这几天魔都的天气骤降十几度,一秒入冬,但这似乎丝毫没有影响到从全国各地远道而来的信息安全爱好者的热情,如果你在CIS 2019的现场,必定也会被这样浓烈的氛围感染。
11月27日,CIS 2019网络安全创新大会在上海隆重开幕,也正式完成了从FIT到CIS的完美进化。本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办,除了规模进一步增大之外,在形式及主题上都有大量细节创新,从踏入入场大门的那一刻起,你就会不自觉放慢脚步尽情漫游在这个精心打造的网络安全世界。
炫目动感的说唱,把熟悉的网络安全元素揉杂其中。搞技术、写代码也并非只是枯燥,取决于你用怎样的视角、怎样的心情去看待这个世界。CIS 2019 就试图让人以不一样的体验去感受安全圈的一树一木。
开幕致辞
CIS 2019吸引了全球的精英学者、行业专家、技术专家、前沿厂商、顶级白帽共聚一堂,共探网络安全。
中共上海市委网络安全和信息化委员会办公室总工程师杨海军,中国互联网发展基金会理事长马利,国家信息技术安全研究中心党委书记万仁忠相继登台阐述了自己对网络安全世界现状、技术发展趋势的理解和愿景,正如杨海军所言:“一花独放不是春,百花齐放春满园”,一语道出网络安全行业健康发展的要诀。
在开幕致辞中,斗象科技CEO、FreeBuf联合创始人谢忱表示,网络安全本质就是一个非常追随时代变化,非常追随技术最新浪潮的很特别的一个领域,我们必须要与时俱进,追随技术,追随创新,创新驱动,才能让我们的产业变得更好。在他看来,CIS有望成为全球最棒的安全峰会,成为属于安全从业者的年度盛会。
网络空间安全战略会
CIS 2019聚焦网络安全全生态内容,由浅入深,视角从大到小,试图诠释这一整年内网络安全的变化及未来发展。首个话题聚焦到网络空间安全战略,感受来自微软、F5及平安集团行业巨头企业的精彩分享。
万物互联时代的安全实践和体会
韦青—— 微软(中国)首席技术官
在卫青的演讲中,有一句话很实在:安全是一种工具,安全并不是本身的目的。你得先知道你那个场景产生了什么变化,才能相应的产生出新的安全技术来应和场景的变化。
韦青认为,安全的话题边界极度扩展了,安全应对的方式也在剧烈变化,现在已经超越了完全靠有经验或你非常有智慧,就能够解决安全的话题,这个时代已经过去了。这个时代我们要极大依靠机器的能力,用算法、数据的能力,和全球性的合作,来应对安全新时代。
新技术在企业信息安全实践中的思考
陈建——平安集团首席信息安全官
来自平安集团的陈建分享了关于新技术在企业安全实践中的思考,在企业安全建设中,新技术的应用一般是为了解决新的问题或者原有的问题,与此同时可能也产生了新的问题和风险。
陈建认为,利用中台的方式推进新技术在安全上的应用可以更加高效,因为中台更强调共享资源的整合,而在一些新技术上的应用,更偏向于解决前端的业务场景。平安集团的安全建设中,中台分为业务、技术、数据中台。例如在业务中台更多强调,更加贴近业务的一些场景解决,这样大家各取所需,这样的价值更快,更好的交付我们的业务场景需求。
数字原生态客户 - 未来应用数字转型之旅
Mohamed Tanana——F5亚太区方案架构总监
Mohamed Tanana分别阐述了安全性方面遇到的挑战、私有云和公有云问题以及企业安全内部对于云安全的要求。一般来说,企业实现数字化转型可以获得较高的投资回报比。
不过对于不同的企业来说,数字化转型的过程可能并不是那么顺利,遇到的问题也不大一样。Mohamed Tanana举例出三个:
1.应用迁移到新的环境中的能力会受到限制,每次遇到新的场景,APP往往不能够敏捷的在平台之间进行转移;
2.安全合规性问题;
3.不同的云之间,工具在扩张,因此运营的复杂性和成本不断上升。
此外,很多跨国企业基本都会遇到的是,不是技术上的问题,而是因为国家或者地区的限制,面临不同文化和政策的限制,无法畅通的实现本地化发展。
企业安全创新分享
不论是政策驱动还是安全形势的要求,越来越多的企业开始重视企业安全建设,这也对企业安全管理者提出了更高的要求。直接照搬其他企业的安全建设经验不能解燃眉之急,最理想的是根据企业资产、成本等条件选择最合适的解决方案,创新精神必不可少。
Fortinet云安全的自动化
张略——Fortinet中国技术总监
张略基于Fortinet的实践经验,分享了以云为基础怎样实现自动化,如何合理应用自动化的技术。Fortinet认为所有的自动化跟云原生的集成密不可分。
在这基础之上,要符合混合云当中的攻击平面,来自于网络攻击、来自于文件病毒的、来自于爬虫或者薅羊毛,来自于外网的扫描或者未知威胁的攻击,以勒索病毒为代表的攻击。再往上一层希望做到自动化的运维、自动化的响应,然后能够帮助企业在整个公有云当中实现。
外企如何满足中国安全合规要求
Puneet KUKREJA 德勤网络和数字风险业务首席战略官
正如之前Mohamed Tanana在演讲中提到的,跨国企业可能会遇到异域文化和政策的挑战。Puneet KUKREJA在自己的分享中就阐述了跨国企业在网络安全法律方面所面临的挑战,并给出了可供实际参考的建议。
以国内的《网络安全法》,在德勤的参考模型中,可以帮助企业了解组织适用的方案是什么。当CEO、CIO,跟他们讲如何通过在这些领域当中的投资,减少相应的合规风险。而在风险评估流程中,Puneet Kukreja着重强调了关于第三方的评估,因为在有些情况下,第三方提供了核心的安全策略,业务组成不可忽视。
F5融合Nginx,,开启数字原生态之路
吴静涛——某著名开源Web服务器软件大中华区技术总监
NGINX是目前全球跟全中国最大的Web服务开源厂商,它大概有4亿个网站的Web服务都采用了它的服务。而目前F5已经收购了NGINX,但吴静涛确切表明:NGINX依然会保持开源这条路走下去。
目前F5可以有全套的解决方案,对API的服务进行特别的防护,这是未来NGINX Controller平台可以带来新的防护方法。F5又提供加减密的服务,证书的服务,从代码到客户的全过程我们都能进行新的防护体系。
前沿创新技术对话
随着《网络安全法》的出台,还有法律法规不断陆续落地,在大数据、AI等新技术的支持下,企业安全在未来也进入一个合规保护的新阶段。在这个背景下,如何实现网络安全管理和网络安全技术的有效结合,同时提升企业网络安全工作的效能,打造以安全合规为企业信息安全防护体系框架,成为了多数企业不断探索的问题。
新形势下的企业安全体系建设实践
胡珀——腾讯安全平台部总监
胡珀主要从蓝军的角度去做分享,在他看来,红蓝对抗是渗透测试的升级版,渗透测试是一个比较老的概念,就是模拟黑客进行攻击,发现问题。红蓝对抗包含了渗透测试,同时检验防御体系,红蓝对抗是检验整个防御体系的有效性。
在腾讯安全体系内,不仅组建了内部蓝军团队,还邀请了外部的白帽子作为蓝军,因为从白帽子的视角去发现问题的角度跟内部人员是不一样的,这样往往能够实现意想不到的效果。
全程带阻:网络攻防演练的现实意义
孙维伯——斗象科技北京技术总监
孙维伯认为,渗透测试和攻防演练有一个非常大的区别,渗透测试解决黑客从哪里进来的问题,而攻防演练带来的更多的是对整个安全体系的连接检验。当你左右互搏分析更多的安全演练,分析安全点,这是真正的攻防演练带给你的受益。
新一代真正的攻防演练应该具备四个象限,比如持续、安全的分析阶段,会持续的跟踪分析,而不是我做了一次渗透,或做了一次攻防演练就失效了。真正的红蓝对抗是通过持续不间断的对你的业务系统、漏洞、环境等等做安全的分析,同时包括人员的社工等等都是不间断的,通过这些持续的验证产品,包括防护手段、运营策略的有效性,通过分析和验证,得到有效的分析系统的差距。
基于图数据的云上Bot团伙深度感知
郭伟博——阿里云智能高级安全工程师
在长期的与黑客和黑产等对抗中,阿里云积累了非常多的经验,检测、防御、应急响应等。随着安全对抗的升级,需要引入一些新的技术手段或者思维方式来提升安全对抗水平。郭伟博基于这些实践经验,在本次大会上作了详细分享。
Hack Demo:我有一把钥匙,能开“任意”门
刘继顺——公安部第三研究所网络安全专家
舒首衡——上海嘉韦思信息技术有限公司总经理
在万众期待的Hack Demo环节,这次以一个特别的小剧场形式展开,嘉宾意外被困小黑屋,被白帽子迅速破解掉智能门锁成功解救。在成功获救之后,现场面对面探讨了智能门锁的安全性问题,想必这也是大多数人会关注的点。
跟智能门锁相关的漏洞挺多的,因为智能门锁里面用到大量的WiFi、NB等等模块都可能存在通讯漏洞。刘继顺提醒称,如果漏洞一旦被一些不法分子发现,或者是进一步的利用,就会引起非常严重的后果。所以我们要充分的重视这些信息安全问题。他还透露智能门锁网络安全的重点标准已经在制定中,这将大大规范智能门锁行业安全发展,降低用户使用风险。
相比之下,舒首衡在对待智能门锁的问题上似乎更加乐观,他建议大家用智能门锁,因为太方便了。而且现在的智能门锁做得很美观、漂亮,家门口的入口,作为门面特别有档次。第二,智能门锁的安全问题既给我们带来了挑战,同时也是安全从业者的一个机会。因为做安全的,有必要做到天下无贼,让门锁安全。
Wit Awards 2019
作为每年网络安全创新大会的重磅项目,WIT 2019依然在继续,评选旨在以最专业的角度和最公正的态度,发掘优秀行业案例,树立年度标杆。本届WIT 2019获奖详情如下:
年度创新产品——悬镜安全 悬镜灵脉AI渗透测试平台
年度技术变革——阿里云 阿里云WAF AI内核
年度优秀网络安全解决方案——京东云 云端数据全生命周期安全解决方案
年度最佳开源项目——陌陌安全 Aswan风控静态规则引擎
年度最受欢迎安全雇主——北京字节跳动科技有限公司
明日精彩继续
CIS 2019首日下午同时进行的还有CSO高峰论坛闭门会、Hack Lab、物联网&工业互联网安全专场同时进行,Hack Lab更是被围观的水泄不通。明天还有更多精彩分论坛陆续举行,热情继续~
CIS 2019大会PPT合辑
链接: https://pan.baidu.com/s/1DDvHRwkGTyM2MnllucqCzw
提取码: n6aq