挑戰中尋找機遇：FreeBuf2017互聯網安全創新大會（FIT）次日素描

你看到的也許是問題，而他們看到的是機遇。

響應著這一屆FIT2017（FreeBuf 2017互聯網安全創新大會）的主題「脈動與機遇」，第二天的日程當中更多的演講者分享了，在新挑戰不斷發生、攻擊不斷演化的情況下，自己的企業和團隊如何迎戰，甚至將之轉變為新的機遇。

企業安全工坊

IoT之殤

這兩年，智能設備的發展可謂是風生水起，幾乎所有的設備都正走向智能化，正如Panasonic株式會社產品安全中心亞太區負責人林永熙介紹的，松下甚至已經推出家庭網路系統，連接著幾乎所有的家用聯網設備。智能聯網設備的開發走在了其安全框架和規則的前頭，因此智能設備的潛在風險也帶來了不少擔憂，尤其是今年的Mirai殭屍網路事件，更是將智能設備的安全性問題提到了前所未有的高度。除了成為殭屍網路的肉雞，IoT還有其他潛在風險，諸如機能停止、個人信息泄露、遠程控制、登錄信息篡改等。

Panasonic株式會社產品安全中心亞太區負責人 林永熙

就此，松下不惜花費大量時間重組改造公司架構，設立一套網路安全架構，以應對產品的風險問題。林永熙認為，解決設備安全問題的重要基石在於保證產品自身的安全性——即在產品上市前將「風險最小化」，從開發階段檢討可能發生的威脅，並擬定對策成為安全要件，定入設計中，上市前進行漏洞檢測，在事前的最後一步把控安全；此外，再配以事後應急響應團隊，出現事件後，立即應急響應。松下在產品安全上嚴謹認真的精神，也許就是對智能設備安全問題的最好回應。

密碼泄露之解

古有四十大盜因密碼泄露，報復阿里巴巴，而導致集團團滅，今人吸取教訓為密碼的命名設置了許多規則。但密碼本身並不安全，黑產利用大數據甚至可以計算出大家的密碼命名規則，面對這樣的問題該怎麼辦？

小米公司CSO 陳洋

小米公司首席安全官陳洋在提出，要消滅密碼。陳洋提出用APP生成動態登錄指令的方式去密碼，用代理去內網，用應用去蜜網，以應對移動辦公時代中的企業安全問題。

中小企業誰來關注？

大多數安全企業面向大型企業做安全，體量頗大的中小型企業終端安全卻被「忽視」。其實黑客攻擊中小型企業成本高、回報小，但因為大多數企業用的還是免費全家桶型的個人級安全設備，信息安全建設缺乏體系，容易遭受黑客攻擊，更有數據顯示，60%的小企業遭遇攻擊後在6個月之內倒閉。

瑞星終端安全產品架構師 楊紹波

面對這樣的問題，久未謀面的瑞星終端安全產品架構師楊紹波提出用「SaaS安全雲」應對。「SaaS安全雲」由雲終端和SaaS雲中心組成，前者作威脅探偵，後者執行威脅收集、威脅情報、雲防禦等功能；「SaaS雲中心」還需與傳統的管理員進行聯動，並且全程需要安全專家的參與。瑞星認為低成本、低使用門檻的SaaS安全雲，將是「中小企業安全的必選項」。

網路創新還能做些什麼？

Gartner曾預言，至2020年，60%的數字化企業將發生信息安全事件，60%的企業在信息安全方面的預算將圍繞在威脅快速檢測和安全應急響應上。斗象科技聯合創始人兼COO謝忱分享了一個安全事件響應實踐CaseStudy，並介紹斗象科技安全矩陣，用互聯網安全社區化數據為基礎，加上漏洞盒子2年經營的互聯網眾包測試2.0模式（基於漏洞定義、業務場景、定向目標的安全測試），輔以網藤的風險感知功能，建設一個漏洞驅動的安全整體響應體系，快速高效有針對性地進行風險檢測。

斗象科技聯合創始人兼COO 謝忱

謝忱提到，我們談起網路安全創新，往往只聚焦幾個方面，重複太多，少有突破。那麼推動創新還能做什麼事？還能從什麼角度切入？

上海嘉韋思信息技術有限公司CEO舒首衡的講話正是對這一問題的完美解答——我們可以做網路安全保險。

網路安全保險——由保險公司、主管機構、服務單位聯合建立網路安全服務保險生態。其中，主管機構，即公安部第三研究所發布權威安全服務標準和體系，聚合安全服務單位，保險公司分擔企業網路風險，安全服務單位提供服務。網路安全保險分為事前安全服務和事後安全服務，前者將由公安認證的專業團隊實時監控、定期對投保人網站進行掃描，後者是指在安全事件發生後，由保險公司承擔費用，第一時間提供網路應急方案。此險種在國內為首創，從另一個側面打造安全生態，解決企業安全問題。

上海嘉韋思信息技術有限公司CEO 舒首衡

斗象科技憑藉卓越的實力，獲得網路安全保險服務合作夥伴手牌。公安部第三研究所、公安部信息安全產品檢測中心、國家網路與信息系統安全產品質量監督檢驗中心檢測部主任陸臻先生，安信農業保險有限公司、上海寶山支公司總經理助理張勇，斗象科技聯合創始人兼COO謝忱共同見證了這一儀式。

攻防現狀如何打破？

如今，黑客攻擊之勢越發猛烈，組織化的黑客，讓企業更難應對。無論是過去的單點防禦還是現在的塔防模式，企業都是在嚴防死守。深信服安全技術總監王振興舉了個巧妙的例子：這種攻防現狀就好比二戰期間法國重兵部署的馬奇諾防線，卻被德國襲擊北部失去作用。企業「花了那麼多錢，為什麼一直被吊打？」

深信服安全技術總監 王振興

面對攻擊者的各種「套路」，我們似乎應該換個視角來看企業安全建設，真正應用起來包括五個階段：1. 從黑客準備攻擊的前期階段從暗網獲取相關信息，為企業針對性防禦贏得時間。2. 在黑客對目標進行信息收集的階段，探尋github、社工庫等資源，模擬信息已被掌握的情景，識別漏洞風險，制定整改策略。3. 黑客攻擊手段不斷變化，攻擊方也要持續對抗，利用大數據，實時動態防禦。4. 黑客進行隱蔽控制，需要發現線索，主動出擊。5. 黑客交易階段，對暗網、黑色論壇進行雲端監控，在攻擊最後階段，挽救企業信息資產。五個步驟，四層防禦，用黑客視角，打破攻防不對等的局面。

全網數據顯示，互聯網金融應用系統安全基礎較為薄弱。但和錢打交道的企業理應更重視安全。互聯網金融企業要建設安全團隊，卻面臨新興行業、基礎實力、人才儲備、安全經驗不足等問題。

宜人貸安全負責人 王哲

宜人貸安全負責人王哲分享了宜人貸信息安全的建設過程。首先制定規劃，隨後快速展開團隊建設，還設立了宜人貸安全應急響應中心，鼓勵白帽子幫助發掘漏洞。有了外界助攻，還要有內部的防禦力量。宜人貸還開發了自己的NetSky監控系統以發現Web訪問異常，以及Github泄露監控系統，不再需要認為檢索Github。作為甲方，自身安全團隊建設的重要性也並不亞於購買第三方服務。

產業創新俱樂部

繼續攻防討論

早上的演講嘉賓談到如何打破攻防現狀，極驗驗證CTO黃勝藍認為當前存在如下問題：由於底層協議的脆弱性，攻擊者可以輕易修改數據；傳統方法僅僅能檢測到明顯不符合正常情況的偽造；攻擊者對於蜜罐的警惕性也越來越高——未來攻防將更多偏向數據的偽造與鑒別方向。

極驗驗證CTO 黃勝藍

黃勝藍認為可以利用深度學習進行防偽：從攻擊者接收到的信息中，每項數據都可以輕易被修改掉，但不同項數據之間又存在著關聯。利用深度學習只需要對數據之間進行合理的建模，神經網路會基於數據模型自行擬合關係。他還認為未來攻防對於數據的分析能力愈發重要。正如深度學習未來將在安全領域也產生深遠的影響。

同樣是應對攻防不對等，錦行網路科技產品總監胡鵬認為應用蜜網構建一個欺騙網路，把多種蜜罐放置在一個網路；同時用蜜場集中化管理蜜罐、蜜網；再利用蜜標將欺騙數據多樣化——結合起來形成欺騙技術HoneyX，從多維度欺騙攻擊者。胡鵬分享國內外引入欺騙技術的產品，已實現預測攻擊意圖、攻擊溯源、與其他安全產品聯動，共享威脅情報等功能。

錦行網路科技產品總監 胡鵬

安全初創企業將走向何方？

安全威脅情報推進聯盟發起人、君源創投管理合伙人金湘宇認為當前整個IT業正處於變革期，信息安全市場成為了變革的焦點，信息安全市場增長性良好，增長空間巨大，信息安全成為新的資產市場寵兒。全球網路安全投資出現緩慢下降，但安全公司投資依然猛增。網路安全創業市場不是所有人的春天，也不是所有人的秋天。

安全威脅情報推進聯盟發起人、君源創投管理合伙人 金湘宇

《網路安全法》通過後對安全企業產生了什麼樣的影響？段和段律師事務所合伙人劉春泉首先從法律體系、基本制度建設、基本主體分類、禁止行為、未成年人保護、網路安全等級保護制度、網路產品及服務的安全要求、網路安全認證、信息收集規則等方面為大家全面介紹了《網路安全法》。劉春泉認為，此法通過將大大刺激安全行業的發展，但同時也會帶來一些法律風險：如甲方企業專業安全責任等，網路安全行業需要重點關注。他建議企業應在該法生效前，確立安全生產管理體系，申請網路信息安全預算，並且與外部律師對接等等。

段和段律師事務所合伙人 劉春泉

Freebuf Live II

段子和技術不分家

PKAV雙螺旋攻防實驗室負責人、無人敢說不帥的白帽子張瑞冬分享幾種騙局：偽裝公檢法機關或銀行發送虛假簡訊、微博微信虛假紅包等，受害人數眾多、金額巨大，而背後的實施人員僅為1到2兩人。

寶寶樹安全總監、段子界技術第七好的白帽子呂偉（獃子不開口）談POC鏈接的反分析，建議安全人員不要貿然請求鏈接進行分析，並給出了詳細的保護建議，包括從http請求層面拒絕可以的鬼、瀏覽器端人鬼識別、風控請求的防模擬、poc代碼自身保護等。

寶寶樹安全總監、段子界技術第七好的白帽子 呂偉（獃子不開口）

ArkTeam團隊負責人劉潮歌也談到了蜜罐、蜜網、蜜標、麵包屑等在防禦者的網路欺騙戰術中的應用。

攜程信息安全總監凌雲形象地用邊防、公安、子弟兵的三種角色談起安全防禦的架構，其中邊防對應的是被動式掃描、水平許可權檢測、運維安全管控平台、軟體防火牆WAF，公安則包括安全合規和許可權限制等，而子弟兵指的是自動化操作、社會分工、情報共享等等。

攜程信息安全總監 凌雲

最後，連尚網路信息安全部高級研究員龔沛華分享了Android移動安全與保護， 首先介紹了Android平台安全現狀，隨後從Linux內核安全特性、沙盒、許可權、IPC訪問控制、代碼簽名和系統簽名、多用戶訪問控制、加密和SELinux等角度談Android安全模型，而後從應用、數據、系統角度分析Android安全，最後還分享了一些APK保護措施。

WitAwards 2016 三大獎項揭曉

繼昨天頒發三項重磅大獎之後，WitAwards 2016互聯網安全年度評選繼續公布三大獎項：

微步在線ThreatBook威脅情報分析平台斬獲年度創新產品獎項

阿里云云盾Web應用防火牆獲得年度雲安全產品及服務獎項

安天實驗室肖新光拿到年度安全人物獎項

漏洞盒子2016年度最佳白帽子獎項，Tangyuan、lakes和gdygdy獲此殊榮

微步在線合伙人 李秋石

阿里雲高級安全專家 祝建躍

代為領獎的北京安天華東區域總經理 錢吉明

這次的WitAwards 2016為了提高專業性，首次引入了專業評委，優化了大眾評委、專業評委和專家評委的決策權重。大眾評委投票佔比20%，20天收到了超過25萬次投票；行業評委投票佔比30%；專家評委投票佔比50%（是由40名安全行業大牛組成的）。WitAwards是FreeBuf期望鼓勵安全從業者、研究人員、安全企業、產品和項目的評選活動，更希望通過擴大行業影響力，讓安全行業受到全社會的關注。

激變中的時代必然會催生各類問題，其中安全問題又是極為引人注目，如何從問題中抓取機遇，把握時代脈動，是各個企業一分高下的重點。產業創新圓桌環節豌豆科技創始人&CEO宋國徽、錦行網路科技產品總監胡鵬、極驗驗證CTO黃勝藍、火絨科技聯合創始人周軍、紅點創投副總裁劉嵐、安全威脅情報推進聯盟發起人/君源創投管理合伙人金湘宇(Nuke)共同就機遇與挑戰發起了圓桌討論。

當問及創業者如果作為投資者會投資哪些領域，幾位共同選擇了大數據、物聯網和雲作為答案。談到在創業過程中遇到的困難，人才匱乏、技術起點低還是創業者共同的痛。在國內創業環境方面，幾位創業者給出了不同的看法：劉嵐認為相較國外，中國的環境稍差，金湘宇認為創業市場還有發展餘地。最後，幾位還談到公司融資情況，其中火絨的回答最有意思，火絨目前還沒有融資，似乎火絨想要在拿錢以前繼續思索自己想做的事情。其中提及的有些挑戰，雖然還是目前沒有完美的應對方法，但說不定有一天也會啟迪一些創業者，將之轉變為機遇。

時代在前進，問題與挑戰也不斷演化，在這兩天的大會上，我們也不止一次聽到演講嘉賓提到傳統防禦方式已經無法抵禦不斷進化的黑客攻擊，但他們並沒有墨守陳規，反而從各個不同的角度，嘗試去解決問題，這對他們來說就是機遇，而他們的每次嘗試就像是跳動的脈搏，昭示著這個時代的生命力。與所有與會嘉賓代表的企業和團隊一樣，我們Freebuf也正在蓬勃生長，也在探索新的機遇，面對新的挑戰。今年的FIT已經圓滿落幕，但交流的思想與精神仍在，我們期待在全新的一年裡與大家分享見證安全行業的成長，更希望在明年為各位呈現更加精彩的互聯網安全創新大會。

* FreeBuf官方報道，作者：kuma，未經許可禁止轉載