上周,一場立足成都、面向世界的信息安全大會——INSEC WORLD圓滿落幕。這場匯聚了數(shù)名國際級產(chǎn)學研專家、多個知名安全企業(yè),并獲得成都市政府及全國多個行業(yè)聯(lián)盟支持的大會,現(xiàn)場吸引了逾2000名專業(yè)觀眾。
?首屆INSEC WORLD成都·世界信息安全大會,被業(yè)內(nèi)譽為“專為中國信息安全行業(yè)定制的黑帽大會”。
熟悉這個行業(yè)的人都知道,世界最頂級的信息安全大會如DEF CON,Black Hat等,多年來都只在國外舉辦。由于距離和語言的障礙,中國的安全技術愛好者和信息安全企業(yè)想要參與,還是有一定的困難。
其實,在多年的發(fā)展中,中國信息安全技術在世界已位居前列。在全球Top100白帽子榜單中,有不少是來自中國的安全技術人員??梢哉f,中國是全球信息安全行業(yè)發(fā)展過程中一個不可或缺的角色。當然,頂級的信息安全大會就不能錯過中國這一站。
?此次INSEC WORLD大會正是出于這樣的考慮,由全球領先的展會主辦機構Informa Markets(英富曼集團)在中國首次推出。
英富曼集團是Black Hat,IoT World這類高端活動的主辦方,同時旗下還有多個與網(wǎng)絡信息安全有關的展會、媒體和智庫,如:Dark Reading, Information Week, Interop, Cloud Connect, Network Computing,Ovum等。
恰逢成都正在建設“中國網(wǎng)絡信息安全之城”,目標在2022年將成都打造成為西部領先、國內(nèi)一流的網(wǎng)絡信息安全產(chǎn)業(yè)高地,因而在成都市政府的大力支持下,INSEC WORLD大會得以順利落地成都。
那么,作為首屆中國版的“黑帽大會”,到底有哪些精彩之處呢?科技云報道作為INSEC WORLD大會核心合作媒體,現(xiàn)場采訪多家企業(yè)及演講嘉賓,本文將帶大家一起回顧會議現(xiàn)場。
?大師云集
上演中國版“黑帽大會”
Insec World大會由主論壇、分論壇、技術展示、科技孵化與專題培訓等多種形式組成,深度聚焦安全技術、管理與應用,內(nèi)容包含端點安全、應用安全、數(shù)據(jù)安全、云安全、移動安全等,同時覆蓋金融科技、5G網(wǎng)絡、政府安防、安全人才管理與培訓等熱點話題。
事實上,這些豐富的議題并非閉門造車,而是著眼于當下中國在安全和管理方面的迫切需求,結(jié)合前沿的安全技術實踐,希望通過富于實際的議題分享和交流,給予中國安全人員及開發(fā)者更多的啟發(fā)。
為了實現(xiàn)這個目標,將INSEC WORLD這一高端會議成功落地中國,英富曼為此注入了大量心血。
首先,遵循Black Hat等設立專家顧問團的成功模式,由中國工程院院士、國家科技進步一等獎獲得者方濱興領銜、30多位國內(nèi)外產(chǎn)學研專家組成的顧問團,為本次大會量身打造適合中國的大會議程。
通過專家顧問團審議大會議程框架、議題征集投稿,以及推薦演講嘉賓等方式,保證大會的高品質(zhì)。除此之外,專家成員還依據(jù)各自擅長的細分領域,擔任出品人,為本屆大會嚴選分論壇議題及講者。
例如,奇安信集團首席安全官兼網(wǎng)絡安全部總經(jīng)理聶君出任“CSO論壇”,安恒信息首席安全官、高級副總裁劉志樂出任“應急響應/安全運營論壇”,中國網(wǎng)絡空間安全人才教育聯(lián)盟秘書長魯輝出任“人才培養(yǎng)論壇”,全球黑帽大會Blackhat&黑客大會DEFCON技術演講者、獨角獸(Unicorn Team)安全團隊創(chuàng)始人楊卿出任“安全創(chuàng)新論壇”出品人。
其次,大會云集了多位國際、國內(nèi)信息安全界大師級人物,例如:2015年圖靈獎獲得者、美國國家工程學院院士、斯坦福大學名譽教授Martin Hellman先生;Lower Colorado River Authority原首席安全與風險官Tim Virtue;Palo Alto Networks亞太區(qū)首席安全官Kevin O’Leary等。
在主論壇的演講中,Martin Hellman教授帶來了“公鑰密碼對信息安全的重要性”的演講;奇安信集團總裁吳云坤分享了“新技術環(huán)境下的‘內(nèi)生安全’能力構建”;LCRA原首席安全與風險官Tim Virtue從甲方的角度闡述“從0到1”的轉(zhuǎn)型路線圖”,讓現(xiàn)場觀眾一睹行業(yè)大咖的風采。
?奇安信集團總裁吳云坤發(fā)表主題演講
此外,大會展出規(guī)模達6,000平米,深信服、奇安信、360網(wǎng)絡安全大學、微步在線、無糖信息等多家知名信息安全企業(yè)參與了展示,來自金融、醫(yī)療、交通、政府、防務、通信及更為廣泛的行業(yè)企業(yè)客戶,得以與這些安全企業(yè)面對面的交流行業(yè)解決方案,將安全需求進一步落到實處。
前沿技術與行業(yè)實踐并重
漏洞攻防備受關注
在主論壇的演講外,大會還設置了6個縱橫相結(jié)合的主題分論壇:漏洞攻防論壇、數(shù)據(jù)安全及云安全論壇、CSO論壇、應急響應/安全運營論壇、人才培養(yǎng)論壇、安全創(chuàng)新論壇。
可以看到,這些論壇議題關注的是企業(yè)CSO在信息安全工作的前沿需求,充分挖掘了企業(yè)CSO在各安全工作方面的痛點,比如安全運營、數(shù)據(jù)安全、人才培養(yǎng)等,同時也通過漏洞攻防、安全創(chuàng)新等主題交流,讓安全技術愛好者們在現(xiàn)場聆聽了全球最前沿的技術干貨。
作為其中最為熱門的分論壇,漏洞攻防論壇現(xiàn)場連后排都站滿了觀眾。來自ICONIQ汽車、西澳大學、華為、騰訊安全、Citrix等行業(yè)專家,帶來了汽車安全、機器學習、工控安全、漏洞挖掘等安全相關話題,現(xiàn)場分享了來自行業(yè)一線的安全觀點以及最前沿的技術方法。
ICONIQ汽車安全和研發(fā)高級主管Craig Smith在安全領域工作已經(jīng)二十多年了,專攻汽車安全領域。
他認為安全能夠為車企品牌增加溢價,保護消費者免受惡意攻擊是車企需要重點提升的安全部分,其中有很多問題值得深思,比如:如何在不召回車的情況下升級軟硬件,修補漏洞?如何讓用戶在合法改裝的情況下,依然保護用戶的汽車安全?如何在GDPR等安全法規(guī)的要求下,對汽車日志數(shù)據(jù)進行分析以保證安全?Craig Smith以案例分享的方式給現(xiàn)場觀眾以啟發(fā)。
西澳大學網(wǎng)絡與安全實踐中心主任David Glance分享了機器學習的攻擊和防御。他指出,在機器學習興起的當下,基于機器學習的攻擊也可能同步出現(xiàn)。以圖像識別為例,攻擊者僅僅改變一個圖像的像素,就可能對結(jié)果造成非常嚴重的誤差。
因此,他提出了SEYS混合威脅模型建模的應對方法,通過機器學習建模識別潛在的威脅參與者,包括攻擊目標、攻擊目的、攻擊行為、攻擊技能等,最終計算出存在的漏洞、威脅和存在的風險,但前提是有多樣化的現(xiàn)實場景,此研究才能夠持續(xù)有所進展。
來自工業(yè)制造知名企業(yè),同時是破曉安全團隊核心成員、工控安全紅隊創(chuàng)始人的劍思庭,帶來了關于工控安全滲透和防御的演講。作為一個十幾年的工控老兵,劍思庭指出,工業(yè)互聯(lián)網(wǎng)打破了所有的信息孤島,曾經(jīng)封閉的工控系統(tǒng),如今就像倉庫門全部打開一樣暴露在外,安全風險極高。
?破曉安全團隊核心成員、工控安全紅隊創(chuàng)始人劍思庭
但是工業(yè)控制系統(tǒng)很復雜,具備特殊的行業(yè)性,只懂安全技術不懂行業(yè)很難做好工控安全。劍思庭以占據(jù)了中國50%份額的工業(yè)通信協(xié)議Modbus為例,介紹了Modbus的脆弱性及應對方法。
除了以上幾位演講嘉賓結(jié)合行業(yè)實踐的分享,漏洞攻防技術及案例分享也吸引了很多年輕的技術愛好者。
北京華為研究所的章張鍇博士介紹了ARM平臺上一個非常強大的Super Root技術。與傳統(tǒng)的Root攻擊相比,Super Root技術有兩大優(yōu)勢:一是更高的權限,二是極難被察覺,一旦攻擊發(fā)起,用戶無法跳出攻擊者的設計。
張鍇博士的研究,讓大家看到技術是把雙刃劍,越早對Super Root進行研究,就越能夠與之對抗。
騰訊安全玄武實驗室的高級安全研究員劉科,同時是圈內(nèi)非常有名的白帽子,他在現(xiàn)場分享了三個漏洞案例,包括Adobe Reader字符串漏洞,西博城天府杯使用的信息泄露漏洞,以及今年10月最新修復的遠程代碼執(zhí)行漏洞。
通過對漏洞攻擊的詳細剖析,劉科總結(jié)出三點經(jīng)驗教訓:盡量在設計之初把問題解決掉;對遺留的不合理設計做修改;對安全人員進行開發(fā)意識培訓。
來自Citrix的高級安全工程師Samit Anwer,曾經(jīng)揭露了谷歌云打印、IE、Windows等系統(tǒng)的安全漏洞。他在現(xiàn)場分享了OAuth的多種適用場景,以及面對攻擊的各種解決方案。
產(chǎn)學研結(jié)合
不可忽視的新生力量
除了多個論壇與技術展示,此次Insec World大會還有一點與眾不同:在眾多的企業(yè)展位中,出現(xiàn)了廣州大學、北京航天航空大學、南開大學等國內(nèi)知名高校的展示。
?事實上,Insec World大會特意增加了安全意識及安全人才培養(yǎng)的相關內(nèi)容。這是因為網(wǎng)絡安全行業(yè)蓄勢待發(fā),企業(yè)對網(wǎng)絡安全人才需求的規(guī)模已經(jīng)大幅增長,人才供應愈來愈“緊俏”。
據(jù)數(shù)據(jù)顯示,當前網(wǎng)絡空間安全人才數(shù)量缺口高達70萬,預計到2020年將超過140萬。如何培養(yǎng)和挖掘網(wǎng)絡安全人才,成了許多頭部企業(yè)乃至行業(yè)的“必修課”。
因此,大會分論壇擬定了關于網(wǎng)絡安全人才培養(yǎng)模式、人才培養(yǎng)經(jīng)驗分享、人才流動數(shù)據(jù)分析等內(nèi)容,還重磅推出“蓉安系列計劃”,邀請更多企業(yè)、單位和人群免費參與到大會中,進一步了解信息安全的重要性和必要性,增強信息安全意識。
此外,大會還安排了為期兩日的2門高階培訓課程,包括國內(nèi)領先的燈塔實驗室的“工控安全課程”,國內(nèi)首創(chuàng)的“安全意識官培訓(Security Awareness Officer)”,幫助參會者進一步提升專業(yè)技能。
這正是主辦方為服務與回應產(chǎn)業(yè)需求,發(fā)揮獨立第三方平臺對于信息安全能力建設的促進作用。
在成都市委網(wǎng)信辦、成都市經(jīng)信局、科技局、博覽局、天府新區(qū)成都管委會、成都高新區(qū)管委會等的大力支持,及中國網(wǎng)絡空間安全人才教育聯(lián)盟、成都市軟件行業(yè)協(xié)會、四川省大數(shù)據(jù)產(chǎn)業(yè)聯(lián)合會等行業(yè)協(xié)會的大力協(xié)助下,Insec World營造出政產(chǎn)學研合作創(chuàng)新氛圍,為成都信息安全發(fā)展寫下濃墨重彩的一筆。
【科技云報道原創(chuàng)】微信公眾賬號:科技云報道
來源:科技云報道
免責聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網(wǎng)無關。文章僅供讀者參考,并請自行核實相關內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 蘋果開啟年終大促,降價1200元,被國產(chǎn)手機嚇怕了?
- 長三角,如何把數(shù)據(jù)要素變成新長江?
- 大模型,在內(nèi)卷中尋找出口
- 比亞迪“天神之眼”重磅升級:無圖城市領航功能全國開通
- 不愿成為微信的支付寶,注定失敗
- 大廠年終獎全靠猜?京東帶頭透明化
- MediaTek 發(fā)布天璣 8400 移動芯片,開啟高階智能手機全大核計算時代
- 榮耀攜手“哪吒”鬧新春,2025魔法科技年貨節(jié)同步開啟
- 榮耀Magic7系列全面升級大王影像,AI超級長焦讓百倍望遠也清晰
- 2024中國互聯(lián)網(wǎng)哈哈榜之2: 十大事件
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。