2015阿里安全峰会

catalog

0. 会议相关 
1. 起航-远望
2. 沈昌祥院士议题: 云模式下等保体系建设
3. 安全的未来是态势感知
4. 网络安全的北回归线
5. 互联网+时代的移动安全实践
6. 政企安全之云化 
7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考
8. 其他议题
9. 参会感受

0. 会议相关

2015-07-09~10(持续两天)
北京JW万豪酒店
主题: 天下无贼

1. 起航-远望

0x1: 演讲者

阿里安全技术副总裁: 杜跃进

0x2: 技术背景

1. 新形势的互联网安全包括业务安全、生产安全、技术安全
2. 新形式下的机会: 利用不同的理念，打破行业格局，制定行业规则才是最重要的制高点
3. 互联网+: 快速迭代 
4. 国际化

0x3: 议题中的关键技术 / 技术难点

挑战/焦点

1. 业务/数据安全
    1) 生产稳定性
    2) 安全是依托于业务。要在维持业务稳定性下开展安全
    3) 数据必须一直大量使用，在互联网+模式下，数据的边界将变得不可控，例如google的去内网化
2. 云/移动
    1) 在互联网+下，一个网站、业务系统、APP可能就代表了一整个公司，云业务系统的安全就是整个公司的安全
3. 国际/农村
    1) 产品在面对不同人群的时候，产品形态应该是不同的，在不同的法规、用户使用习惯下，安全服务于业务的形式都是不一样的 
4. 信用/大数据

安全还需要兼顾"体验"，安全就像水、空气一样润物细无声，用户的业务是透明接入的，无感知的，当发生安全威胁的时候，安全防御体系会自动出现，帮用户解决安全问题

0x4: 类似原理相关的技术

0x5: 攻防思考

2. 沈昌祥院士议题: 云模式下等保体系建设

国家级的院士讲的太理论化、高大上了，我并不能完全听懂院士的议题，而且现场还出现了"啪啪啪"事件，氛围挺不错的
三重安全防护

1. 计算环境
2. 网络区域边界
3. 网络通信

3. 安全的未来是态势感知

0x1: 演讲者

阿里巴巴安全研究员: 吴翰清

0x2: 技术背景

1. 安全从业者最大的痛点在于，客户花了钱，还被黑
2. FireEye、Mandian研究发现97%使用传统网络安全产品的企业无法抵挡现今的网络攻击

木桶原理: 黑客总是从意想不到的地方(0DAY)入侵，安全解决方案不能解决全部问题，黑客只要找到一个点就能入侵

1. 员工信息安全
2. 资料泄漏
3. 社工
4. 钓鱼欺骗
5. 第三方服务

安全市场分析，目前市场上对安全有需求的用户群里大致可以分为以下几类

//以下2类是目前运市场上占比较大的群体，主要以防入侵、数据防泄漏为刚性需求
1. 互联网行业、创业者
2. 小站长、个人

//以下2类是传统安全厂商重点关注的群体，主要以等保为刚性需求
3. 银行、电力、央企
4. 地方政府

0x3: 议题中的关键技术 / 技术难点

态势感知理论基础: 提出一个问题，比解决一个问题重要，全面、快速、准确的感知过去、现在、未来的安全威胁

1. 安全产生的数据可能比正常业务还多
2. 让数据在线
3. 连接不同的数据，从而创造新的价值

SIEM、SOC的失败

1. 部署难
2. IT信息维护难
3. 数据标准不统一
4. 计算能力弱
    1) 传统安全设备受限于单机性能，所以工作模式是: 过滤，即特征库匹配模式
    2) 因为存储不下来

三大关键数据源

1. 镜像流量数据
2. 主机Agent数据
3. 情报数据

0x4: 类似原理相关的技术

0x5: 攻防思考

Relevant Link:

https://www.fireeye.com/index.html

4. 网络安全的北回归线

0x1: 演讲者

启明星辰首席战略官: 潘柱廷

0x2: 技术背景

北向技术包括

1. 战略
2. 架构
3. 咨询智库
4. 基础方向
5. 人才
6. 效益经济
7. 生态环境
8. 心智

0x3: 议题中的关键技术 / 技术难点

1. 北向给内向以指导作用，一个产品不能解决所有问题，但不能代表这个产品就没有价值
2. 纵深防御的本质就是，所有的产品都有可能失效，当一个产品可能失效，但并不能代表这个产品就没有价值
3. 大数据实现的价值一定是在充分实现小数据的价值基础上，才能发挥大数据的违例，安全对抗的本质是成本的资金的对抗，大数据对抗是需要成本的
4. 北向的极端是战略

0x4: 类似原理相关的技术

0x5: 攻防思考

5. 互联网+时代的移动安全实践

0x1: 演讲者

阿里移动安全首席架构师: 潘爱民

0x2: 技术背景

1. 无线信号安全
    1) 各种无线信号的保密和真伪
2. 无线链路安全
    1) 接入internet、ap接入
3. 端的安全
    1) 操作系统、root、系统0day漏洞、厂商、app应用漏洞

移动业务面临的安全需求

1. 系统不安全，缺乏基本的可信执行环境
2. 应用分发渠道不可控，存在应用被冒用、篡改
3. 业务风险
    1) 帐号被盗、垃圾注册、信息泄漏
    2) 虚假交易、营销作弊、信用炒作

0x3: 议题中的关键技术 / 技术难点

APP模式挑战

1. 目前尚处于漏洞频发阶段
2. 漏洞修复的到达率取决于用户升级意愿和场景
3. APP版本长期处于新老版本混杂

阿里移动安全体系

1. 威胁感知
    1) root检测，手机root破坏了操作系统原有的保护机制，容易引发针对app攻击和业务风险
    2) 模拟器检测，app运行在模拟器中，容易受到逆向破解，抓分分析网络协议
2. app加固
    1) 针对app安装包进行加固，无需修改源代码或者二次开发
3. app风险扫描
    1) 应用漏洞扫描
    2) 恶意代码检测，对APK进行可疑代码段静态检测，恶意行为动态分析，特诊及黑名单匹配，查找隐藏在代码中

针对移动漏洞的方案

1. 流层保障: 安全测试、漏洞响应规范
2. 技术与架构
    1) 核心逻辑提供热补丁的能力: 适用于基础模块
    2) 模块级的升级/隔离方案: 特别是第三方模块
    3) 服务端的逻辑控制: 适合于业务逻辑模块
    4) 接入层控制: 适合于接口层/通讯层的逻辑

0x4: 类似原理相关的技术

0x5: 攻防思考

6. 政企安全之云化

0x1: 演讲者

安恒信息技术有限公司总裁: 范渊

0x2: 技术背景

1. 业务安全/应用安全依然是安全威胁的主要源头
2. 内部安全威胁趋势未减
    1) 各单位管理员
    2) 第三方代维人员
3. 政务通信安全

政企安全之大数据

1. 传统政企内网中的大量数据独立存放、独立分析
2. 数据在线存储最多为1~3个月
3. 难于深入挖掘和深入分析
4. 个数据之间无法联动
5. 各类安全数据需要集中存储、关联分析，形成安全分析综合平台

0x3: 议题中的关键技术 / 技术难点

数据库审计

1. 全面审计、分析数据库操作行为
//最重要、最关心的是: 变化，即通过一段时间的学习之后，而因为攻击/入侵产生的突变

政企内网等保安全建设落地

1. 技术安全建设
    1) 物理安全
    2) 网络安全
    3) 主机安全
    4) 应用安全
    5) 数据安全
2. 安全管理建设
    1) 安全管理制度
    2) 安全管理机构
    3) 人员安全管理
    4) 系统建设管理
    5) 系统运维管理
3. 指导建设
    1) 安全设计
//等级保护是做虚还是做实，在进行安全建设的时候要明白合规等保需要实现的价值

0x4: 类似原理相关的技术

0x5: 攻防思考

7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考

0x1: 演讲者

安天首席架构师: (肖新光)江海客

0x2: 技术背景

海客在议题中重点讲到了沙箱技术，沙箱技术是一种很古老的安全对抗技术，虽然现在Sandbox被广泛运用在了高级威胁APT的防御中，但我们也要看到，以邮件、chm、PDF为代表的APT攻击，因为本身受限于攻击载体自身的限制，导致恶意代码不得不通过"文本转换为代码"这个过程实现攻击环境的初始化，而这个过程很容易遭到Sandbox的劫持，对Sandbox这种技术，我们需要理性看待，如果放在纯粹的二进制级别的Sandbox、Anti-Sandbox对抗中，沙箱技术是很难占上风的，因为这是在进行源码对源码的对抗

1. 一种必须部署的基本能力
2. 一种能够杀伤普通对手的能力
3. 一种高级攻击者必须绕过的能力
4. 传统的AV等基础检测能力才是"制高点"
5. 不要神话制高点
//制高点并不是说比基础防御就有效，而仅仅只是防御体系中必须的一个环节

沙箱:反思

1. 沙箱的核心优势是针对攻击中的数据->指令转换的弱点
2. 在复合鉴定器中，绝大多数检查率是静态机制贡献的，FireEye的检测引擎中也集成了开源AV检测系统ClamAV
3. 沙箱针对对PE对抗没有必然的优势，FireEye使用沙箱对抗的效果是因为在以PDF为代表的攻击路径中，受限于文本空间有限，而不得以借助于文本向代码转换

0x3: 议题中的关键技术 / 技术难点

1. 安全性与保密性的平衡
2. 用户端和云端检测能力的平衡，在客户端也需要有一定的检测能力

沙箱没法解决的问题

1. 完整性
2. 有效性
3. 准确性
4. 信息淹没

在安全攻防产品中，安全防御者还会面临的一个大问题是，即可探测性

1. 产品的能力是提供给用户的，但也是暴力在攻击者面前的，黑客者可以利用类似于SQL注入中的盲注技术思想，对安全产品的能力进行推理探测，从而逐步画出目前产品的防御能力谱线，针对性的制定Bypass措施，这也是免杀攻防对抗激烈的根本原因
2. 产品能力来自于更大的支撑纵深
//反馈是一种微秒的东西，它有可能导致黑客成功尝试获取目标产品的能力范围

0x4: 类似原理相关的技术

0x5: 攻防思考

Relevant Link: 

http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162
http://www.cnblogs.com/LittleHann/p/4460954.html
http://www.programlife.net/sandbox-detecting-tricks.html

 

8. 其他议题

电子商务业务与安全 趋势、挑战与应对: 郭睿
脱茧: 腾讯安全平台部负责人 杨勇 coolc
网络空间的信任模型-现状与挑战之--DNS信任体系: 段海新

9. 参会感受

总体来说，不论是甲方、乙方、还是融合了甲乙方特性的互联网公司安全部门，业内都基本形成了几个共识

1. 安全是一个纵深防御体系，在体系化结构下，没有哪个产品比哪个产品高端、先进，就像塔防游戏一样，只有在正确的位置/场景部署最合适的攻防产品，让产品的能力发挥最大的极限，才能真正解决安全问题
2. 安全是一个持续对抗，迭代升级的过程，传统的三大件(防火墙、IDS、IPS(Intrusion Prevention System))并不是说一定会淘汰，而是需要根据新形式下的攻防作出改进
3. 市场对安全最大的诉求在于"感知入侵、防入侵、反入侵"，要实现这个目的，需要有以下几个体系和人才的搭建
    1) 态势/威胁感知
    需要有传统的Agent产品完成基础数据的收集，以及依托云计算平台进行交叉关联的运算，实现情报->威胁的产出
    2) 安全漏洞(尤其是0DAY CVE)的原理性研究团队，在当前，WEB/系统/基础软件库的0DAY漏洞爆发，依然是导致用户资本被入侵的主要原因，当然这里并不包括APT攻击，但诚如海客说的，APT的防御一定是搭建在基础/常见漏洞已经极大程度、甚至完全消失之后的基础之上的，APT的防御相当于最后一张极细的过滤网
    3) 漏洞修复/Hotfix
    当漏洞出现的时候，不管是云厂商，还是传统甲方厂商，在尽可能的情况下，都需要帮助用户完成漏洞的修复，例如源码修复重编译、配置项的动态修改、内核打补丁，而漏洞修复是建立在完成了漏洞细节的研究的基础之上的
4. 安全产品虽然不是安全攻防的唯一形态，但是却是一个很好、很有效的形态，依托于安全产品，可以实现安全研究、漏洞修复、SDL的服务器输出
5. 系统层的安全加固、检测能够对用户的机器起到"安全基线"的作用，相当于一个简单、原始的"等保措施"

Copyright (c) 2015 Little5ann All rights reserved