捍卫信任共探未来,2019京麒国际安全峰会精华回顾 – 作者:Akane

当前环境下,现代企业面临的威胁数量现在比以往更多、更复杂,传统的内部安全边界取决于防火墙、VPN来隔离,但随着员工用自己的电脑、手机工作,再加上云计算,整个网络边界越来越模糊。一旦“可信”网络中的某个主机被攻陷,那么攻击者很快就能以此为跳板完成入侵。

网络安全的信任边界到底在哪里?我们又应该如何捍卫信任呢?

2019京麒国际安全峰会,以「捍卫信任」为核心主题,来自国内外的知名安全专家和企业安全高管,聚焦互联网企业安全体系建设,讨论了产业互联网背景下的新技术、新风险、新生态与人才培养等内容,分享安全智慧,传递极客精神。京东集团副总裁李德浩在会上指出,安全问题的本质根源于基础设施的安全性,未来安全基础设施将具备身份驱动、强大的信任链、去中心化、虚拟化隔离等特点。

捍卫信任:下一代互联网安全基础设施的演进

在互联网的高速变革中,人工智能、5G、IoT等新兴技术深刻改变互联网,产业互联网面临基础设施重构:数据无处不在,计算无处不在,用户无处不在。对此李德浩提出了智能城市、智能识别用户、智能社区等系列概念,其中包括零信任区块链隐私多方计算等新技术与新思路。

前面提到的传统信任边界的弱点,归根到底都是对“可信”设备与网络环境的“过度信任”造成的。这种“过度信任”体现在以下两个方面:

1、模型假设所有的可信设备的可信度都是相同的,即所有设备无论功能和状态,只要认为是可信的,就都是“完全信任”其安全性。

2、模型假设对所有可信设备的信任是永久的,全时段的。

显然这种“过度信任”是非常危险的,是一种对信任的滥用。李德浩刚才提到的“零信任”模型提出:在考虑敏感信息时,默认情况下不应该信任网络中的任何设备和区域,而是应该通过基于认证和授权重构访问控制的信任体系,对访问进行“信任授权”。盲目信任并不可取,“零信任”模型的授权和信任是动态的,即“信任授权”应当基于访问实时地进行评估与变换,也许,这才是真正的捍卫信任。

据悉,京东旗下拥有超过1.5亿台智能设备正在互联网中运行使用,这是个惊人的数字,但是显然随着未来智慧城市的快速发展,这个数字只会呈指数级增长。下一代互联网安全基础设施将怎样演进,让我们拭目以待。

数字化转型之路:构建健全的网络安全治理机制

安联集团CISO Carsten Scholz以自身数十年的工作经验,阐述了安联集团是如何与服务提供商建立强大的网络安全治理机制,以支持服务的数字化转型。

截至今日,GDPR已实施一年有余,数据保护相关的案例与公开事件数量攀升。同时,全球多个国家或地区也以GDPR为参考,制定或补充了不同的数据保护细则。全球隐私数据保护领域迎来了较大发展。Carsten Scholz为我们介绍了安联集团如何在商业转型中建立安全治理机制,以符合日益严峻的监管需求。随着国内安全相关法律法规逐渐出台完善,Carsten Scholz的经验之谈对我们也有较强的参考意义。

企业安全趋势探讨

各种新技术在新的业务场景下的应用层出不穷,国内外针对信息安全各个方向的立法和监管都在紧锣密鼓的开展。滴滴信息安全负责人蔺毅翀结合自身的安全实践,在企业安全体系建设、支持全球化业务以及技术建设等方面,与大家探讨了企业安全的建设趋势。

蔺毅翀提出,过去的“旧实践”着眼漏洞、追求防御、方法单一、方案单点、生态封闭。而目前面临的“新趋势”着眼于业务、追求精准感知和响应、相信基于情报共享的生态系统防护,而安全对抗的螺旋轨道处于业务在变、技术在变、攻击方式在变、法律法规在加强,公众对于安全的感知正在变化的过程中。

另外,他还提出了企业建设安全团队处在不同时期的特点:

建设期:从无到有的独立团队,往往以事件驱动。

运营期:着重于解决问题,持续主动地发现并解决问题,通过产品技术的方式提高效率、减少盲点、风险驱动、提前预估。

感知期:增强并关注用户信任,着重点在于隐私和数据安全建设。

蔺毅翀补充到,滴滴时至今日依然面临着安全建设挑战,要以多元化的出行业务为主,具备线上和线下的形式,同时关注国际业务、金融等业务的特殊性。

Panel对话:新技术的安全变革与挑战

由TK教主主持,滴滴信息安全负责人蔺毅翀、京东集团副总裁/信息安全部负责人李德浩、百度安全总经理马杰、GeekPwn活动发起人和创办人/碁震kEEN创始人兼CEO王琦、京东集团副总裁/京东云基础研发部负责人符庆明为嘉宾。

他们分别为我们带来了在云、AI 、IoT、安全服务及人才培养的众多新颖观点。

构建安全可信的一体化供应链平台

京东的核心优势有哪些?女主持人不假思索地回答道:快啊。京东物流为什么快,离不开强大的供应链体系。

供应链业务因为合作方之间业务协作非常紧密,数据依赖度高,相关安全问题备受关注。京东物流研发架构部负责人者文明介绍称,京东物流在持续多年的实践中,构建了一套基于供应链业务的安全体系,涵盖商业机密识别与管控、隐私保护、交易认证、审计体系、监控预警体系等,在此基础上将AI技术用于安全管理,将区块链技术用于交易认证,从而提升整个供应链平台的安全水平与防护能力。

此外,者文明还提到,京东物流部门与信息安全部门也在积极推进SDL的实施与落地、京东物流的数据安全建设经验等。

Monocerus:区块链智能合约动态分析工具

通过引入在区块链上存储和执行程序的概念,智能合约对于金融科技革命变得至关重要。不幸的是,就像其他代码一样,智能合约也可能存在漏洞,且可能会直接造成负面的经济影响。

如何挖掘智能合约中的漏洞呢?据悉,现有的工具集依赖于符号执行或静态分析技术。由于缺乏区块链平台的支持,传统的动态分析类型的工具较为缺失。

来自新加坡南洋理工大学教授Nguyen Anh Quynh为我们介绍了一款名为Monocerus,对以太坊智能合约进行动态分析的轻量级多平台框架。Monocerus提供了一些重要功能,旨在为以太坊区块链的动态分析奠定基础。Nguyen Anh Quynh为我们展示了该框架中的一些新的工具集,包括字节调试器、代码跟踪器、分析器、高级模糊器等。

移动生态安全探索与实践

随着移动互联网生态化发展的趋势,传统移动安全也逐渐靠近生态化安全。在对厂商系统生态安全研究的过程中,不难发现手机厂商也在生态化、组件化的开发体系中,存在一些通用的安全风险。利用这些风险形成的远程攻击给移动生态体系带来积大的威胁,同时在IoT生态安全中同样存在类似的安全隐患。

来自腾讯安全移动安全实验室的高级研究员韩紫东,为我们重点介绍了移动生态体系化背后带来的生态安全相关问题以及解决方案。

麒麟框架1.0:不是虚拟机的虚拟机

二进制分析对逆向工具的要求非常高,既依赖高等级的工具也需要支持更广的多体架构,这恰好限制了高端自动化逆向分析,因为硬件资源要求苛刻(例如IoT的分析)以及恶意软件暴露的风险。

京东牧者安全实验室负责人Kaijern Lau介绍到,麒麟框架是一款基于Python的沙盒框架。众所周知,Python是逆向工程师最常用(轻量级且容易理解)的编程语言之一,这极大地降低了二次开发的门槛。应用仿真技术,麒麟框架是一个跨平台、支持多体系结构的分析框架。这实现在Linux上二进制仿真分析Windows恶意软件,在MIPS或MacOS环境模拟IoT固件执行二进制程序等。

Kaijern Lau在演讲中提到了麒麟框架研究项目与开发难题。例如虚拟化系统层的系统调用、系统加载器、系统链接器、麒麟框架如何跨平台支持多二进制文档(PE、Mach-O及ELF等)及如何应用麒麟框架二次研发分析工具。此外,Kaijern Lau也在现场给大家做了一些具体演示,在二进制执行之前或执行期间进行代码拦截和任意代码注入等。

其他精彩论坛

除了主会场(安全领袖峰会及安全技术峰会)的精彩议题以外,2019京麒国际安全峰会还举办了Red Team终极训练营、OWASP企业安全建设与运营论坛、2019京麒白帽盛典、互联网安全城市巡回赛北京站、Geek Village以及由多家SRC组队参加的王者荣耀挑战赛等活动。

据悉,王者挑战赛现场尖叫声此起彼伏,气氛十分之好。本着友谊第一比赛第二的原则,具体胜负情况就不一一道来了,大家欣赏一下现场的激烈战况即可……

来源:freebuf.com 2019-12-07 10:10:29 by: Akane

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论