上週,一場立足成都、面向世界的信息安全大會——INSEC WORLD圓滿落幕。這場匯聚了數名國際級產學研專家、多個知名安全企業,並獲得成都市政府及全國多個行業聯盟支持的大會,現場吸引了逾2000名專業觀眾。
首屆INSEC WORLD成都·世界信息安全大會,被業內譽為“專為中國信息安全行業定製的黑帽大會”。
熟悉這個行業的人都知道,世界最頂級的信息安全大會如DEF CON,Black Hat等,多年來都只在國外舉辦。由於距離和語言的障礙,中國的安全技術愛好者和信息安全企業想要參與,還是有一定的困難。
其實,在多年的發展中,中國信息安全技術在世界已位居前列。在全球Top100白帽子榜單中,有不少是來自中國的安全技術人員。可以說,中國是全球信息安全行業發展過程中一個不可或缺的角色。當然,頂級的信息安全大會就不能錯過中國這一站。
此次INSEC WORLD大會正是出於這樣的考慮,由全球領先的展會主辦機構Informa Markets(英富曼集團)在中國首次推出。
英富曼集團是Black Hat,IoT World這類高端活動的主辦方,同時旗下還有多個與網絡信息安全有關的展會、媒體和智庫,如:Dark Reading, Information Week, Interop, Cloud Connect, Network Computing,Ovum等。
恰逢成都正在建設“中國網絡信息安全之城”,目標在2022年將成都打造成為西部領先、國內一流的網絡信息安全產業高地,因而在成都市政府的大力支持下,INSEC WORLD大會得以順利落地成都。
那麼,作為首屆中國版的“黑帽大會”,到底有哪些精彩之處呢?科技雲報道作為INSEC WORLD大會核心合作媒體,現場採訪多家企業及演講嘉賓,本文將帶大家一起回顧會議現場。
大師雲集
上演中國版“黑帽大會”
Insec World大會由主論壇、分論壇、技術展示、科技孵化與專題培訓等多種形式組成,深度聚焦安全技術、管理與應用,內容包含端點安全、應用安全、數據安全、雲安全、移動安全等,同時覆蓋金融科技、5G網絡、政府安防、安全人才管理與培訓等熱點話題。
事實上,這些豐富的議題並非閉門造車,而是著眼於當下中國在安全和管理方面的迫切需求,結合前沿的安全技術實踐,希望通過富於實際的議題分享和交流,給予中國安全人員及開發者更多的啟發。
為了實現這個目標,將INSEC WORLD這一高端會議成功落地中國,英富曼為此注入了大量心血。
首先,遵循Black Hat等設立專家顧問團的成功模式,由中國工程院院士、國家科技進步一等獎獲得者方濱興領銜、30多位國內外產學研專家組成的顧問團,為本次大會量身打造適合中國的大會議程。
通過專家顧問團審議大會議程框架、議題徵集投稿,以及推薦演講嘉賓等方式,保證大會的高品質。除此之外,專家成員還依據各自擅長的細分領域,擔任出品人,為本屆大會嚴選分論壇議題及講者。
例如,奇安信集團首席安全官兼網絡安全部總經理聶君出任“CSO論壇”,安恆信息首席安全官、高級副總裁劉志樂出任“應急響應/安全運營論壇”,中國網絡空間安全人才教育聯盟秘書長魯輝出任“人才培養論壇”,全球黑帽大會Blackhat&黑客大會DEFCON技術演講者、獨角獸(Unicorn Team)安全團隊創始人楊卿出任“安全創新論壇”出品人。
其次,大會雲集了多位國際、國內信息安全界大師級人物,例如:2015年圖靈獎獲得者、美國國家工程學院院士、斯坦福大學名譽教授Martin Hellman先生;Lower Colorado River Authority原首席安全與風險官Tim Virtue;Palo Alto Networks亞太區首席安全官Kevin O’Leary等。
在主論壇的演講中,Martin Hellman教授帶來了“公鑰密碼對信息安全的重要性”的演講;奇安信集團總裁吳雲坤分享了“新技術環境下的‘內生安全’能力構建”;LCRA原首席安全與風險官Tim Virtue從甲方的角度闡述“從0到1”的轉型路線圖”,讓現場觀眾一睹行業大咖的風采。
奇安信集團總裁吳雲坤發表主題演講
此外,大會展出規模達6,000平米,深信服、奇安信、360網絡安全大學、微步在線、無糖信息等多家知名信息安全企業參與了展示,來自金融、醫療、交通、政府、防務、通信及更為廣泛的行業企業客戶,得以與這些安全企業面對面的交流行業解決方案,將安全需求進一步落到實處。
前沿技術與行業實踐並重
漏洞攻防備受關注
在主論壇的演講外,大會還設置了6個縱橫相結合的主題分論壇:漏洞攻防論壇、數據安全及雲安全論壇、CSO論壇、應急響應/安全運營論壇、人才培養論壇、安全創新論壇。
可以看到,這些論壇議題關注的是企業CSO在信息安全工作的前沿需求,充分挖掘了企業CSO在各安全工作方面的痛點,比如安全運營、數據安全、人才培養等,同時也通過漏洞攻防、安全創新等主題交流,讓安全技術愛好者們在現場聆聽了全球最前沿的技術乾貨。
作為其中最為熱門的分論壇,漏洞攻防論壇現場連後排都站滿了觀眾。來自ICONIQ汽車、西澳大學、華為、騰訊安全、Citrix等行業專家,帶來了汽車安全、機器學習、工控安全、漏洞挖掘等安全相關話題,現場分享了來自行業一線的安全觀點以及最前沿的技術方法。
ICONIQ汽車安全和研發高級主管Craig Smith在安全領域工作已經二十多年了,專攻汽車安全領域。
他認為安全能夠為車企品牌增加溢價,保護消費者免受惡意攻擊是車企需要重點提升的安全部分,其中有很多問題值得深思,比如:如何在不召回車的情況下升級軟硬件,修補漏洞?如何讓用戶在合法改裝的情況下,依然保護用戶的汽車安全?如何在GDPR等安全法規的要求下,對汽車日誌數據進行分析以保證安全?Craig Smith以案例分享的方式給現場觀眾以啟發。
西澳大學網絡與安全實踐中心主任David Glance分享了機器學習的攻擊和防禦。他指出,在機器學習興起的當下,基於機器學習的攻擊也可能同步出現。以圖像識別為例,攻擊者僅僅改變一個圖像的像素,就可能對結果造成非常嚴重的誤差。
因此,他提出了SEYS混合威脅模型建模的應對方法,通過機器學習建模識別潛在的威脅參與者,包括攻擊目標、攻擊目的、攻擊行為、攻擊技能等,最終計算出存在的漏洞、威脅和存在的風險,但前提是有多樣化的現實場景,此研究才能夠持續有所進展。
來自工業製造知名企業,同時是破曉安全團隊核心成員、工控安全紅隊創始人的劍思庭,帶來了關於工控安全滲透和防禦的演講。作為一個十幾年的工控老兵,劍思庭指出,工業互聯網打破了所有的信息孤島,曾經封閉的工控系統,如今就像倉庫門全部打開一樣暴露在外,安全風險極高。
破曉安全團隊核心成員、工控安全紅隊創始人劍思庭
但是工業控制系統很複雜,具備特殊的行業性,只懂安全技術不懂行業很難做好工控安全。劍思庭以佔據了中國50%份額的工業通信協議Modbus為例,介紹了Modbus的脆弱性及應對方法。
除了以上幾位演講嘉賓結合行業實踐的分享,漏洞攻防技術及案例分享也吸引了很多年輕的技術愛好者。
北京華為研究所的章張鍇博士介紹了ARM平臺上一個非常強大的Super Root技術。與傳統的Root攻擊相比,Super Root技術有兩大優勢:一是更高的權限,二是極難被察覺,一旦攻擊發起,用戶無法跳出攻擊者的設計。
張鍇博士的研究,讓大家看到技術是把雙刃劍,越早對Super Root進行研究,就越能夠與之對抗。
騰訊安全玄武實驗室的高級安全研究員劉科,同時是圈內非常有名的白帽子,他在現場分享了三個漏洞案例,包括Adobe Reader字符串漏洞,西博城天府杯使用的信息洩露漏洞,以及今年10月最新修復的遠程代碼執行漏洞。
通過對漏洞攻擊的詳細剖析,劉科總結出三點經驗教訓:儘量在設計之初把問題解決掉;對遺留的不合理設計做修改;對安全人員進行開發意識培訓。
來自Citrix的高級安全工程師Samit Anwer,曾經揭露了谷歌雲打印、IE、Windows等系統的安全漏洞。他在現場分享了OAuth的多種適用場景,以及面對攻擊的各種解決方案。
產學研結合
不可忽視的新生力量
除了多個論壇與技術展示,此次Insec World大會還有一點與眾不同:在眾多的企業展位中,出現了廣州大學、北京航天航空大學、南開大學等國內知名高校的展示。
事實上,Insec World大會特意增加了安全意識及安全人才培養的相關內容。這是因為網絡安全行業蓄勢待發,企業對網絡安全人才需求的規模已經大幅增長,人才供應愈來愈“緊俏”。
據數據顯示,當前網絡空間安全人才數量缺口高達70萬,預計到2020年將超過140萬。如何培養和挖掘網絡安全人才,成了許多頭部企業乃至行業的“必修課”。
因此,大會分論壇擬定了關於網絡安全人才培養模式、人才培養經驗分享、人才流動數據分析等內容,還重磅推出“蓉安系列計劃”,邀請更多企業、單位和人群免費參與到大會中,進一步瞭解信息安全的重要性和必要性,增強信息安全意識。
此外,大會還安排了為期兩日的2門高階培訓課程,包括國內領先的燈塔實驗室的“工控安全課程”,國內首創的“安全意識官培訓(Security Awareness Officer)”,幫助參會者進一步提升專業技能。
這正是主辦方為服務與回應產業需求,發揮獨立第三方平臺對於信息安全能力建設的促進作用。
在成都市委網信辦、成都市經信局、科技局、博覽局、天府新區成都管委會、成都高新區管委會等的大力支持,及中國網絡空間安全人才教育聯盟、成都市軟件行業協會、四川省大數據產業聯合會等行業協會的大力協助下,Insec World營造出政產學研合作創新氛圍,為成都信息安全發展寫下濃墨重彩的一筆。
閱讀更多 科技雲報道 的文章
