回顾:从ISC360看互联网发展动态【下】

9月24日,亚太地区互联网安全行业的饕餮盛宴ISC2014在北京国家会议中心召开。会议历时两天,小编在受到第一天各种议题的洗礼之后,带着一颗更加好学和求知的心开始了第二天的行程。

第二天上午,同时开启了六个各有特色的论坛——国家网络空间安全战略论坛、新兴威胁研究论坛、APT防御技术论坛、Web与应用安全论坛、云与数据安全论坛和电子取证论坛。同时还举办了一个特色活动——安全狗攻防武道大赛。

图片3

图片1

图片2

图片4

小编和小伙伴去了Web与应用安全论坛的现场和云架构与存储安全论坛。在Web与应用安全谈论现场聆听了来自阿里巴巴安全专家、国内知名安全博客Freebuf创办人之一张天琪发表的题为《XML实体攻击:从内网探测到命令执行步步惊心》的演讲。他表示,利用XML漏洞进行攻击已经被发现,但是却依旧没有成熟的工具用于支持此类攻击的检测。

图片5

图片6

图片7

图片8

图片9

会议现场,张天琪详细讲解了拒绝服务、枚举目录、文件读取、内网探测、端口扫描、文件上传、命令执行等XML实体漏洞花式利用的几种姿势。同时,就XML攻击防御提供了几种思路和方法。

这是小伙伴在云架构与存储安全论坛带来的照片。

图片10

图片11

图片12

我们需要什么样的云存储呢?

图片13

图片14

在云架构与存储论坛中,有演讲者展示了OpenSSL心脏滴血漏洞的攻击流程。

图片15

之后随着安全狗攻防武道大赛的告一段落,上午的大会议程也暂时结束了。

短暂的午休过后,下午由各个安全大牛带来的议题也接踵而来。首先是我国工程院院士沈昌祥带来的《网络空间安全战略思考与启示》。

图片16

沈昌祥院士首先分享了美国对于网络安全的政策,回顾了从上世纪90年代直至目前几次重大的网络空间安全的国家战略。之后他详细介绍了美国《网络空间行动战略》的五大举措。

之后是我国工程院院士、车联网专家郭孔辉发表的题为《互联网车联网与汽车产业的变革》的演讲。

图片17

他表示,车联网技术的发展将会颠覆传统的汽车产业以及产生新的产业链,同时车联网的发展同样存在信息安全问题。移动互联网与生活的融合度越来越高,如今的企业甚至于整个产业也被它所改造。物联网、车联网必将顺势逐渐发展成为主流。他认为,车联网将会带来三个方面的改变:改变生活方式、汽车运营方式和带来汽车产业变革。

提到汽车和信息安全,小编就忍不住想起24日在现场看到的黑客破解汽车的过车,真心过瘾。

接下来是360公司副总裁谭晓生带来的《万物互联,从安全产品走向产品安全》。

图片18

图片19

谭晓生在演讲中表示,人类正在走向万物互联的后移动网际网络时代,智慧设备甚至万物皆成为骇客攻击的对象。近年来发生的安全事件层出不穷,在2014Defcon上骇客演示45分钟内破解22种硬件设备,SyScan360上骇客破解Tesla电动车,2013年数百万家用路由器被黑风波等,无不预示着未来的万物互联时代安全形势日益严峻。

然后网络信息安全专家、原国家安全网络信息安全技术研究所所长杜跃进发表了题为《网络安全务实:竞赛,靶场,演练和人才》的演讲。

图片20

图片21

图片22

图片23

图片24

杜跃进的演讲有四个关键字,竞赛、演练、靶场、人才。他坦言把这四个字放在一起是很有难度的。他在演讲中表示事实上网络安全的本质是攻防对抗,不仅要了解对手的能力、特点和动机,更要像对手那样思考。攻防对抗也随着网络空间的变化不断催生新思路,诸如:纯密码对抗、信息数据对抗、系统安全对抗,网络空间对抗等等。没有哪个安全产品是永远不会被攻破的。安全是一个博弈对抗的过程,攻击者会不断寻找防护方的弱点,防护方也会不断探索对付新攻击的手段。在这种真实的对抗中,安全保障的水平和能力才会得到不断提升。

没有哪个安全产品是永远不会被攻破的。这是小编记忆最深的一句话,只要你敢想只要你敢去尝试,真的是没有不能被攻破的安全产品。而在一守一攻的过程中,安全保障的水平和能力也就在一点点进步。

第五个演讲是FireEye前首席安全内容官、Palo Alto Networks共同创始人兼前首席科学家弓峰敏带来的《来自硅谷的创新与安全技术趋势》。

图片25

图片26

图片27

图片28

图片29

演讲中,弓峰敏博士就安全公司怎样做出有应激性的产品发表了演讲。在弓博士看来,作为一个安全厂家仅仅做出有竞争力的产品是不够的,同时还要有可持续的创新性作为后盾。企业安全产品的思路与框架要有建立在创新基础上的完善构思,同时还要做到相互分享,安全产业环环相扣,迈向“防攻盛世”指日可待。

最后是思科系统亚太区、大中华区首席信息安全官江明灶发表的《信息安全实践中的问题、困境和新方向》演讲。

图片31

图片30

江明灶和大家分享了自己多年在信息安全管理、信息安全技术方面的积累的一些经验。他表示在看待信息安全问题时,通常需要支持和资金才能做很多事情。在做信息安全的事情时,有一个相当不简单和有挑战性的问题,在安全项目做得非常好的情况下,要得到更多的投资通常是比较大胆的挑战。他认为很多网络的事情都是不安全,并表示这样的安全大会是非常重要的,可以让更多专业人士参与讨论如何对付攻击和漏洞的问题。

随着最后一个议题的结束,本次ISC2014盛宴也圆满结束。小编在这两天收获很多,也在会上遇见很多的信息安全的专业人士,并有幸同他们进行了交流。感谢ISC2014给了91RI这样一个学习的机会。祝贺大会的圆满举办!

【via@91Ri.org团队】