INSEC WORLD精彩回顾:一场为中国定制的“黑帽大会”

上周,一场立足成都、面向世界的信息安全大会——INSEC WORLD圆满落幕。这场汇聚了数名国际级产学研专家、多个知名安全企业,并获得成都市政府及全国多个行业联盟支持的大会,现场吸引了逾2000名专业观众。

首届INSEC WORLD成都·世界信息安全大会,被业内誉为“专为中国信息安全行业定制的黑帽大会”。

熟悉这个行业的人都知道,世界最顶级的信息安全大会如DEF CON,Black Hat等,多年来都只在国外举办。由于距离和语言的障碍,中国的安全技术爱好者和信息安全企业想要参与,还是有一定的困难。

其实,在多年的发展中,中国信息安全技术在世界已位居前列。在全球Top100白帽子榜单中,有不少是来自中国的安全技术人员。可以说,中国是全球信息安全行业发展过程中一个不可或缺的角色。当然,顶级的信息安全大会就不能错过中国这一站。

此次INSEC WORLD大会正是出于这样的考虑,由全球领先的展会主办机构Informa Markets(英富曼集团)在中国首次推出。

英富曼集团是Black Hat,IoT World这类高端活动的主办方,同时旗下还有多个与网络信息安全有关的展会、媒体和智库,如:Dark Reading, Information Week, Interop, Cloud Connect, Network Computing,Ovum等。

恰逢成都正在建设“中国网络信息安全之城”,目标在2022年将成都打造成为西部领先、国内一流的网络信息安全产业高地,因而在成都市政府的大力支持下,INSEC WORLD大会得以顺利落地成都。

那么,作为首届中国版的“黑帽大会”,到底有哪些精彩之处呢?科技云报道作为INSEC WORLD大会核心合作媒体,现场采访多家企业及演讲嘉宾,本文将带大家一起回顾会议现场。

大师云集

上演中国版“黑帽大会”

Insec World大会由主论坛、分论坛、技术展示、科技孵化与专题培训等多种形式组成, 聚焦安全技术、管理与应用,内容包含端点安全、应用安全、数据安全、云安全、移动安全等,同时覆盖金融科技、5G网络、政府安防、安全人才管理与培训等热点话题。

事实上,这些丰富的议题并非闭门造车,而是着眼于当下中国在安全和管理方面的迫切需求,结合前沿的安全技术实践,希望通过富于实际的议题分享和交流,给予中国安全人员及开发者更多的启发。

为了实现这个目标,将INSEC WORLD这一高端会议成功落地中国,英富曼为此注入了大量心血。

首先,遵循Black Hat等设立专家顾问团的成功模式,由中国工程院院士、国家科技进步一等奖获得者方滨兴领衔、30多位国内外产学研专家组成的顾问团,为本次大会量身打造适合中国的大会议程。

通过专家顾问团审议大会议程框架、议题征集投稿,以及推荐演讲嘉宾等方式,保证大会的高品质。除此之外,专家成员还依据各自擅长的细分领域,担任出品人,为本届大会严选分论坛议题及讲者。

例如,奇安信集团首席安全官兼网络安全部总经理聂君出任“CSO论坛”,安恒信息首席安全官、高级副总裁刘志乐出任“应急响应/安全运营论坛”,中国网络空间安全人才教育联盟秘书长鲁辉出任“人才培养论坛”,全球黑帽大会Blackhat&黑客大会DEFCON技术演讲者、独角兽(Unicorn Team)安全团队创始人杨卿出任“安全创新论坛”出品人。

其次,大会云集了多位国际、国内信息安全界大师级人物,例如:2015年图灵奖获得者、美国国家工程学院院士、斯坦福大学名誉教授Martin Hellman先生;Lower Colorado River Authority原首席安全与风险官Tim Virtue;Palo Alto Networks亚太区首席安全官Kevin O’Leary等。

在主论坛的演讲中,Martin Hellman教授带来了“公钥密码对信息安全的重要性”的演讲;奇安信集团总裁吴云坤分享了“新技术环境下的‘内生安全’能力构建”;LCRA原首席安全与风险官Tim Virtue从甲方的角度阐述“从0到1”的转型路线图”,让现场观众一睹行业大咖的风采。

奇安信集团总裁吴云坤发表主题演讲

此外,大会展出规模达6,000平米,深信服、奇安信、360网络安全大学、微步在线、无糖信息等多家知名信息安全企业参与了展示,来自金融、医疗、交通、政府、防务、通信及更为广泛的行业企业客户,得以与这些安全企业面对面的交流行业解决方案,将安全需求进一步落到实处。

前沿技术与行业实践并重

漏洞攻防备受关注

在主论坛的演讲外,大会还设置了6个纵横相结合的主题分论坛:漏洞攻防论坛、数据安全及云安全论坛、CSO论坛、应急响应/安全运营论坛、人才培养论坛、安全创新论坛。

可以看到,这些论坛议题关注的是企业CSO在信息安全工作的前沿需求,充分挖掘了企业CSO在各安全工作方面的痛点,比如安全运营、数据安全、人才培养等,同时也通过漏洞攻防、安全创新等主题交流,让安全技术爱好者们在现场聆听了全球最前沿的技术干货。

作为其中最为热门的分论坛,漏洞攻防论坛现场连后排都站满了观众。来自ICONIQ汽车、西澳大学、华为、腾讯安全、Citrix等行业专家,带来了汽车安全、机器学习、工控安全、漏洞挖掘等安全相关话题,现场分享了来自行业一线的安全观点以及最前沿的技术方法。

ICONIQ汽车安全和研发高级主管Craig Smith在安全领域工作已经二十多年了,专攻汽车安全领域。

他认为安全能够为车企品牌增加溢价,保护消费者免受恶意攻击是车企需要重点提升的安全部分,其中有很多问题值得深思,比如:如何在不召回车的情况下升级软硬件,修补漏洞?如何让用户在合法改装的情况下,依然保护用户的汽车安全?如何在GDPR等安全法规的要求下,对汽车日志数据进行分析以保证安全?Craig Smith以案例分享的方式给现场观众以启发。

西澳大学网络与安全实践中心主任David Glance分享了机器学习的攻击和防御。他指出,在机器学习兴起的当下,基于机器学习的攻击也可能同步出现。以图像识别为例,攻击者仅仅改变一个图像的像素,就可能对结果造成非常严重的误差。

因此,他提出了SEYS混合威胁模型建模的应对方法,通过机器学习建模识别潜在的威胁参与者,包括攻击目标、攻击目的、攻击行为、攻击技能等,最终计算出存在的漏洞、威胁和存在的风险,但前提是有多样化的现实场景,此研究才能够持续有所进展。

来自工业制造知名企业,同时是破晓安全团队核心成员、工控安全红队创始人的剑思庭,带来了关于工控安全渗透和防御的演讲。作为一个十几年的工控老兵,剑思庭指出,工业互联网打破了所有的信息孤岛,曾经封闭的工控系统,如今就像仓库门全部打开一样暴露在外,安全风险极高。

破晓安全团队核心成员、工控安全红队创始人剑思庭

但是工业控制系统很复杂,具备特殊的行业性,只懂安全技术不懂行业很难做好工控安全。剑思庭以占据了中国50%份额的工业通信协议Modbus为例,介绍了Modbus的脆弱性及应对方法。

除了以上几位演讲嘉宾结合行业实践的分享,漏洞攻防技术及案例分享也吸引了很多年轻的技术爱好者。

北京华为研究所的章张锴博士介绍了ARM平台上一个非常强大的Super Root技术。与传统的Root攻击相比,Super Root技术有两大优势:一是更高的权限,二是极难被察觉,一旦攻击发起,用户无法跳出攻击者的设计。

张锴博士的研究,让大家看到技术是把双刃剑,越早对Super Root进行研究,就越能够与之对抗。

腾讯安全玄武实验室的高级安全研究员刘科,同时是圈内非常有名的白帽子,他在现场分享了三个漏洞案例,包括Adobe Reader字符串漏洞,西博城天府杯使用的信息泄露漏洞,以及今年10月最新修复的远程代码执行漏洞。

通过对漏洞攻击的详细剖析,刘科总结出三点经验教训:尽量在设计之初把问题解决掉;对遗留的不合理设计做修改;对安全人员进行开发意识培训。

来自Citrix的高级安全工程师Samit Anwer,曾经揭露了谷歌云打印、IE、Windows等系统的安全漏洞。他在现场分享了OAuth的多种适用场景,以及面对攻击的各种解决方案。

产学研结合

不可忽视的新生力量

除了多个论坛与技术展示,此次Insec World大会还有一点与众不同:在众多的企业展位中,出现了广州大学、北京航天航空大学、南开大学等国内知名高校的展示。

事实上,Insec World大会特意增加了安全意识及安全人才培养的相关内容。这是因为网络安全行业蓄势待发,企业对网络安全人才需求的规模已经大幅增长,人才供应愈来愈“紧俏”。

据数据显示,当前网络空间安全人才数量缺口高达70万,预计到2020年将超过140万。如何培养和挖掘网络安全人才,成了许多头部企业乃至行业的“必修课”。

因此,大会分论坛拟定了关于网络安全人才培养模式、人才培养经验分享、人才流动数据分析等内容,还重磅推出“蓉安系列计划”,邀请更多企业、单位和人群免费参与到大会中,进一步了解信息安全的重要性和必要性,增强信息安全意识。

此外,大会还安排了为期两日的2门高阶培训课程,包括国内领先的灯塔实验室的“工控安全课程”,国内首创的“安全意识官培训(Security Awareness Officer)”,帮助参会者进一步提升专业技能。

这正是主办方为服务与回应产业需求,发挥独立第三方平台对于信息安全能力建设的促进作用。

在成都市委网信办、成都市经信局、科技局、博览局、天府新区成都管委会、成都高新区管委会等的大力支持,及中国网络空间安全人才教育联盟、成都市软件行业协会、四川省大数据产业联合会等行业协会的大力协助下,Insec World营造出政产学研合作创新氛围,为成都信息安全发展写下浓墨重彩的一笔。

【科技云报道原创】

微信公众账号:科技云报道


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-10-31
INSEC WORLD精彩回顾:一场为中国定制的“黑帽大会”
科技云报道原创。 上周,一场立足成都、面向世界的信息安全大会——INSEC WORLD圆满落幕。这场汇聚了数名国际级产学研专家、多个知名安全企业,并获得成都市政府及全国多个行业联盟支持的大会,现场吸引

长按扫码 阅读全文

Baidu
map