保護細則。全球隱私數據保護領域迎來了較大發展。Carsten Scholz為我們介紹了安聯集團如何在商業轉型中建立安全治理機制,以符合日益嚴峻的監管需求。隨著國內安全相關法律法規逐漸出台完善,Carsten Scholz的經驗之談對我們也有較強的參考意義。

企業安全趨勢探討

各種新技術在新的業務場景下的應用層出不窮,國內外針對信息安全各個方向的立法和監管都在緊鑼密鼓的開展。滴滴信息安全負責人藺毅翀結合自身的安全實踐,在企業安全體系建設、支持全球化業務以及技術建設等方面,與大家探討了企業安全的建設趨勢。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

藺毅翀提出,過去的「舊實踐」著眼漏洞、追求防禦、方法單一、方案單點、生態封閉。而目前面臨的「新趨勢」著眼於業務、追求精準感知和響應、相信基於情報共享的生態系統防護,而安全對抗的螺旋軌道處於業務在變、技術在變、攻擊方式在變、法律法規在加強,公眾對於安全的感知正在變化的過程中。

另外,他還提出了企業建設安全團隊處在不同時期的特點:

建設期:從無到有的獨立團隊,往往以事件驅動。

經營期:著重於解決問題,持續主動地發現並解決問題,通過產品技術的方式提高效率、減少盲點、風險驅動、提前預估。

感知期:增強並關注用戶信任,著重點在於隱私和數據安全建設。

藺毅翀補充到,滴滴時至今日依然面臨著安全建設挑戰,要以多元化的出行業務為主,具備線上和線下的形式,同時關注國際業務、金融等業務的特殊性。

Panel對話:新技術的安全變革與挑戰

由TK教主主持,滴滴信息安全負責人藺毅翀、京東集團副總裁/信息安全部負責人李德浩、百度安全總經理馬傑、GeekPwn活動發起人和創辦人/碁震kEEN創始人兼CEO王琦、京東集團副總裁/京東雲基礎研發部負責人符慶明為嘉賓。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

他們分別為我們帶來了在雲、AI 、IoT、安全服務及人才培養的眾多新穎觀點。

構建安全可信的一體化供應鏈平台

京東的核心優勢有哪些?女主持人不假思索地回答道:快啊。京東物流為什麼快,離不開強大的供應鏈體系。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

供應鏈業務因為合作方之間業務協作非常緊密,數據依賴度高,相關安全問題備受關注。京東物流研發架構部負責人者文明介紹稱,京東物流在持續多年的實踐中,構建了一套基於供應鏈業務的安全體系,涵蓋商業機密識別與管控、隱私保護、交易認證、審計體系、監控預警體系等,在此基礎上將AI技術用於安全管理,將區塊鏈技術用於交易認證,從而提升整個供應鏈平台的安全水平與防護能力。

此外,者文明還提到,京東物流部門與信息安全部門也在積極推進SDL的實施與落地、京東物流的數據安全建設經驗等。

Monocerus:區塊鏈智能合約動態分析工具

通過引入在區塊鏈上存儲和執行程序的概念,智能合約對於金融科技革命變得至關重要。不幸的是,就像其他代碼一樣,智能合約也可能存在漏洞,且可能會直接造成負面的經濟影響。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

如何挖掘智能合約中的漏洞呢?據悉,現有的工具集依賴於符號執行或靜態分析技術。由於缺乏區塊鏈平台的支持,傳統的動態分析類型的工具較為缺失。

來自新加坡南洋理工大學教授Nguyen Anh Quynh為我們介紹了一款名為Monocerus,對以太坊智能合約進行動態分析的輕量級多平台框架。Monocerus提供了一些重要功能,旨在為以太坊區塊鏈的動態分析奠定基礎。Nguyen Anh Quynh為我們展示了該框架中的一些新的工具集,包括字節調試器、代碼跟蹤器、分析器、高級模糊器等。

移動生態安全探索與實踐

隨著移動互聯網生態化發展的趨勢,傳統移動安全也逐漸靠近生態化安全。在對廠商系統生態安全研究的過程中,不難發現手機廠商也在生態化、組件化的開發體系中,存在一些通用的安全風險。利用這些風險形成的遠程攻擊給移動生態體系帶來極大的威脅,同時在IoT生態安全中同樣存在類似的安全隱患。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

來自騰訊安全移動安全實驗室的高級研究員韓紫東,為我們重點介紹了移動生態體系化背後帶來的生態安全相關問題以及解決方案。

麒麟框架1.0:不是虛擬機的虛擬機

二進制分析對逆向工具的要求非常高,既依賴高等級的工具也需要支持更廣的多體架構,這恰好限制了高端自動化逆向分析,因為硬件資源要求苛刻(例如IoT的分析)以及惡意軟件暴露的風險。

京東牧者安全實驗室負責人Kaijern Lau介紹到,麒麟框架是一款基於Python的沙盒框架。眾所周知,Python是逆向工程師最常用(輕量級且容易理解)的編程語言之一,這極大地降低了二次開發的門檻。應用仿真技術,麒麟框架是一個跨平台、支持多體系結構的分析框架。這做到在Linux上二進制仿真分析Windows惡意軟件,在MIPS或MacOS環境模擬IoT固件執行二進制程序等。

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

Kaijern Lau在演講中提到了麒麟框架研究項目與開發難題。例如虛擬化系統層的系統調用、系統加載器、系統鏈接器、麒麟框架如何跨平台支持多二進制文檔(PE、Mach-O及ELF等)及如何應用麒麟框架二次研發分析工具。此外,Kaijern Lau也在現場給大家做了一些具體演示,在二進制執行之前或執行期間進行代碼攔截和任意代碼注入等。

其他精彩論壇

除了主會場(安全領袖峰會及安全技術峰會)的精彩議題以外,2019京麒國際安全峰會還舉辦了Red Team終極訓練營、OWASP企業安全建設與經營論壇、2019京麒白帽盛典、互聯網安全城市巡回賽北京站、Geek Village以及由多家SRC組隊參加的王者榮耀挑戰賽等活動。

據悉,王者挑戰賽現場尖叫聲此起彼伏,氣氛十分之好。本著友誼第一比賽第二的原則,具體勝負情況就不一一道來了,大家欣賞一下現場的激烈戰況即可……

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

精彩推薦

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

捍衛信任共探未來,2019京麒國際安全峰會精華回顧

發表評論

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: