北向峰会——一场极致北人的前行与探险

  作为一场具有高规格品质的安全圈闭门会议,北向峰会在2016年冬至迎来了第二届。相比第一届,今年的北向峰会对网络安全圈有了更加细致、直观的划分:北人、南人、甲人、乙人、丙人、金人、山人、海人、学人、创者,所有的一切,成为北行峰会的链接理想。

  在会议议题上,今年的北向峰会也围绕“意愿·愿意”、“现实·实现”、“能力·力能”的主题,分为 北极论坛、都江堰论坛、山海关论坛 和 文森论坛。

  北 极 论 坛

  听懂彼此 共生共荣——郝叶力 潘柱廷

  三视角 三级层——网络安全问题已成为全球性挑战,“网络主权”问题成为争论焦点。网络主权与互联网精神、人权、多利益攸关方治理之间的矛盾争论日益激烈。这三方面矛盾代表了国家与国际、国民/网民三大行为体之间的矛盾,揭示了网络空间的发展与安全、自由与秩序、开放与包容之间的关系,形成了从二元走向三视角的框架。在三视角下的网络主权特征也被划分为物理层、应用层、核心层三层,呈现出排他性、严谨性、让渡性的特征。

  在三视角下看网络主权的对立与统一,可概括为:在全球化向深度发展的网络时代,网络主权具备可分性,即核心层具有不可侵犯的排他性,物理层、应用层具有开放共享的让渡性。既不允许滥用互联网的联通性挑战主权国家的核心利益,也不能以传统主权的排他性动摇全球一网的基础平台。

  同心多圆——在三视角共生、 三级层诉求的理论基础上,将二元对立,链接成三角共生。抓住关键的三支柱,构建稳健的共生关系,在相对稳定中谋求秩序和发展。在治理和博弈中,构建同心圆,用凝聚的共识形成稳定的向心力。听懂彼此 ,共荣共生。

  数字化时代的安全生态构建——马斌(腾讯)

  从时间、空间维度看社会——未来已来时的你与世界如何转换?未来的互联网必然是将人的物化和物的人化联系起来,规则全部都在重建。信息网络时代,我们面对的是天联-云端网、物联-物联网、地联-万维网 的三维世界。

  安全目前在很大程度上都在技术层面讨论,而我们需要意识到:安全在很大一部分上却涉及心理层面。这需要靠整个社会的信仰和价值观来完成,技术和精神都是不可或缺的。互联网与现实世界融合的红利在于:趋势、连接、数据。而安全行业的红利是底层基础,安全行业红利期即将到来。利用技术手段、全民意识手段,打造天下无贼的社会,打造安全的社会,才是我们每个人与企业的最终目标。

  都 江 堰 论 坛

  在两千多年的时间里,都江堰作为一个伟大的水利工程带给我们足够的震撼。因地制宜、因势利导成为都江堰带给我们的重要启发。对于安全产业而言,如何有一个系统的机制、架构来指导产业的发展?都江堰论坛之名,由此而来。

  企业安全之叠加演进——吴云坤(360企业安全)

  传统安全与下一代安全之博弈日渐激烈,传统安全将死之声日渐兴起。威胁情报成为安全圈的热门话题。

  通过海莲花APT攻击报告的背后来看威胁情报,一个形象的比喻:面包与黄油——我们经常把生产出来的威胁情报叫做黄油,而如何有效运用它?就要用到面包,情报的消费属于积极防御的范畴。安全基础设施-大数据平台-检测与响应-威胁情报,各个步骤缺一不可。被动防御向积极防御的演进强调分析人员对处于所防御网络内的威胁进行监控、响应、学习和应用知识的过程。防御体系的叠加演进,促成了传统安全产品的改造与升级,也带来了更多用于分析人员使用工具、平台的新机会。

  叠加演进下的客户与厂商,架构安全仍旧没有受到太多重视。对于客户而言,既要突破被动防御体系,拥抱新理念新技术,也要调理先天不足。对厂商而言,帮助客户梳理叠加演进下的安全规划、寻找生态中的伙伴、协同完成叠加演进,从做一个好的面包开始。

  从传统产品转型MSSP服务的思考和实践——刘志乐(安恒信息)

  后互联网时代,攻击进化,风险加剧。传统的安全防护手段已无法应对。信息安全的重要性被逐渐认同,安全防御由被动向主动发展。传统安全厂商面临盈利模式之痛、产品迭代之痛、用户体验之痛、新技术挑战之痛等困境。信息安全防护需要创新,防护思想需要从“策略驱动”向“大数据驱动”转变、从应急响应式的被动防御向持续监控预警的主动防护转变、从提供“安全产品”向提供“安全服务”和“安全运营”转变。MSSP,就是由安全托管服务提供商为企业提供一站式安全运营服务。

  新技术企业成长之道——姜强(国舜)

  企业初创期的关键点:梦想和机会导致了企业的起源,单一产品技术领先优势、某些客户资源、地理位置的垄断优势、创业激情成就了企业的初期成长。

  成长期关键点:重新定位目标市场和产品;培育、识别、任用人才;利益分配与精神统一;快速迭代研发能力。

  国舜分享了其助推成长拓展经营的阿米巴式合伙制:倒三角关系把企业内部的关系由原来的单纯性行政机制即纵向依靠自上而下的计划安排和行政指令、下级只服从上级,横向依靠会议调度和命令协调,转变成围绕客户价值共同协同的团队关系、服务关系和契约关系。多层级合伙人机制与独立创业相比,优势巨大。

  困难期的腾飞策略:波动期和衰退期统一称为困难期。核心就是要改进机制、提升公司生命力、竞争力,阿米巴模式正是这样一种动力。应对策略:全员营销、全力投入新产品研发、积极提升员工工时率、减低成本。

  凤凰涅槃 浴火重生

  威胁检测的自主创新和研究的思考——肖新光(安天)

  检测引擎:创新的起点和道路选择的问题。安天并非专注于反病毒引擎,而是这根苗最终成长为一棵树。2000年,安天认为反病毒是一个前无古人后有来者的领域,如同喜马拉雅山的北坡。安天选择了技术难度最大的通路,面对巨大的威胁,必须有所取舍,选择专攻windows特洛伊木马。在创业过程中,在选择技术解决方案的时候,我们往往是个追赶者,当出现成为先行者机会的时候,就要抓住机会迎头赶上。

  流量监测:创新的场景和约束性问题。流量监测过程中最艰难的是2002年,传统反病毒引擎模式很难适应网络高速监测的场景,困境中安天寻找到新的方法。

  复盘震网:创新的起点和道路选择问题。APT分析——一个特殊的轨迹。海莲花、方程式、美人鱼行动……一系列APT威胁报告,在经历最初的短暂下架、阉割遭遇,历经博弈之后,我们迎来了努力的结果。回头看,这些报告揭露了APT时代传统分析工程师的困境,而我们的分析成果第一时间转发为防御能力了么?披露的威胁收敛了么?由此我们提出能力型厂商要成果互认。

  四大开源“毁了”安全产业:防火墙、入侵检测、扫描器、VPN。而直到今天,网络安全厂商愿意自主研发迎难而上的意志力并不是很坚强。中国网络安全厂商市场规模与国外厂商相差甚远。而这样的产业环境并不利于产业的健康发展,自主创新会注定面对众多寄生虫吸血的过程。

  寻找基础能力的新价值,是我们创新的动力和本源,安全的关键是满足安全需求。

  山 海 关 论 坛

  从现实到实现,山海关论坛更注重“实现”。威胁情报、态势感知,这两个关键词势必会成为2017年网络安全界的最热领域。

  百年老店的安全架构的演进——郑磊(IBM)

  IBM安全始于1976年。2000年,IBM才开始采用开放式的细谈全框架;2006nian ,IBM 收购 ISS,2008年,迈出SOC第一步。2011年,IBM 收购Q1 Labs,可以看做是在广义的集中安全管理领域的又一次大动作。

  如今,安全链已经包含防御、监测、响应等环节,随着安全的演进,云环境中的安全如何监控?IBM的安全框架也在不断发生变化和演进。

  2015年,IBM 提出构建安全的系统;2016年,IBM 认为安全包括端点、网络、情报、高级安全分析,从而推出最广度和最深度的安全体系。

  下一代安全,IBM 将用认知技术助力安全的发展,IBM 还提出了白帽子测试服务,IBM 也将与业界众多的厂商进行协作,加强联动的能力。

  云·重塑安全体系——邬怡(阿里)

  在旧时代,网络的物理边界明确、流量可见性高、工作负载稳定、业务上线周期长。而随着云代的降临,物理边界逐渐不可见,云环境下70%-80%是不可见的东西向流量,工作负载随时会变化。

  云时代下的变化,是随着业务模式的变化而带来的变化:数字经济的兴起、双模IT成为主流、DevOps的普及。基础架构的变化也带来影响:数据中心网络、主机、存储全部虚拟化;公共云集群规模大大超过本地IDC;HTTPS开始普及;容器也发生很大变化,获取容器信息的方式也在发生变化。

  云安全:

  CSP将安全能力融合到基础架构中;正反向代理负责南北向访问控制,并解决HTTPS流量DPI问题;基于API或Agent的分布式防火墙负责数据中心内部网络访问控制;安全的自动化;DevOps与安全的融合。

  安全云:

  云环境下的安全体现出几个特点:敏捷、弹性、在线。

  从威胁情报到态势感知——杨大路(天际友盟)

  安全智能(安全情报)是态势感知的前提:安全智能即安全情报是包含了资产情报、威胁情报、漏洞情报、事件情报、安全措施情报、业务战略情报、安全需求情报等;而态势感知则要做到趋势预测以及辅助决策。

  安全智能(安全情报)落地困境:

  影响安全智能落地的主要因素有:安全设备支持不足;安全运营中心(SOC)成功案例较少;国家威胁信息格式标准尚未出台;对安全智能为核心的运营模式缺少信心;跨厂商合作生态缺失。

  安全智能(安全情报)实施三步走:

  第一步:快速部署 体验成效。部署支持安全智能的设备。

  第二部:深入改造 全面使用。采购安全情报数据,升级现有SOC,安全大数据分析平台引入安全智能。

  第三步:体系转变 联动响应。建设安全智能中心,建立以智能(情报)驱动的安全运营机制,建成以自动化检测响应为目标的防御体系。

  黑产对抗中的威胁情报——冯景辉(百度安全)

  不太平的后厂村纪事——

  由网盘撞库说起。在应对过程中,大量的移动端接口没有办法短时间更新验证码机制。在实践中,在基于验证码的基础之上,百度结合情报信息进行了存量检测、实时检测、多层次模型等方式。希冀在用户体验和安全之间寻求平衡。通过这一事件,百度通过自身收集了数百万撞库IP、代理IP;百度反作弊系统在手机端的信息捕获、数十亿已泄露的风险账户信息等威胁情报被收集。

  之后,在应对一系列DDoS攻击中,百度运用威胁情报进行了攻击预警及攻击溯源。这对于不可间断的互联网业务而言是重要的。

  接下来,隐私窃取事件的发生,用户反馈接到大量骚扰电话。不法网站通过访客营销系统收集用户手机号码等信息,黑产诱导用户、抹黑百度。传统的打击识别方法是不断的去抓代理商,这种方式十分被动。百度开始运用自己的威胁情报去分析行为、反向推导,挖出了大量的未被曝光的二级代理商,打击效果大大提升。非法窃取用户隐私的不法网站数量大大降低。

  关于情报战略的总结思考:合作——安全厂商应该更为广泛的进行数据层面合作;挖掘——对数据进行更深入的挖掘;应用——未来我们将威胁情报应用到更多对抗解决方案中。

  甲方·威胁·落地——郭亮(数字观星)

  威胁情报是数据的次生应用,分开采、炼化、应用等模式。

  通过一次安全事件的处置,我们得出一个观点:甲方重果,威胁看因。

  甲方所有的工作都是围绕其业务资产而做——安全制度、业务逻辑、IT基础设施,而威胁情报这一环还未打通,这成为当前企业的普遍现状。

  威胁情报在甲方落地的价值点:边界、责任、逻辑、响应。

  威胁情报的最终价值,就是让安全管理更简单。

  文 森 论 坛

  我们希望由北再向南走一走,而一走就走到了最南极。文森是南极的最高峰。文森论坛,主要探讨网络安全的南向技术问题。

  把脉网络安全和系统安全的脉络——段海新(清华大学)

  那些不能铭记历史的人注定要重蹈覆辙

  OSI RM:最雄心的设计,最彻底的失败。OSI参考模型,所有网络教科书都讲,但从没有见过。OSI模型究竟忽悠了多少人?

  IPsec的发展:IETF要求每个协议标准的设计必须考虑安全,于是许多协议吧安全的责任推给了IPsec。使用IPsec最大的问题是部署问题,但钱IPsec还只是用于VPN,特别是远程接入;IPsec的实现需要操作系统内核支持,不像TLS,安装一个应用就可以了;在IPv6下,AH和ESP是必须支持的。对IPv6的部署IPsec一直都是可选的,有多少人使用了IPv6的用户配置了IPsec?与SSL/TLS相比,IPsec很失败。

  DNS:域名战争。对域名收费引起了极大的争议,引发DNS战争。从此以后,DNS不仅是技术问题,更成为美国热门的政治问题。NSF被美国民众起诉非法征税,最终败诉。美国政府把政策制定权交给ICANN。

  2012年域名服务的漏洞:“幽灵域名”出现。

  TCP三次握手和序列号预测攻击:

  HTTP中的中间人:

  端到端的TLS的中间人:

  总结:互联网的今天不是“先知”设计的,是演进来的。着眼于一个具体问题,比包打天下、“革命性”的彻底的解决方案更为可行。一个系统的设计,应充分考虑可部署性、渐进性。未来的安全风险,是在发展中逐步体现出来的,今天完全无法预知未来的攻击。一个系统或协议的成熟与安全,要经过千锤百炼、无数人的攻击,一个全新设计的系统很可能是不够完善的。

  南向技术脉络——于旸TK(腾讯玄武实验室)

  路到此处分南北,大家都是从西来——没有基础往南走是走不通的,往北走也是很虚的。

  东西向的通用技能:能想清楚 逻辑严密;能写清楚 语句通顺;能将清楚 表达清晰。

  要具备分析能力 、判断能力、 规划能力 、搜集能力 、 学习能力 、提炼能力。

  分南北之前,西东很重要——了解安全史;了解安全势了解安全时;知攻知防,知短知长,知能知不能。

  往南走的路也不止一条——南向技术概略:硬件、软件、协议、人

  路分南北 各有风景

  从区块链看安全技术发展——严挺(众享比特)

  中心化网络面临诸多挑战,互联网发展迎来第三次革命:去中心化互联网。新一代去中心化区块链网络应运而生。

  区块链的典型特征:去中心化 无需信任 共同维护 可靠数据。

  安全的本质:数据安全是根本,而数据是抽象和逻辑化的。安全的现状是侧重以物理安全确保其内或其后的逻辑安全。即重网络结构防护、重访问控制,而轻数据加密。

  移动设备带来多维网络结构的“虫洞”:小型化的移动终端可以将任意两个物理隔离网络内的数据以图像音视频方式打通、传递。

  区块链安全发展的新思路:重数据、轻网络、轻设备。区块链技术中的数据安全与硬件设备的弱相关性 、区块链技术中的数据安全更依赖于算法,数据结构与冗余度。

  区块链技术消除明确的高价值点:系统无传统的堡垒主机概念,无特殊节点需被动防御;对手失去特定攻击目标。

  区块链带来:新的安全传输模式——发给每个人只有一个人的密钥可以打开;新的安全存储模式——互联网上的节点通过分享多余的CPU资源和磁盘空间加入分布式网络;新的安全计算方式——沙计算;新的安全认证方式;新的安全交易方式、新的安全生态等等。

  十 大 热 词

  在今年北向峰会的现场后方,网络安全的热门关键词通过参会嘉宾的现场投票评选出来。

  十大热词分别是:

  1、APT 2、人工智能 3、威胁情报 4、态势感知

  5、个人信息和隐私 6、数据和大数据 7、云计算

  8、人才教育9、关键信息基础设施 10、区块链

  至此,2016年的冬至日,第二届北向峰会圆满结束!

第 1 /  10 页