CIS 2020主论坛首日全程回顾,明日精彩继续

“不管我们从业人走得多远,FreeBuf和CIS永远在这里,永远年轻,永远热泪盈眶,期待我们下一个十年。”

在2020年的倒计时里,来自全国各地的网络安全爱好者们整装待发,赶赴一场年末安全盛会。

CIS 2020主论坛首日全程回顾,明日精彩继续

12月29日,CIS 2020网络安全创新大会在上海正式开幕,本次大会由FreeBuf、赛博研究院、上海市信息安全行业协会联合主办。从FIT到CIS,再到CIS第二届,安全、创新、深度、趣味似乎一直都是大会的诚意所在。

从签到台的防疫小组,到创意展区、主论坛熟悉的开场唱跳,新老朋友们从到达的那一刻就能感受到满满的回忆和一些新的惊喜。

CIS 2020主论坛首日全程回顾,明日精彩继续

在魔都的冬天,疫情的背景下,FreeBuf除了进行CIS大会线上直播,依然选择办线下会议,也是希望在年末,为网络安全人提供一次聚会的契机,见见老朋友,聊聊这一年的安全故事……

开场致辞

中共上海市委网络安全和信息化委员会办公室总工程师杨海军,上海市经济和信息化委员会软件和信息服务业处处长裘薇,主办方代表、斗象科技CEO、FreeBuf联合创始人谢忱等出席大会并致辞。

杨海军表示,随着国内数字化基础建设的推进,在经济领域,数字化也催生了大量新模式、新业态。与此同时,需要对网络信息安全有更高要求,加强基础数据安全的防护,加强网络安全的统筹机制,积极发展网络安全产业,做到关口前移,防患于未然。

裘薇再一次强调了“数字经济正成为拉动我国乃至全球经济发展的重要关键手段”,同时指出各领域对网络安全产品和服务的需求在快速提升,上海网络安全产业规模需不断做大。

谢忱则主要分享了《数字时代的安全框架重构:FreeBuf 2020网络安全产业观察》。他表示,疫情无疑是一个巨大的灾难,但从另外一个角度来说,疫情也是一个机会,它快速推动了网络安全的数字化、智能化,“我们有理由相信疫情以后行业将迎来机遇”

CIS 2020主论坛首日全程回顾,明日精彩继续

可以发现,IT产业每隔12年会迎来一次平台的革新,从PC到移动,再到云、5G。随着数字化覆盖深度和广度到一定程度,网络安全独立的特征将愈发明显,而未来12年,将是数字化平台的演变,网络安全将逐渐形成数字孪生安全……

Hack Demo:悄悄“码”个臂

剑思庭 国际工控厂商网络安全负责人,工控安全红队IRTeam联合创始人

万物互联之下,智能设备随处可见,比如在汽车工厂中发挥重要作用的机械手臂。目前,机械手臂的主要应用场景涵盖了搬运、精准加工、焊装等,极大地代替了人工,提高了生产效率。

然而,当剑思庭通过一串恶意代码,接管机械臂后,会发生什么?

CIS 2020主论坛首日全程回顾,明日精彩继续

通过交换机远程控制,执行恶意代码,可以直接改变机器臂的动作轨迹,当机器臂脱离原有“控制”,会发生多个机器臂之间产生碰撞、砸毁设备,甚至直接造成周边工作人员伤害……

机械手臂的漏洞只是工业互联网安全问题的一个小小缩影,但其危害巨大。随着智能联网设备更多地应用于生产场景,如何保障网络安全是避不开的问题。

防护TIP:

  • 部署Modbus TCP的工业防火墙

  • 部署链路层ACL管理机制

  • 部署威胁工业流量可视化系统

  • 组态软件设置登录/权限/审计功能

G-Tech 全球安全战略会

网络安全监测与技术创新

姚佳明 国家信息技术安全研究中心威胁监测事业部副部长

CIS 2020主论坛首日全程回顾,明日精彩继续

姚佳明的分享围绕网络安全检测和技术创新展开,着重分析了中美的检测思路。

其中美国主要分为2种策略:持续监测(CM)、网络安全监测(NSM)。前者以脆弱性为中心,重点关注配置和软件缺陷,后者以威胁为中心,关注入侵者。其中,爱因斯坦计划作为美国政府为了加强对其联邦政府网络出口安全而进行的一项长期的安全监测与防护计划备受关注。

目前,美国爱因斯坦计划及其配套计划基本具备:网络集成接入、阻断不安全访问、阻断不可信的供应链产品接入等,这些安全维度值得深入思考。而随着强调供应链安全、主动防御、网络安全监控和态势感知的计划准备完成后,美国将自然而然地进入零信任基础,进行授权访问资源,做到数据安全。

我国在安全检测与技术创新上同样做了很多尝试,按照国家2019年科技经费投入统计公报显示,中国研究与实验发展投入经费达到22143亿元,而目前等保的战略规划中也涵盖了安全监测、通报预警、应急处置、态势感知等关键方向。

最后,姚佳明还分享了不同层级的态势感知能力的建设思路,以及现有黑客画像。

中国网络安全产业推进及公共服务探索

崔涛 中国信通院安全研究所网络安全部副主任

数字化转型创新机遇不断推动安全新技术、新业务、新模式的变革,网络安全产业发展渐入佳境,我国网络安全市场发展潜力巨大,是增速最快的toB市场之一。

CIS 2020主论坛首日全程回顾,明日精彩继续

中国信通院安全研究所网络安全部副主任崔涛先生远程分享了中国网络安全产业的推进及公共服务探索。主要围绕网络安全产业分析、信通院正在推进的先进网络安全能力验证评估计划、网络安全产业的前景展望展开。

其中,崔涛指出,网络逐渐在5G、6G更快的方向发展、组网技术也从原来的硬件化逐渐向软件化方向发展(如云网结合、算网结合,链网融合),整体来看,我国网络安全产业正在形成产学研用各个环节相密切衔接的态势。未来,新兴领域安全保障政策将会逐步完善、垂直的重点行业将陆续出台相关管理办法、信创密码等方面的核心技术发展也值得关注。

E-Tech 企业安全实践

漫谈移动应用个人信息安全保护治理

万小博 上海互联网应急中心网络安全处项目负责人

CIS 2020主论坛首日全程回顾,明日精彩继续

伴随互联网发展,App市场一片繁荣,然而在便利的同时,App也成为个人信息泄露的重灾区。App基于精准营销而超范围收集个人信息,对个人信息隐私保护来说成一大隐患。

这一背景下,可以发现近两年对于App的治理工作正在逐步开展,相关法规也不断细化,四部委旨在通过监管手段加强个人信息保护。目前一些典型的App违规收集类型包括以下几类:

未公开使用收集规则;

未明示收集使用个人信息的目的、方式和范围;

未经用户同意收集使用个人信息;

违反必要原则,收集与其提供的服务无关的个人信息;

未经同意向他人提供个人信息;

未按法律规定提供“删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。

万小博表示,APP运营者收集和使用个人信息的时候要严格落实网络安全法的个人信息保护制度,建立个人信息的删除和更正制度。APP运营者可以调整产品设计的环节,避免出现违规收集的行为,也可以通过委托专业的第三方机构对网络安全数据保护进行整体的评估工作。

网络流量安全分析的创新探索与实践

徐钟豪 斗象科技CTO

网络安全的本质是信任,但随着攻防升级,企业对于做好安全建设容易缺乏方向,失去安全感。从网络流行角度进行威胁检测、安全分析成为新的思路。

CIS 2020主论坛首日全程回顾,明日精彩继续

目前,虽然大数据在网络安全领域的应用相较于电商等行业进展较慢,但基于大数据、Al的应用会让网络安全的整体决策和检测更有效,而安全情报数据也已经成为基础安全能力之一。

此外,徐钟豪还分享了关于图计算的应用、网络ACL策略模型、邮件安全分析等在安全分析中的创新实践与探索。

企业安全合规与物联网隐私保护实践

宋文宽 小米集团信息安全与隐私委员会秘书长

如果说5G+AIoT将是下一代超级互联网,那么大数据就是新时代的“核燃料”。这意味着大数据驱动的力量非常庞大,但一旦泄露造成的危害也是巨大的。

CIS 2020主论坛首日全程回顾,明日精彩继续

随着合规驱动,以及数据泄露带来的名誉与资产损失加剧,隐私保护、信息安全成为企业安全建设的重要议题,也是物联网持续发展难以避免的重要问题。目前小米除了在内部安全培训中强化隐私保护意识,同时把技术嵌入App,通过安全机制保障隐私。如差分隐私,在数据中增加噪音;端侧计算,将数据留在用户端,保障数据安全等。

此外,面对企业庞大的产品体系,宋文宽进一步提出了做好全链隐私保护的几点要素:

1、做好设备分级

2、具备物联网产品安全基线

3、技术提升,符合测评要求

X-Tech 创新前沿技术

EvilEssid to bypass WIPS surveilled environments

伊万 Lenovo全球安全实验室首席信息安全研究员

伊万分享到,对于无线入侵防御系统WIPS,最常见的WIPS威胁检测方法包括指纹特征(被动;抓包)和数据包检测(主动)。目前,WIPS仅检测ESSID,且在监控环境里可以创建一个恶意热点却不能用目标热点的ESSID。

CIS 2020主论坛首日全程回顾,明日精彩继续

这时候怎么办?如何创建一个不是双面恶魔的“双面恶魔”,从而绕过WIPS?我们常说人是安全最薄弱的环节,通过社工替换一些字母就可以完成一次“双面恶魔的攻击”。这里涉及到了IDN国际化域名,即部分或完全使用非英文字母组成的互联网域名,而人的肉眼无法分辨这些字母是否是英文字母。因此,替换字母的新创建的热点与目标热点在肉眼上看起来是一样的,但实际上并不一样,可以绕过WIPS。

Deep X-Ray:一种机器学习驱动的WAF规则窃取器

XunSu,KeyunLuo 腾讯朱雀实验室AI安全研究员

CIS 2020主论坛首日全程回顾,明日精彩继续

“WAF规则逆向一般是用于复制WAF的防护能力,或是便于构造出绕过WAF的payload”。

传统的WAF防护规则是基于表达式写的,那么如果攻击者掌握了这些规则漏洞是否就可以绕过WAF防控?XunSu和KeyunLuo以研究者的角度探讨了如何逆向出整条完整的规则。

首先找出最小的匹配单元,基于payload将正则单元做一个合并,另外选举一些样本,测试是否达到预期。这是一个手工逆向的过程,但因为人工探测存在很多不足,在研究中选择引入机器学习。通过大量优质数据,通过算法自动化提取payload的文本特征,再利用控制变量算法进行探测,最后实现自动化规则输出。

智能终端隐私防跟踪技术实践

张栋vivo千镜安全实验室安全研究员

当用户数据涉及方方面面,在保护用户、防止被跟踪方面哪些数据是关键?在实际场景中如何综合考虑业务的各个方面、寻找合适的用户隐私防止跟踪的方案?

CIS 2020主论坛首日全程回顾,明日精彩继续

张栋认为,信息的价值在于流通与使用,而隐私安全在于对信息在流通过程中的合理控制。

作为隐私威胁中比较重要的场景,隐私跟踪的主要特点为:隐私信息泄露是基础,组织方式从无序变成有序,跟踪者从观测一个人的行为到预测一个人的行为,甚至影响一个人的行为。

对于“哪些数据是保护重点”,张栋认为包括,目前危险来于标识符跟踪、GPS、基站、蓝牙等相关的位置跟踪,涉及身份认证·、识别与追踪的人脸识别。可以通过主流隐私增强技术对信息流进行控制,通过

标识化技术、经典加密方案、本地差分隐私联邦学习以及多方安全计算,真正做到隐私保护的始于尊重,终于信任。

Wit Awards 2020

WIT Awards作为业内广受关注的网络安全创新大奖评选,自2015年举办以来一直饱受赞誉。评选旨在以最专业的角度和最公正的态度,发掘优秀行业案例,树立年度标杆。

CIS 2020主论坛首日全程回顾,明日精彩继续

本次Wit Awards 2020的获奖情况如下:

年度创新产品

安芯网盾(北京)科技有限公司 安芯神甲智能内存保护系统

深圳开源互联网安全技术有限公司 开源组件安全及合规管理平台

年度产业领军企业

360政企安全集团

年度热门安全产品与服务

杭州默安科技有限公司 幻阵·高级威胁狩猎与溯源系统

北京威努特技术有限公司 威努特工控漏洞挖掘平台(VHunter IVM)

年度产业创新黑马

北京微步在线科技有限公司

上海派拉软件股份有限公司

年度安全品牌建设典范

杭州安恒信息技术股份有限公司

年度技术变革

远江盛邦(北京)网络安全科技股份有限公司 盛邦安全新版网络资产安全治理解决方案

滴滴云 滴滴鹰眼:新一代终端数据泄露防护系统

年度安全SRC

美团安全应急响应中心 MTSRC

年度最佳安全开源项目

百度安全 MesaTEE通用安全计算

明日精彩预告

精彩不止今日,明天安全话题持续上演~

白帽LIVE秀、攻防演练研讨、金融科技安全专场、DevSecOps 实践、人工智能与物联网安全……等你一起嗨!

Day2议程查看:https://cis.freebuf.com/

现场精彩花絮

CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

*出于疫情防护,现场设置防疫小组严格把关,安全参会~

CIS 2020主论坛首日全程回顾,明日精彩继续

精彩推荐





CIS 2020主论坛首日全程回顾,明日精彩继续CIS 2020主论坛首日全程回顾,明日精彩继续CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续CIS 2020主论坛首日全程回顾,明日精彩继续CIS 2020主论坛首日全程回顾,明日精彩继续

CIS 2020主论坛首日全程回顾,明日精彩继续

上一篇:【报告】2020年中国共享汽车市场白皮书(附31页PDF文件下载)
下一篇:民航局印发新型基础设施建设《实施意见》和《五年行动方案》

相关推荐

引进培育更多更强的大数据龙头企业

1063 贵阳晚报

  潘朝选  以液晶面板为主打产品的晶泰科(贵州)光电科技有限公司,生产车间70%以上为自动化作业模式。该公司的生产线“智能升级”工程,对企业长远发展、提质增效意义重大。我们要从类似成功案例中充分汲取经验,进一步顺“数”而为、综合施策,坚持引进与扶持并举,让大数据龙头企业强起来、多起来,加快数字经济发展。  省委十二届八次全会强调,实施数字经济万亿倍增计划,

剑指云内存数据库,阿里云在下一盘大棋

1879 CSDN

「Therealbattlewillbeindatabases.」在2019数据技术嘉年华大会上,阿里云数据库产品事业部总经理、李飞飞曾引用AWS创始人JeffBezos的话:数据库是企业云上的终极之战。在这终极之战中,阿里云无疑是国内数据库引领者:据Gartner最新发布的2020年度全球数据库魔力象限报告,阿里云首次进入全球数据库领导者象限,这是中国数据

【观察】“凌动数据管理”方案应运而生,联想凌拓本地化提速以行践言

89 申耀的科技观察

申耀的科技观察读懂科技,赢取未来!今年以来,“新基建”无疑成为了社会各界关注的焦点。“新基建”在各领域的加速建设,将会极大地推动数据爆发性增长,这既是企业未来发展最重要的驱动力,但同时也给企业在数据管理的方方面面提出了新挑战。在联想凌拓产品管理与营销高级总监林佑声看来:“随着‘新基建’的提速,许多新的应用场景将被逐一打开,但本质上它的底层支撑仍然是数据,因此

2021年你最期待的游戏是什么?丨问爆触乐
游戏

2021年你最期待的游戏是什么?丨问爆触乐

529 触乐

问爆触乐是我们的问答互动栏目,每周日推出。每期提出一个问题邀请大家来回答互动,如果你有什么希望看到大家看法的好问题,也可以在后台告诉我们。各位尊贵的读者们好!上一期问爆触乐《你对游戏中的哪些节日印象深刻?》中,获得点赞数最多的评论是:云曦还是动物之森吧。就像人生,错过了就要等明年了。花有重开日,人无再少年。朴素的设置里面却蕴有深刻人生哲理。我想,这也是动森能

私房话

喜欢和女人一起喝酒

341 平叔闲谭

喜欢和女人一起喝酒作者▏平叔给身边的朋友做个阶级划分,基本就是两类,一类是喝酒的,另一类就是不喝酒的。细数一下,似乎喝酒的要比不喝酒的要多的多,其中还不乏女性酒友。说句发自内心深出的大实话,我其实是很愿意和女人在一起喝酒的。为什么?因为女人喝酒实在,不装。记得九十年代去京城,好像也是个寒冷的季节,朋友带着他新婚的女人一起招待我吃饭,女人是准备要生育的,就说不

上线15载、年营收超20亿,这个IP打算用新品再现爆款
游戏

上线15载、年营收超20亿,这个IP打算用新品再现爆款

911 游戏葡萄

征途IP布局背后的思考。文/迪亚菠萝包从最早的端游算起,征途已经面世15年了。这个IP的商业成功无需赘述,直接看看数据吧:全系产品累计营收超过300亿,注册玩家超5亿,至今所有产品每年仍贡献超20亿的收入......而在上周举行的玩家见面会上,巨人网络征途IP赛道负责人赵剑枫又宣布,将在2021年推出多款新品:2款面向国内市场的新游被他称为「绝对爆款」;他们

二哈长“不老”,也长不大,背后的原因却让人心疼
萌宠

二哈长“不老”,也长不大,背后的原因却让人心疼

381 哈士奇搞笑视频

经常这样想过哈士奇小时候多可爱啊如果二哈永远保持着小时候的模样那该是多美好...然而这只哈士奇仿佛吃了不老药,永远长不大听着让人羡慕可背后的原因却让人不禁落泪...这只叫Cascade的哈士奇出生在一个狗贩子的家中因小时候有些疾病,被遗弃在医院里经过检查,发现二哈的脊椎骨骼已经完全闭合目前无法判断是先天发育异常还是后天摔倒受伤所致现在Cascade将永远保持

萌宠

第一次打针好痛痛!小猫奶音哭叫加瘪嘴泛泪,委屈脸萌晕全网:呜…就是好怕怕嘛~

109 宠物帮萌星球

就问!有谁能拒绝这么可爱的小猫猫呢!这只长相呆萌的美短叫做奈奈,名字也是甜到不行,最近它小时候的一段影片被妈妈发到网上,结果吸引一大波猫奴关注,看完之后直呼:心都要化了!奈奈在两个半月的时候被妈妈带去打疫苗,那个时候医院的医生都夸赞奈奈长得好可爱,因为是喵生第一次打针,所以奈奈像个小孩子一样吓得哇哇大哭,全程泪眼汪汪的,仿佛受欺负了似的。打针的时候奈奈就躲在

萌宠

“叔叔阿姨,可以不驱赶我吗?我快要被冻死了!”

718 爱猫

爱猫全网最温暖的公众号,善良的猫奴都关注了关注今年是最冷的一年,各地被最强寒潮袭击,降温幅度堪比2016年“霸王级”寒潮,局地降温可达14℃以上...而我们养的猫,既不用出门被受冻,还有自己的暖窝,或者暖气~但是,对于流浪猫狗来说,却是非常致命的一个冬天。我看到一个新闻报道,在俄罗斯的一些地方缺乏动物收容所,流浪猫狗被迫在近零下50℃的酷寒条件下生存...它

倒在2020年的54家游戏公司
游戏

倒在2020年的54家游戏公司

1371 手游那点事

2019年内逾1200家游戏公司倒闭的消息,无疑在游戏圈掀起了轩然大波。眼见2020年已接近尾声,年内死亡公司的名单亦再次更新。根据IT桔子统计显示,截至2020年7月底,游戏行业内共有54家游戏公司消失,其中七成是研发商。而2019年全年则有334家游戏公司倒闭。需要注意的是,IT桔子的统计数量并不完整,而统计名单的周期也仅为2020年前七个月。但我们仍统

回首2020年,这些事件值得我们玩味
游戏

回首2020年,这些事件值得我们玩味

1597 游戏时光VGtime

2020是特殊的一年,就在我们期待次世代主机的到来,展望玩到更多佳作的时候,突如其来的疫情让许多人体会到了什么叫作真正的「全境封锁」。随着疫情的蔓延,人与人之间的关系不断疏远,居家隔离让每个人都几近成为了社会上的一座孤岛。可能唯有游戏,成为了连接的桥梁。就算疫情影响了我们的生活,这一年来我们依旧与游戏度过了美好的时光。虽然我们错过了线下参加E3、TGS等游戏

萌宠

二哈不慎落水,关键时刻,它居然抓住了消防员的救生圈...

698 宠物大本营

▶点击宠物大本营→点击右上角[...]→选设为星标★别看二哈平时干的事挺不靠谱,但在生死攸关的关键时刻,人家智商绝对在线——12月26日北京,一铲屎官带着二哈出门遛弯时,这货估计是贪玩,跑到了结冰的河面上,并且不慎落入冰水...等到铲屎官发现时,这货就剩两个爪子趴在冰面上,嘴里还正嗷呜嗷呜着求救!铲屎官无奈只得向消防求助,而消防员赶到后,就先扔给了二哈一个救