550
先知白帽大會圖記:讓安全再暖一點
3月24日-25日,先知白帽大會終於在零度的北京溫暖進行,
金隅喜來登酒店會場外,是這樣……
而白帽大會現場,是這樣!
白帽大會這次想帶給大家的,不僅僅是技術議題、大咖雲集、行業趨勢……
不僅僅是有情有義,還有正義感。
黑科集市上,分享技術和創意
頒獎晚宴上,把酒唱起海闊天空,
道哥為每一張年度最佳白帽子的獎狀留下自己的筆跡
有一百個瞬間,讓你感受白帽子的俠義和情義。
安全君覺得最有愛的瞬間,還是24日現場,先知聯合阿裏公益共同發布了“先知公益計劃和公益基金”。從零到一,我們想用安全技術為孩子們帶去一些改變。
阿裏公益、民政部、阿裏雲與白帽子代表共同開啟先知公益計劃 · 先知公益基金
白帽子代表先知公益基金首批善款捐贈給中國扶貧基金會,通過“愛心包裹”項目資助山區孩子購買學習用品;他們從去年11月開始,就用公益眾測的方式,幫助企業發現漏洞,也支持了慈善
阿裏雲安全資深總監肖力分享“先知公益計劃”的初衷,和白帽子、安全公司的社會責任
有現場的朋友告訴我說:"看到兩位白帽子把沉甸甸的46萬支票捐給中國扶貧基金會,接過捐贈證書後,說的感言卻是樸實無華。突然覺得這就是做技術人的魅力所在,他們永遠覺得自己所做的很輕,其實意義卻很重。”
2016年至今,基金已籌得100萬善款。未來除了資助兒童助學項目之外,還將用於支持互聯網安全技術人才培養,為更多的‘白帽子’提供參與互聯網公益的機會。
“我們希望技術讓世界帶來微小而美好的改變。希望‘白帽子’們用自己擅長的方式參與到公益中來,我們也將用雲計算賦能公益組織信息化建設,幫助中國公益事業的發展。”阿裏巴巴集團社會責任專家華山說。
如果先知公益計劃是讓白帽子用一種更有愛心的方式去做眾測,那麼另外一個重磅發布環節:可信眾測,就是對眾測模式的信任度再升一級。
發布現場,國家信息技術安全研究中心二處副處長曹嶽與阿裏雲首席安全研究員吳翰清聯合發布了可信眾測。雙方將共同創新眾測管控模式,給白帽子提供一個更加安全透明的測試平台,讓更多的用戶獲得白帽子的安全測試能力,從而提升網絡安全攻防能力。
從2015年開始,阿裏雲先知平台逐漸建立了從身份認證、行為審計到漏洞審核的“可信閉環”。在身份認證和人員準入方麵,先知測試人員經過支付寶實名認證;在行為審計和漏洞審核方麵,先知通過大數據安全分析,對測試人員行為及路徑進行實時審計和展現,判斷其操作是否符合平台規則;同時為企業提供完整的漏洞報告,對企業的漏洞信息嚴格保密。
2016年,阿裏雲也通過《安全服務職業宣言》向安全行業發出“尊重、正直、公正、責任”的倡議,承諾始終將客戶安全放在第一位,唿籲安全行業從業者保護客戶的隱私與權益。
兩天會議中,幾個人氣議題的精彩語錄,我們也來逛一逛。
先知16年總結和17年展望
笑然:阿裏雲先知負責人
“2017年,先知平台的主題是責任。第一、平台對白帽子的責任,白帽子的培養和教育,不光是技術方麵的,還有法律層麵的或者其他方麵,個人技能相關的方麵。第二、向外部推行公益眾測的模式,也會有更多的公益誌願者活動。 第三、白帽子的技術和人品是特別需要我們進行互相的背書,這方麵也會投入很大的精力幫白帽子做技術和人品的背書,第四、我們會成立國內首個屬於白帽子自己的基金。也非常希望看到一些對公益有熱情的白帽子參與到基金的日常管理中來。”
奇葩漏洞麵麵觀--我的眾測經驗談
Gr36_:先知Top白帽
“我接觸眾測是在三年前,三年前眾測作為剛剛萌芽的新興的安全服務模式,大家對它還有一些置疑,但是發展到現在依靠大家的努力,整個安全圈甚至整個IT業界對眾測的模式已經廣泛的接受並且認可,我相信眾測多方共贏的安全服務模式,可以改變很多人的生活,至少對我來說是這樣的。我在國內幾個眾測平台都留下了自己的足跡。”
雲上的甲方安全小隊建設
常春峰:58到家安全負責人
“雲的好處在於把一些安全服務基礎化,技術上講更像是在更安全的框架上做開發,大公司把在安全方麵的實踐和經驗轉化成產品和服務,來彌補中小企業人才和成本上導致的安全空白。”
談互聯網的安全發展
吳翰清:阿裏雲首席安全研究員
“互聯網再往後發展會發生什麼?今天非常熱門的一些技術已經在興起,包括IOT、VR、AR、人工智能,我個人覺得技術是應該要去不斷的拓展商業邊界的,技術特別是基礎性技術對整個商業發展,甚至對整個社會促進作用都會帶來不可磨滅的影響。安全在其中的責任就是去維護整個互聯網的秩序,這是整個安全的終極目的”
WAF是時候跟正則表達式說再見
破見:PHP-DDOS漏洞(CVE-2015-4024)作者
“目前深度學習、神經網絡和其他模型的了解,用RNN是比較有效的學習模型,在語義檢測中可以把東西抽象出來,不斷的學習和嚐試當中”
以程序架構探索移動應用安全的發展曆程
柴浩:四葉草安全研究員
“剛開始以體驗為主安全為輔,再到以安全為主犧牲一些用戶體驗,再到用戶體驗和安全之間的平衡,這麼多年用戶體驗和數據安全是慢慢變得平衡狀態的過程,移動運營安全的發展,也就是體驗和安全平衡的狀態,以後安全和體驗會變成讓用戶體驗得到安全,這就是我個人覺得移動運用在未來的安全的發展方向。”
一発入魂 - XNU內核漏洞分析與利用
蒸米:阿裏巴巴安全專家
“安全界發布了非常多的開源的攻擊代碼,導致能夠非常容易的利用這些漏洞,因此下一步的方向和研究趨勢是如何挖掘這些漏洞”
如何真實有效的對抗勒索軟件
倪茂誌:勒索軟件終結者作者
“相信每一位從事信息安全的同事都有血淚史,落地是永遠的痛,麵對如此艱難的工作我們如何做呢?首先要把心態調整好,信息安全管理體係落地是一場持久戰,其次落地是沒有標準沒有模板的因地製宜是關鍵,就像定製開發隻有不斷的摸索實踐中前進。”
那些年我們安全建設走過的爛路
陳靜:唯品會安全管理與培訓團隊負責人
“安全意識,安全意識是貫穿在信息安全建設的整個過程,意識的養成和重要程度一點不比管理和技術低,在做信息安全意識培訓宣貫所秉承的理念是,將信息安全融入企業文化”
雲上漏洞挖掘思路
鳥哥:阿裏雲高級安全專家
“第一次2012年我當時作為一個白帽子,我有一個朦朧的感覺,感覺雲一定會是下一個年度的熱點,我也懷揣著這個夢想做到了現在阿裏雲做了三年,現在有一些不錯自己認為不錯的成績跟大家分享和交流。”
DNS中的“奇葩”數據解析
張在峰:360網絡安全研究院安全分析師
“從我的理解上,我把DNS大方麵分兩個大類,第一是用於惡意目的的,也就是經常看到的惡意軟件為了躲避網絡的封堵,定期按照不同的算法生成大量的域名,可以完全堵死,比較典型的例子是,每天會生成大量的也無法封堵。”
入侵智能家居網絡
王欣:安恒海特安全實驗室負責人
“我們現在在做一些物聯網一些智能家居或者是其他的智慧醫療、智慧城市等等,總體經常跟一些朋友或者同事開玩笑,我們在做一些物聯網安全,一方麵一個目的是阻礙物聯網的發展,因為研究下來之後發現物聯網在安全是存在比較大的空白。”
Hunting CVEs for fun and profit
何淇丹(flanker):騰訊科恩實驗室高級研究員
“最常見的入口瀏覽器包括GS漏洞的利用,去獲得最初始的入口代碼執行,需要有一個逃逸最終實現權限提升,也可以通過內核漏洞直接實現逃逸。”
沒有絕對的WAF防禦
從容:河圖安全團隊成員
“同一個繞過方式在很多家都可以用,使用正則進行識別規則是很相似的”
《針對DNS的隨機域名DDoS攻擊綜述:特性、攻擊法、檢測和阻斷》
phunter:Nominum首席數據科學家,物理學博士
“我們從所有的全球數據終進行學習來判斷,與全球數據進行分類查詢並且做規則係統,發現當中有一些是隨機域名,有一些是合法域名,攻擊的流量是通過所有的曆史數據進行學習,可以學習到對於每一個域名下合法的查詢應該是怎樣的”
企業安全團隊的生存之道
王哲:宜人貸信息安全總監兼運維總監
“為什麼要做安全能力的情景化,從能力轉型到產品,提高安全工作人員的效率,滿足個性化需求,達到甲方安全團隊技術的沉澱,離比較新的安全技術更進一步。”
創業---一門自我滲透的藝術
四爺:安識科技聯合創始人
“創業也是一門藝術,我無法跟大家去講,也無法跟合夥人去講,稍不留意公司就會死掉,創業者的激情很高,但是安全創業者死掉的也很多,無非是合夥人自己不想幹了,另外是錢不夠燒了,我們時刻保持危機感,保持自我滲透”
我的白帽學習路線
豬豬俠
“在生活中在時間安排上,忘記一些瑣碎的事情,多學習。你跟大家說,你要掌握一門技術語言,成為一個白帽,學會一門安全技術,這都隻是一句話。重要的是,你在下麵的時間裏,有沒有去做出一步一步的努力。”
大咖圓桌
黑哥:知道創宇首席安全官
迅迪:阿裏巴巴高級安全專家
薛鋒:微步在線創始人
雲舒:默安科技聯合創始人兼CTO
張耀疆:安在新媒體創始人
誰是先知
年度最佳
借24日晚的“年度頒獎晚宴”,先知向一年來做出貢獻的白帽子、安全公司、合作團隊和社區作者,道了感謝。
年度最佳白帽子
獲獎者:Gr36_、安識科技_4爺、kernel_dbg、A、bey0nd、雨了個雨、X、my5t3ry、男仔無才、換個昵稱
第一:Gr36_、第二:安識科技_4爺、第三:kernel_dbg,
年度合作安全公司
獲獎者:上海安識網絡科技有限公司、西安四葉草信息技術有限公司、北京長亭科技有限公司、廣西北鬥天璿信息科技有限公司、九江墨眉網絡科技有限公司。
年度合作安全團隊
獲獎者:河圖、安全盒子、網絡尖刀。
先知安全技術社區年度作者
獲獎者:從容
先知安全技術社區年度特殊貢獻
獲獎者:淩風
白帽子,一群有技術、有愛心、有正義感的網絡護航者,終於匯聚在先知,這是我們一直期待做的事情。
就像笑然所說:"我在想哪怕我們運營能力不夠的情況下,我也希望能給白帽子有一個線下的交流,沙龍、白帽大會都可以,我甚至線下小範圍發了一部分的問卷,大家最期待的兩個嘉賓是道哥和鳥哥,今天也請會請他們做分享,今天舉辦的白帽大會是相當於去年8月份就欠大家的,到今天終於還了。"
最後更新:2017-04-01 16:42:10