ASRC2017生態大會,收獲與啟程
責編:mhshi |2017-04-05 17:55:022017年4月1日,好雨時節艷陽斜,詩畫西溪聚英杰,阿里安全響應中心主辦的ASRC 2017 生態大會于杭州西溪賓館隆重召開。
從去年ASRC2016白帽大會到現在的生態大會,ASRC過去一年收獲了許多新的伙伴,包括多位低調的白帽、新生的SRC力量和專業務實的三方團隊與企業,感謝一路有你們!
在3.31下午舉辦的白帽沙龍上,阿里巴巴首席風險官CRO劉振飛先生發表致辭感謝長久以來ASRC白帽伙伴們對阿里安全的大力支持。
阿里巴巴正努力建設未來的世界第五大經濟體,阿里安全覆蓋的業務除了自身擁有上億用戶的眾多業務及收購業務,還有覆蓋千萬商家與合作伙伴的生態。白帽子們幫助解決的每一個問題都可能助力數億用戶的安全。
阿里安全也擁有國內頂尖的紅藍軍隊伍,在攻防領域有很深沉淀,他們許多人從前也是白帽群體,如今來到阿里安全與公司一起成長壯大,不變的是技術上的認真與執著。
振飛最后再次對白帽及合作伙伴們表示感謝,并為年度前六白帽及情報之星頒發了榮譽證書,恭喜羊小弟、Z、Mosuan、jjboom、Sven、Jutaz、單行!
讓我們將視線轉回4.1大會現場,大會舉辦地西溪賓館風景如畫,早晨前來簽到的小伙伴們絡繹不絕。
早上9時15分大會正式開啟,首先登場分享的是阿里巴巴集團技術副總裁杜躍進博士(花名:今亮),他帶來了《構建適應新形勢的安全響應體系》。
杜博士從99年開始參與整理國家層面事件應急響應所需要的技術能力、平臺和應急響應體系,02年主導CNCERT/CC初步建立了全國的合作體系。他指出,在自己的技術能力不斷提升之后,響應速度會更快,范圍快,但是在事件的協調處置層面完全需要合作,靠自己是不行的。
SRC已成為甲方的一個必備組織,如今的新形勢下生態龐大,各方之間的關系非常復雜,一個環節出錯就可能導致整個生態鏈的安全發生重大危機。藍軍演練了一千次就安全了嗎?還有許多不同手法不同能力不同角度的藍軍,而且如今攻擊很多都是跨域的多重跳轉,唯有組織合作可以更快速的、更大范圍地進行高效響應,所有的甲方都應該成立一個自己的SRC來做這樣的事情。
我們在新形勢下有可能構建一個和以前不一樣的SRC生態圈,把生態擴充到更加豐富物種的閉環的生態,促成各種聯合,就有可能讓我們整個生態的安全響應能力得到一個本質的提升。
激動人心的第二個環節開啟,白帽及生態合作伙伴頒獎!恭喜羊小弟、Z、Mosuan分別獲得了年度前三名十萬、八萬、五萬元的大獎!我們請到頒獎嘉賓杜博士為他們頒發現金支票!
恭喜網絡尖刀榮獲1個月度鉆石、2個月度黃金、多個月度白銀及青銅團隊稱號獎勵!他們的獎勵總數驚人,為阿里安全生態做出了卓越貢獻!恭喜SaintSec、魔方安全、233SEC、湖南金盾、北斗團隊、單行網絡分別獲得白銀及青銅團隊稱號!我們請到頒獎嘉賓阿里巴巴資深安全專家侯客為他們頒發榮譽證書及獎杯!
恭喜網絡尖刀團隊獲得年度卓越生態合作伙伴團隊稱號!恭喜魔方安全、四葉草安全、PKAV、pax.mac、MS509、安全脈搏、T-safe、SaintSec、湖南金盾、單行網絡和北斗獲得年度優秀生態合作伙伴團隊稱號!我們請到頒獎嘉賓阿里巴巴高級安全專家匯豐為他們頒發榮譽證書!
恭喜長亭科技、硬土殼安全、安恒研究院、永信至誠、君立華域和江南天安獲得年度優秀合作伙伴稱號!我們請到頒獎嘉賓阿里巴巴高級安全專家永良為他們頒發榮譽證書!
獎勵繽紛,ASRC新年又將有什么計劃呢?賢唐接下來帶來了《2017 ASRC工作計劃》。從2013年10月平臺上線到如今,ASRC已經走過了3個半年頭,平臺獎勵從月度定額小禮品回饋、線上商城自由兌換實物、漏洞獎勵翻6倍、天貓卡兌換推出到現在的自由現金兌換,每一步都是一個新的里程碑。
2017財年(2016.4-2017.3)ASRC的有效提交白帽比去年多了33%,有許多優秀的個人、團隊和公司與我們展開了合作嘗試一起解決阿里生態安全的問題,生態合作伙伴眾測就是專注于發現阿里巴巴集團生態合作伙伴高危風險的專項活動。
會上ASRC還發布阿里巴巴開源軟件漏洞收集計劃,收集github上阿里巴巴項目組下的重要開源軟件的漏洞,包括Weex、RocketMQ、Atlas、Tengine、Dubbo、ALiSQL、Oceanbase、Egg、FastJson、Jstorn、Freeline、AndFix的各類安全問題,發現此類開源軟件漏洞危害較大的漏洞極易獲得額外獎勵!
新財年我們會發布新的漏洞獎勵標準、新的威脅情報收集標準,繼續雷峰互聯網安全沙龍全國行及高校行,另外ASRC已發力開啟國際化進程,建立國際安全生態圈,解決業務全球化風險,并殷切希望有國際化意向的同仁精誠合作、攜手向前。
接下來是黑科技環節,阿里巴巴資深安全專家-IOT安全研究負責人侯客為大家現場演示遠程破解智能攝像頭,展示了只要網絡可達的情況下可以遠程任意替換智能攝像頭畫面的效果,相關技術實際上已經遠程控制了攝像頭可以實現任意操作。侯客在隨后的訪談中表示,守護物聯網安全對廣大安全人士來說義不容辭,今天發現的問題只是為了能引起大家對這個領域的重視。我們希望能聯合更多安全研究力量,站在更高的高度用體系化的方案解決物聯網安全隱患,在未來IOT安全領域撐起一片藍天打造一片凈土。
在展示了物聯網安全面臨的風險后,安恒信息高級副總裁袁明坤先生為我們帶來了《RSA2017-遇見物聯網安全的初音未來》。
前幾日剛出的一份報告預測,到2030年將形成7萬億美金規模的物聯網芯片市場,相當于70個谷歌的2016年營收,前景驚人。今年RSA中對物聯網的關注度呈爆發性增長,物聯網安全是今年RSA大會上的熱點,這和去年發生的整垮大半個美國互聯網的DDOS攻擊有關。當前受到業界最關注的三個物聯網安全領域分別是車聯網、智慧醫療和智能家居,而這幾個行業都極易受到攻擊,包括來自供應商合作伙伴的安全風險、勒索軟件的嚴重危害、舊憑證的濫用、信道傳輸劫持、后門利用竊聽等,有多家廠商如ZingBox等提出了針對性的資產管理方案、安全加密方案、安全評價體系等,安恒信息也建設了一套物聯網態勢感知平臺。
大會上安恒信息正式發布物聯網漏洞庫(IOTSRC),地址暫時為http://iot.thorsrc.cn,恭喜一個新的SRC又誕生了!IOTSRC的目標是搜集物聯網行業漏洞,建立漏洞庫,提煉出專注于物聯網行業的威脅情報,匯聚技術資源建立安全規范形成測試工具。目前IOTSRC還處在嘗試性洽談階段,已有十幾家物聯網廠商初步達成意向。
威脅情報熱度已久,但是真正將其有效落地的不多,最后出場的是來自烽火臺威脅情報聯盟、天際友盟CEO楊大路先生為我們帶來《烽火臺威脅情報聯盟安全情報共享機制》。
從國際上來看,安全情報共享已上升到國家比較高的高度。在?RSA上我們看到美國廠商也發起了CTA情報聯盟,主要是廠商間的數據交換。大家認為和安全不太相關的像因特爾之類的廠商都在這個聯盟里面,他們交換的數據涵蓋的比較多,比較有特點的是把金融交易的風險數據也進行了共享和交換,包括黑卡,黑信用卡的信息等等。
在國內,我們發起并聯系了國內12家公司形成烽火臺威脅情報聯盟,在情報的基礎數據以及情報本身做了交換和嘗試。我們一般共享的情報包括資產情報、漏洞情報、威脅情報、事件情報,還有一些安全措施、安全需求甚至業務戰略方面的情報共享。情報共享必然涉及標準,國際上有STIX和 TAX2都可以參考。
烽火臺威脅情報聯盟的每一個成員都需要提供數據或者情報,通過聯盟運營的情報平臺進行成員數據或者情報的交換和共享,并把聯盟成員之間的產品、技術以情報的方式做一些打通,聯盟也已輸出整體解決方案1.0版本來梳理從情報的生產、共享、交換、分析、整合到輸出的過程,指導客戶和用戶如何使用威脅情報。
聯盟的核心就是把情報從各個地方數據匯集起來,產生情報,然后再共享給需要情報的伙伴,包括IBM、啟明等都在用,通過聯盟的平臺,用戶能更好地看見、看懂、應對相關的威脅情報信息。
ASRC2017生態大會傍晚,華東論劍-暨華東網絡安全節專場小聚在西溪濕地一處幽靜的小屋-“好久不見”-進行,二十多位來自天南海北的安全圈資深大咖們齊聚一堂,暢聊人生與理想、生活與事業,這是一次“聽說觀想輕揮扇、有詩有茶有精釀”的好友聚會,眾人暢談到深夜12點仍意猶未盡,在月光中迎著西溪濕地的晚風悄然落幕,ASRC2017生態大會正式結束。
美好的時光總是特別短暫,我們收獲過去,并已準備好迎接未來,2017年ASRC愿有更多的合作伙伴與我們攜手向前,也感謝所有一直支持我們的伙伴們,我們明年再聚!