乌云白帽大会在北京富力万丽酒店正式拉开序幕,汇集了业界诸多为颇负盛名的白帽黑客,就企业安全层面的关注点进行了交流。
“通往自由的路,每一步都在突破束缚。”一夜暴雨过后的北京城,并没有阻止白帽黑客们的脚步。7月17日,乌云白帽大会在北京富力万丽酒店正式拉开序幕。
座无虚席的会场足以彰显出网络安全爱好者及白帽子们对此次盛会的重视程度。今天作为大会第一天,专业场的演讲汇集了业界诸多为颇负盛名的白帽黑客,就企业安全层面的关注点进行了交流。下面就让我们来看一下,白帽黑客们在今天的乌云大会上都为我们带来了哪些干货。
从0到1的企业安全之路
对于企业的安全部门而言,从无到有、从最初的组建到组织架构趋于完善,这期间所要经历的并非我们想象中那般容易。去哪儿网安全总监郭添森结合数年只经验,从阶段建设、建立团队安全威信、不断加大安全投入等方面分享了心得。对于当下正受到前所未有重视的企业安全部门来说,这一经验之路无疑将有着重要的启示作用。
什么是应对DDoS最好的方法?报警!
互联网时代,连警察叔叔也玩起了幽默。一上台就戏称今天特意没有穿警服以免被认为是“抄水表”的江苏省公安厅网安总队科长童瀛一出场就引得全场阵阵欢笑。同样在这样幽默的氛围中,童瀛结合近两年来的实际案例分析了DDoS近年来发展的趋势、攻击手段等。
目前看来,50%在线游戏公司、70%商业公司、80%政府机构都遭受过DDoS攻击。而UDP和SYM攻击仍旧是其主要的攻击方式,主要攻击类型为NTP-FLOOD/SYN-FLOOD/UDP-FLOOD. 而与此同时,智能设备已逐渐成为了DDoS攻击的工具。
而随着攻击的演进,童瀛指出DDoS攻击已不仅仅只是关乎技术的一件事情,从最初的炫耀技能,到黑吃黑、统一市场、再到如今的攻击全面蔓延,DDOS攻击的形势已不容小觑。然而,不少企业面临成本、意识等诸多方面的瓶颈问题。究竟在遭遇DDOS攻击后我们该如何做?童瀛给出的答案是:报警。当然,除此之外,对企业而言,建立健全有效的安全机制,主动回避恶意网站、从意识层面加强对安全的重视仍是需要普及的基础之力。
无一幸免的安卓加壳保护
从单纯的理论上来说,没有什么是可以不被攻破的。对于当前人们依然离不开的智能手机而言,占据大部分市场份额的安卓系统也是如此。来自乌云白帽子GoSSIP_SJTU的“Android 应用程序通用自动脱壳方法研究”分享告诉我们一个冰冷的事实:Android加壳防护解决方案从无到有到发展至今已至非常高级的阶段,但尽管如此,仍旧不能逃脱被攻破的命运。
听到这里,大家想必已经心有戚戚焉了,因为无论怎样,终归还是不够安全。既然如此,是不是移动安全的从业者们只有哭晕在厕所了?安全从来都是攻与防的较量,作为白帽子,当然也应时时从真正的黑客角度去考虑问题,正所谓“未知攻焉知防”。当然,在现实的环境中,考虑到攻击成本、性价比等一系列问题,并不是说所有的企业所有的系统都会必然遭受攻击,但无论如何,知道我们始终处于威胁之中,提醒自己警钟长鸣终归不是件坏事。
解析 P2P 金融安全
P2P是当下火的不能再火的热词,全民的参与更是到了妇孺皆知的程度。那么,作为新兴的互联网金融形式之一,P2P互联网金融的安全同样值得我们思考。万达电商安全主任工程师 林鹏清晰地指出互联网金融的风险即等于互联网风险+金融风险。Github、集团/边界、DDOS是发动互联网金融领域攻击的入口。而互联网金融安全漏洞、业务设计缺陷,作为一个新兴行业账号的密码重置等都是互联网金融安全的沦陷地。
当然,林鹏也给出了对应办法:从业务角度防套利、减少受益提高收益门槛、人工识别、机器识别、大数据应用等手段都可以成为应对P2P互联网金融安全的有效手段。
绕不开的WAF
随着攻击演变的逐渐深入,在应用层的防护中,WAF(Wed应用防火墙)的作用是不言而喻的。乌云白帽子:MayIKissYou 与腾讯安全架构师 张海清则从攻击与防御的不同角度谈了谈Web安全的那些事儿。
还是那句老话,从攻击的角度而言,没有什么是不能被攻破的。特别是对安全设备而言,性能与安全的兼得一直是叫人纠结的问题。对WAF而言,产品的设计不管多么完美,,在实际的使用环境中却不见得也会完美。例如,厂商为了保持WAF运行时的良好性能,在出厂设置中默认检测流的大小,当流的大小高于这个长度时候就默认不在检测。有时候,绕过WAF的检测就这样悄悄的发生了。
那么,对于Web安全防护而言,开发、测试、上线等一系列环节中,必要的技术培训以及周期性的安全扫描便成为保障安全的重要手段。当然,这需要实时确保扫描程序架构、对更新规则、人物调度系统等的实时更新。而这其中最重要的,却还是最初的系统研发,好的安全保障并不能依赖于后期的运维运营,而从伊始便打下良好的基础才是王道。
当然,白帽大会必然少不了真枪实战的演练。在下午最后的议题中,乌云白帽子:boooooom和Piaca现场演示了“如何从外围进入各大公司内网”以及“企业应急响应与反渗透”之真实案例分析。至此,乌云白帽大会第一天议程全部结束。不得不说,这的确是一场在理论与实践、有攻亦有防的白帽黑客们的盛会。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
