ISC 2014中国互联网安全大会全纪实

2014年9月24日至25日,亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC 2014)在北京国家会议中心召开。FreeBuf作为官方独家战略合作媒体参与了本届盛会。

写在前面

犹记得去年的ISC,历时三日、以1.2万人次的规格与规模轰动一时。而今年的ISC配置进一步升级:除保留移动安全、Web安全、企业安全、云 与数据、APT等热门安全议题外,还加入了诸如工控安全、车联网安全、安全立法等热点,共设置12个论坛,以及攻防挑战赛、安全训练营、车联网系统破解赛 等新项目。

本届ISC峰会有超过2万人次参会,100+场国内外安全专家的演讲和活动,会议现场布置也相当豪华,小编在此不得不佩服360在ISC会议上的投入。

现场速写

今年ISC以如此规模和参与人数,现场秩序良好,工作人员也很贴心,看来主办方在会议计划和安排上做了功课。

巨型擎天柱画像——你好,我的守护者伙伴

小编在看到了题版上看到了FreeBuf,心中有点小激动呢……

主会场宛若天河

议题HighLight

互联网监管与基础设施安全

汤姆·里奇(Tom Ridge)- 美国首任国土安全部部长

这位前美国高官表示当今的网络面临很多挑战,攻击者对个人与国家都产生了巨大威胁,而攻击范围也每天都在扩大。网络攻击已经逐渐成为全球性的威胁与挑战。“世界上只有两种公司,一种是知道自己遇到了网络攻击的,另一种是遇到了攻击但还不知道的”

IoT时代的大数据安全

周鸿祎 – 360公司董事长兼CEO

Internet of Things(IOT)时代之后,人类正在进入Internet of Everything(IoE)。所有企业都会成为互联网企业;所有设备都会成为互联网设备。未来没有一个设备是单独存在的,而是必须与环境、与周围设 备、与云连接在一起。这将暴露出更多的潜在攻击点以及更多漏洞机会。因此互联网安全已进入Security of Things(SoT)时代,大数据安全、云端安全、隐私安全和实体世界安全成为重中之重。

万物互联,从安全产品走向产品安全

谭晓生 – 360公司副总裁

人类正在走向万物互联的后移动网际网络时代,智慧设备甚至万物皆成为骇客攻击的对象。近年来发生的安全事件层出不穷,在2014Defcon上骇 客演示45分钟内破解22种硬件设备,SyScan360上骇客破解Tesla电动车,2013年数百万家用路由器被黑风波等,无不预示着未来的万物互联 时代安全形势日益严峻。智能硬件的制造企业需要做的是要把产品纳入到设计和管理的流程里面。

走出AV引擎密集作业_小分队如何研发云端移动威胁信誉系统

严威 – VisualThreat公司 CEO

“你只知道你的引擎已经启动了,但是你不知道我已经控制了你的引擎。”在互联网时代看似毫不相关的两件事物都可以具备关联性,病毒与家族关联起来助力拦截恶意行为或成为有效手段。汽车将成为病毒的新攻击目标。

产业变革下的大市场、大机遇

杨策 – 东软集团网络安全事业部高级产品经理

杨策开场介绍了中国十二五计划,再谈斯诺登事件对中国信息安全的影响,包括近期愈演愈烈的去IOE和国产化,这些变化的同时给云和安全产业带来了机遇。

阿里弹性计算云的安全实践

云舒 – 阿里巴巴集团安全部高级安全专家

独立的云安全公司都“不太靠谱”,他们的安全防御大多单一的依靠如waf或hids,这种方式的防护只能做到“薄薄的一层”。

控系统中安全产品的应用  

徐金伟 – 研究员

当前工控系统面临软硬件故障、自然灾害、电力攻击、恶意代码、外力破坏、黑客攻击六种安全隐患,并列举了历史上曾发生的造成严重后果的工控安全案 例,例如早在2001年在澳大利亚昆士兰,一名被解雇的工程师通过无线网络侵入水厂控制系统,造成水处理厂发生46次控制设备功能异常事件,导致数百万公 升污水进入地区供水系统等事件。我国工控系统软硬件、管理环节存在信息安全隐患风险,应用于工控系统的安全防护产品也不够健全。

网络安全立法研究

孙佑海 – 最高人民法院研究室主任、中国应用法学研究所所长

我国面临的信息安全形势严峻,数据泄密,网络谣言都将纳入审查和立法范畴。

像攻击者一样思考

Philippe Alcoy – Rapid7亚洲区技术总监

防御者不能只看眼前的,而是要像一个攻击者来考虑自己企业的安全性,这样才能更好的防御,Philippe举了几个例子,都是通过分析攻击者痕迹从而对企业网络弱点进行逆向思维修复。

数据分析、关键词和地下产业  

董方 – 360网站卫士总监

安全数据分析虽然很多种方法,但千万不要小看关键词,比如在webshell检测中,css样式,js等特征都可以成为特性关键词。董方还分享了 一些数据:每周,360网站卫士检测出300万次php后门打出的ddos攻击。截止今年9月发现896个后门样本,3000多个网站存在后门。值得一提 的是,高达90%的dedecms应用存在ddos后门,很多后门藏的非常之深。

XML实体攻击:从内网探测到命令执行步步惊心

张天琪 – FreeBuf黑客与极客联合创始人

详细讲解了拒绝服务、枚举目录、文件读取、内网探测、端口扫描、文件上传、命令执行等XML实体漏洞花式利用的几种方法。同时,就XML攻击防御提供了思路和方法,但张天琪同时表示,针对XML实体攻击的检测,目前依旧没有成熟的工具。

注:由于ISC分会场太多,小编分身乏术,未提到的精彩议题还请见谅

展台与活动

相比去年ISC的展台布置在会场外围导致的空间问题,今年主办方特意留出一个大型区域作为商业展台及活动中心

活动区域举行的攻防大赛

期待许久的特斯拉破解现场。不过让小编略有失望的是,现场只是播放了视频并由工程师作解说,没有特斯拉实车。

视频中演示的主要项目有:特斯拉手机APP远程控制汽车系统(包括开车门车窗、后备箱等),还有利用无线射频数据重放进行汽车的无钥匙启动。大多是不涉及底层的破解,没有看到对特斯拉汽车进行拆解。

浙大的这位同学成功破解售货机,获得纯净水一瓶……

FreeBuf保留栏目:ISC美女花絮

结语

ISC 2014大会主题为“互联世界,安全第一”,聚焦在互联网时代、大数据背景下的信息安全所面临的全新挑战和问题,峰会深入探讨了智慧城市、互联网金融、数字医疗、可穿戴计算等业界关心的问题。

本届ISC参会人数之多,议题和主题分会场之丰富,涉及领域前瞻性之远,现场黑客比赛与活动之热烈,依然超越以往。 虽然FreeBuf认为ISC在议题质量上也许可以把控的更好,但相信这并不妨碍ISC中国互联网安全大会可被称为至今为止“国内最为盛大的安全峰会”。

ISC,我们明年见!8