FIT 2019議題前瞻:從Bugbounty到網路空間,如何做好一名合格的白帽丨X-Tech技術派對
自網路問世以來,就在不斷地通過各種方式改善人們的生活。如今步入“網際網路+”時代,網際網路的創新成果高度融合在了經濟社會的各個領域之中,人們越來越多的日常行為得以通過網路實現。雲端計算、大資料、物聯網、人工智慧等等為代表的新一代資訊科技與傳統產業的融合創新,更是加速了數字化社會的轉型革新。不斷提升的創新力和生產力,也形成了更廣泛的發展生態。
然而,安全問題並沒有隨著技術的發展而消失,反而在科技飛躍的時代迎來了爆發,漏洞、惡意軟體、社會工程學等網路行為層出不窮。隨著數字化轉型的不斷深入,各大傳統領域正在以前所未有的速度被“織”進這張大網,網路安全的邊界不斷擴大。
“沒有絕對安全的系統”這句話在安全行業已是眾人皆知,作為從網際網路誕生之日起就常伴其身的漏洞,隨著科技多樣化也同樣變得難以防範,如今的網路在漏洞面前更加不堪一擊。當網路和現實彼此融合的時候,網路安全問題影響的範圍和深度也不可同日而語。
因此,面對日益複雜的網路態勢,屢禁不止的漏洞威脅,這樣一種機遇和挑戰並存的時代,各位處於網際網路安全頂端的大佬們又會有怎樣的應對手段?
從Bugbounty看應用安全攻防
對於一家網際網路企業而言,網路安全問題至關重要,但趨於某些條件的限制,很多企業並沒有在安全方面有適當的投入,因此漏洞威脅並沒有得到緩解。漏洞賞金計劃如今已經成為了很多網際網路公司的重要安全策略之一,在國內外都承擔了相當關鍵的職能,並且上線一段時間以來表現也是相當的優越。不僅為企業大大減輕了運營成本,同時相較於企業自主聘請安全人員,也具有更高的效率和靈活性。
近兩年,越來越多的組織、公司加入到了漏洞獎勵計劃,因此“Bugbounty”也逐漸變成了一項“全民運動”。
鬥象科技CTO張天琪通過近年來親身參與國外廠商漏洞挖掘經歷,為大家分享當前網際網路應用技術發展趨勢及安全攻防趨勢。隨著當前網際網路業務需求複雜度的提升,大量新型技術元件被引入應用構建之中,如新型資料庫、快取、訊息佇列、大資料元件、容器元件等等,從而大大增加了應用自身的攻擊面。同時伴隨大量業務向雲上遷移,雲服務提供的功能特性愈加豐富,使得當前構建應用安全體系往往需要兼顧WEB安全,移動安全,PC端安全等多種安全方向,增加了應用安全體系建設的難度。
本議題將通過大量真實案例,分享各類大型廠商在當前新技術環境下所暴露出的應用安全風險以及對應緩解措施。
張天琪是鬥象科技聯合創始人兼首席技術官,應用安全專家,國內首家網際網路安全新媒體“FreeBuf”創辦人之一,國內領先的網際網路安全服務平臺“漏洞盒子”,全息安全風險監控與分析系統“網藤風險感知”技術總負責人。Qcon、GSMA、ISC、OWASP等行業峰會演講者,多次上榜Google,Microsoft,Yahoo,Paypal等國外廠商安全名人堂,360 Hackpwn大賽評委。
基於網路空間搜尋引擎的通用漏洞挖掘
自網際網路誕生時起,網路空間就猶如混沌初開一般急速擴張,隨著多年來的發展,網際網路現今已從點對點連結這種虛擬狀態上延伸和擴張到了物與物相連,將網路資訊交換和人機互動帶入了現實世界中,形成了萬物互聯的物聯網。網路空間引擎能夠將網際網路上公開的網路資產和裝置資訊進行收集和整理,通過網路空間搜尋引擎,我們可以快速的知道,我們身邊有多少計算機,多少伺服器,有多少聯網裝置。如果說GPS繪製了世界的地圖,那麼網路空間搜尋引擎就是整個網際網路世界的地圖。
網路空間搜尋引擎跟網路安全漏洞息息相關,常用來對已知組建的nday漏洞影響面進行測繪評估。本議題就將介紹通過利用網路空間搜尋引擎ZoomEye對未知通用元件識別並進行0day漏洞挖掘一些方法探索。
黑哥(superhei),全名周景平,知道創宇首席安全官兼404實驗室總監,多次帶領團隊協助修復了微軟安全分級最高級別漏洞,也因於此,在2015年世界黑帽大會 BlackHat 上入選了微軟“歷史Top100貢獻榜單”,次年再次入選年度MSRC 2016 Top100榜單。黑哥因在 Web 安全領域做出了傑出的貢獻被稱為“ 中國黑客傳說”, 同時利用自身的影響力, 帶動了一批年輕人一起做出了一些意義不凡的成績。
K哥談:白帽子轉型養成之路
在多數人的認知中,“黑客”就是無惡不作的。孰不知,在黑客世界中,也同時存在著“黑”、“白”兩道。他們做著相同的事情:通過自身卓越的技術,不斷在網路中搜尋計算機、伺服器與網路系統中的安全漏洞。其中,正義的一方,也就是我們所說的“白帽子”了。隨著網際網路技術的快速發展,數字化時代革新的加速,網路安全逐漸成為了國家乃至世界的主旋律,白帽子的隊伍也不斷的發展壯大。
黑客的外表下,隱藏著一顆正義的心。現今世界,網路安全隱患無處不在,各色漏洞不斷爆發,當然,有攻就有防,面對黑客的步步緊逼、網路世界的重重威脅,正是無數的白帽子組成了網路世界的第一道屏障。
作為資深“白帽”,有的人說K哥的成長很傳奇,有的人說很勵志,有的人說很普通。因此,無論怎麼樣,通過本次議題,K哥將從白帽子過去的成長軌跡、目前心理與狀態、未來發展與規劃,這3個主要方向進行議題分享。
有的人放棄了安全,有的人始終追著安全領域的腳步,有的人從入門到入獄了,也有的人放棄了但是用了其他方式來實現自己的安全夢,從未成年到成年白帽的一些事兒,你會在這裡聽到很多耳熟能詳的”梗”,結合昨天,今天,明天的方式思維進行交流,如:生活、工作、學習…等多角度分析,並且講解過程中會剖析出更多的思考點和解決辦法,最後在轉型思考與建議的方向裡給予一定程度的參考講解。
K哥,孔韜循(K0r4dij-小K),丁牛科技現任CSO,著名資訊保安團隊破曉團隊(Pox Team)創始人,半路高中輟學野路子出身,至今領域接觸時間已逾10年,中途曾多年公益性質幫助過無數白帽子走上網路資訊保安行業相關崗位,並正確的方式引導和協助白帽子群體制定自己專屬的人生成長軌跡。從業多年安全並擁有多年國家級黨政軍資訊保安專案服務經驗,如:國家部委機關單位等。擅長滲透測試、Web漏洞挖掘、應急響應等資訊保安技能,期間曾參與過世界一帶一路-資訊保安相關專案實施。作為安全從業者,始終相信:沒有高手和菜鳥,只有玩的多和少!
FIT 2019網際網路安全創新大會
FreeBuf網際網路安全創新大會(FIT)是由國內領先的網際網路安全新媒體平臺FreeBuf.COM主辦的年度網際網路安全盛會,WitAwards網際網路安全頒獎盛典也將同期舉行。
FIT 2019大會會期為 2018年12月12日~13日 ,會議將在 上海寶華萬豪酒店 舉行。本次大會主論壇議程聚焦 「全球高峰會」、「前沿安全神盾局」、「WitAwards頒獎盛典」、「WIT安全創新者聯盟」「X-TECH技術派對」、「HACK DEMO」 六大板塊,獨立分設 「白帽LIVE」 及 「企業安全俱樂部」 兩大分論壇,與來自全球的安全從業者、優秀技術專家、企業安全建設者、白帽安全專家、研究機構等共同展開演講與探討。同時 「中國首席資訊保安官高峰論壇 」、 「漏洞馬拉松線下邀請賽」 也將在特色分會場同期舉行。此次盛會致力於分享2018年度安全行業創新碩果,共同探索與展望未來安全新邊界。
ofollow,noindex">>>>【FIT 2019官網】