8月14日,由“网安一哥”奇安信集团举办的北京网络安全大会(BCS2020)进入到第8天,补天白帽日峰会如期召开。本次峰会以“白帽实力担当,豪情内生安全”为主题,通过“线上+线下”超融合云会议形式,汇集了企业SRC、民间组织、行业大咖及白帽,围绕在当今网络安全态势下白帽如何发挥能量展开讨论,为安全技术爱好者提供一个开放的交流平台,多维度彰显白帽实力。
BCS联席主席、奇安信集团董事长齐向东,中共玉溪市委常委,副市长雷江平,补天漏洞响应平台负责人张卓,腾讯Blade Team的高级安全研究员钱文祥,上海银基Tiger-Team高级安全研究员Kevin 2600,华为云首席安全生态官万涛,腾讯安全玄武实验室负责人于旸,虎符网络创始人兼CEO王伟,奇安信集团网络安全部总经理聂君等嘉宾应邀出席了本次峰会。
实战化正成主旋律行业需要更多“白帽”人才
图:奇安信董事长齐向东
“漏洞是攻防两端必争的战略资源,补天平台已经成为具备技术、人才和平台三大优势的漏洞库”。奇安信集团董事长齐向东表示,作为全球第二大漏洞响应平台、中国第一大漏洞响应平台,补天平台高效连接了白帽子、企业和安全厂商,做到快速发现漏洞、快速排除安全隐患,极大的提升了政企机构的安全防护能力,成功实现了三方共赢。同时在实战化的趋势下,补天平台也成为汇聚海量实战型网络安全人才的资源池。
图:补天漏洞响应平台负责人张卓
补天漏洞响应平台负责人张卓也认为,“实战化成为今天的主旋律,国家级、行业级、企业级攻防演练日益增多,成为常态,我国网安人才缺口依然很大。目前唯有培养更多的‘白帽子’,才能应付当下实战化的网络攻防。
图:中共玉溪市委常委、副市长雷江平
作为补天平台的重要合作伙伴,中共玉溪市委常委、副市长雷江平先生表示,“应按照领导指示,各地形成网络安全人才培养、技术创新、产业发展的良性生态,为网络安全的良性成长提供肥沃土壤。”
技术大咖汇聚一堂深度交流实战“攻防”经验
图:腾讯Blade Team高级安全研究员钱文祥
技术分享是本次补天白帽日峰会最具干货的重磅环节。来自腾讯Blade Team的高级安全研究员钱文祥就通过浏览器Fuzzer来发现SQLite多个漏洞的实战经验,进行了详细分享。钱文祥在研究中发现,使用Fuzzer可发现SQlite的漏洞,而这种类型的测试可以用于保护数据库安全,随时修复SQlite可能存在的漏洞。
图:上海银基Tiger-Team高级安全研究员Kevin 2600
在电子支付、票务领域甚至汽车领域数字钥匙系统中使用的NFC技术,是当下的热门领域。上海银基Tiger-Team高级安全研究员Kevin 2600指出,“NFC数字构架被广泛应用,已经融入到了人们生活当中,但没有100%的安全,许多以NFC数字构架为基础的应用会受到中继攻击。”因此,Kevin 2600认为,“不管从安全应用角度还是黑客角度出发,面对科技产品时,要不断对其安全防护能力进行测试,直到发现问题。”
图:奇安信观星实验室攻击队负责人袁桢唤
来自奇安信观星实验室的攻击队负责人袁桢唤针对大型渗透活动发表了看法。他认为,“现代渗透攻击过程主要由三步组成:打点、打内网、攻下目标。过程清晰目标明确,但实施过程中可能遇到不同的困难,需要组合很多方面的知识,使攻击变得更加有效。“
图:“大咖话白帽”环节
在接下来的“大咖话白帽”环节,华为云、腾讯安全、虎符网络创和奇安信集团网络安全部的相关负责人进行了观点碰撞和交流探讨。
“最重要的不是漏洞本身,而是有没有打补丁”,华为云首席安全生态官万涛表示,对企业而言,靠攻击漏洞进行勒索的问题有待解决,如何杜绝并防范这种网络犯罪值得每个企业思考。
腾讯安全玄武实验室负责人于旸则表示,应当重视“不算很严重的小问题”,往往小问题会让整个系统瘫痪,发现不及时就可能成为攻击手段。
虎符网络创始人兼CEO王伟认为,应以更高效的方法挖掘漏洞。他表示,“随着数据跟踪的逐步深入,安全问题会越来越多,需要找到一种方法论,然后体系化挖掘漏洞。”
奇安信集团网络安全部总经理聂君表示,“应通过复盘发现自己机制体系上的问题,每次攻防都是发现内部漏洞的好机会,应该不断主动发掘漏洞来改进防守质量。”
图:“年度补天优秀白帽”颁奖仪式
本次补天白帽日峰会还举行了“年度补天优秀白帽”的颁奖仪式,其中“带头老哥”斩获唯一MVP大奖,麒佑信息安全、Balisong、少司命、偏执等补天优秀白帽分获其他荣誉,成分体现了民间安全从业者的蓬勃成长之势。
据悉,此次BCS 2020以“全球网络安全倾听北京声音”为立意,着眼数字化、网络化、智能化的时代背景,充分发挥北京科技之都、创新之都的资源优势,聚焦当前与未来网络安全产业发展、国际合作、资本创投、前沿技术、新场景应用和人才培养,搭建政、产、企、资、学、用等多方参与的世界级交流合作平台。