7月17日,夜雨积水、淅沥小雨依然没能阻挡黑客爱好者的热情,北京富力万力酒店2层首府会场人群熙熙攘攘,2015乌云白帽子大会在这里正式拉开帷幕,本届大会主题为“突破(NO WALL)”,会期两天。总的来看,17日首日主要有企业网络安全建设、企业安全攻防与应急响应、DDoS解决思路、安卓应用加固和金融安全等几个主要话题。
去哪儿、唯品会关于企业网络安全建设话题的演讲,为我们分享成功了互联网公司网络安全建设历程同时,也让我们意识到当下互联网公司都面临的问题:首先就是互联网环境的严峻形势让企业看到网络安全建设势在必行,而另一方面,如何进行安全建设,却鲜有案例遵循,而且困难重重。
去哪儿安全总监郭添森总结去哪儿网的安全工作建设分三个阶段:第一阶段安全融入基础IT,第二阶段安全融入企业业务,第三阶段安全融入企业文化。唯品会高级工程师王润辉在分享网络安全建设经验时,也让我们意识到企业网络安全建设过程必须面对的问题:网络安全是一个“没有产出”的部门,如何得到公司的重视?网络安全牵扯到许多业务部门,如何进行协调?网络安全水平的追求是无止境的,如何控制在这方面的投入?此外,还有在企业网络安全建设过程中,已经形成了很严重的网络安全人才的缺口,这一点也成为各方的共识。
企业安全攻防则是17日大会的另一个核心话题,共进行了“两轮”攻防演讲,首轮是WAF的绕过与防护。乌云白帽子“MayIkissYou”详细的分析了《多角度对抗WAF的思路与实例》,腾讯安全架构师张海清《Web安全架构浅谈》在分享WAF防护的演讲中,让我们看到,作为航母级别的互联网企业,腾讯在网络安全建设方面做出的巨大投入与成果:自研web server应用、运维自动化、软件开发调用自研安全API等等,让我们看到巨型企业在网络安全、网络应用等等方面都需要DIY,才能适应自身的体量。第二轮“掐架”是关于“黑”进公司网络与反渗透,由乌云白帽子“booooom”《如何从外围进入各大公司内网》和“Piaca”《企业应急响应与反渗透之真实案例分析》组成。
上午江苏公安厅网安总队童瀛《从案件看国内DDoS的最新方式》让我们看到,解决DDoS不只技术这一条路子走,还需要从案件角度分析,从案件的蛛丝马迹下手,从侧面找出实施DDoS的攻击方。童瀛呼吁网络安全人才走正路,并认为网络安全攻击成本很低,但是给受害者带来的危害却很大,所以建议中小企业要健全网络安全应急响应机制,告诫网民要主动回避恶意网站。
上海交通大学计算机系在读博士杨文博在《Android应用程序通用自动妥壳方法研究》演讲中指出,安卓应用加壳保护技术存在一个问题,就是加壳保护不负责安全漏洞的审查,如果应用程序存在漏洞依旧无法保证安全。而且,从技术角度看,再严密的加壳都能被破解,不过在实际破解过程中存在一个“破解投入”的问题,同样作为应用加固厂商也要从整体考虑,既要保证加固保护技术能够对抗绝大部分的“破解”,还要考虑开发这种加固保护做出的投入。
万达电商安全主任工程师林鹏在《解析P2P金融安全》中指出互联网金融安全领域占比最高的漏洞是业务设计缺陷,另外P2P金融作为一个新兴行业,其账号密码的重置是一个重灾区,并认为集团边界、DDoS等是金融领域主要攻击的入口,也是比较容易失守的几个点,对这几个方面的防护决定了P2P金融安全的高度。