2015烏云白帽子大會 企業網絡安全建設受關注
責編:penggao |2015-07-17 21:13:217月17日,夜雨積水、淅瀝小雨依然沒能阻擋黑客愛好者的熱情,北京富力萬力酒店2層首府會場人群熙熙攘攘,2015烏云白帽子大會在這里正式拉開帷幕,本屆大會主題為“突破(NO WALL)”,會期兩天。總的來看,17日首日主要有企業網絡安全建設、企業安全攻防與應急響應、DDoS解決思路、安卓應用加固和金融安全等幾個主要話題。
企業網絡安全建設
去哪兒、唯品會關于企業網絡安全建設話題的演講,為我們分享成功了互聯網公司網絡安全建設歷程同時,也讓我們意識到當下互聯網公司都面臨的問題:首先就是互聯網環境的嚴峻形勢讓企業看到網絡安全建設勢在必行,而另一方面,如何進行安全建設,卻鮮有案例遵循,而且困難重重。
去哪兒安全總監郭添森總結去哪兒網的安全工作建設分三個階段:第一階段安全融入基礎IT,第二階段安全融入企業業務,第三階段安全融入企業文化。唯品會高級工程師王潤輝在分享網絡安全建設經驗時,也讓我們意識到企業網絡安全建設過程必須面對的問題:網絡安全是一個“沒有產出”的部門,如何得到公司的重視?網絡安全牽扯到許多業務部門,如何進行協調?網絡安全水平的追求是無止境的,如何控制在這方面的投入?此外,還有在企業網絡安全建設過程中,已經形成了很嚴重的網絡安全人才的缺口,這一點也成為各方的共識。
企業安全攻防
企業安全攻防則是17日大會的另一個核心話題,共進行了“兩輪”攻防演講,首輪是WAF的繞過與防護。烏云白帽子“MayIkissYou”詳細的分析了《多角度對抗WAF的思路與實例》,騰訊安全架構師張海清《Web安全架構淺談》在分享WAF防護的演講中,讓我們看到,作為航母級別的互聯網企業,騰訊在網絡安全建設方面做出的巨大投入與成果:自研web server應用、運維自動化、軟件開發調用自研安全API等等,讓我們看到巨型企業在網絡安全、網絡應用等等方面都需要DIY,才能適應自身的體量。第二輪“掐架”是關于“黑”進公司網絡與反滲透,由烏云白帽子“booooom”《如何從外圍進入各大公司內網》和“Piaca”《企業應急響應與反滲透之真實案例分析》組成。
DDoS解決思路
上午江蘇公安廳網安總隊童瀛《從案件看國內DDoS的最新方式》讓我們看到,解決DDoS不只技術這一條路子走,還需要從案件角度分析,從案件的蛛絲馬跡下手,從側面找出實施DDoS的攻擊方。童瀛呼吁網絡安全人才走正路,并認為網絡安全攻擊成本很低,但是給受害者帶來的危害卻很大,所以建議中小企業要健全網絡安全應急響應機制,告誡網民要主動回避惡意網站。
安卓應用加固
上海交通大學計算機系在讀博士楊文博在《Android應用程序通用自動妥殼方法研究》演講中指出,安卓應用加殼保護技術存在一個問題,就是加殼保護不負責安全漏洞的審查,如果應用程序存在漏洞依舊無法保證安全。而且,從技術角度看,再嚴密的加殼都能被破解,不過在實際破解過程中存在一個“破解投入”的問題,同樣作為應用加固廠商也要從整體考慮,既要保證加固保護技術能夠對抗絕大部分的“破解”,還要考慮開發這種加固保護做出的投入。
P2P金融安全
萬達電商安全主任工程師林鵬在《解析P2P金融安全》中指出互聯網金融安全領域占比最高的漏洞是業務設計缺陷,另外P2P金融作為一個新興行業,其賬號密碼的重置是一個重災區,并認為集團邊界、DDoS等是金融領域主要攻擊的入口,也是比較容易失守的幾個點,對這幾個方面的防護決定了P2P金融安全的高度。