先知白帽大会图记:让安全再暖一点

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全基线管理CSPM免费试用,1000次1年
云安全中心漏洞修复资源包免费试用,100次1年
简介: 白帽子,一群有技术、有爱心、有正义感的网络护航者,终于汇聚在先知,这是我们一直期待做的事情。

3月24日-25日,先知白帽大会终于在零度的北京温暖进行,


金隅喜来登酒店会场外,是这样……



而白帽大会现场,是这样!





白帽大会这次想带给大家的,不仅仅是技术议题、大咖云集、行业趋势……



不仅仅是有情有义,还有正义感。


黑科集市上,分享技术和创意



颁奖晚宴上,把酒唱起海阔天空,



道哥为每一张年度最佳白帽子的奖状留下自己的笔迹



有一百个瞬间,让你感受白帽子的侠义和情义。




心开始



安全君觉得最有爱的瞬间,还是24日现场,先知联合阿里公益共同发布了“先知公益计划和公益基金”。从零到一,我们想用安全技术为孩子们带去一些改变。


阿里公益、民政部、阿里云与白帽子代表共同开启先知公益计划 · 先知公益基金


白帽子代表先知公益基金首批善款捐赠给中国扶贫基金会,通过“爱心包裹”项目资助山区孩子购买学习用品;他们从去年11月开始,就用公益众测的方式,帮助企业发现漏洞,也支持了慈善


阿里云安全资深总监肖力分享“先知公益计划”的初衷,和白帽子、安全公司的社会责任


有现场的朋友告诉我说:"看到两位白帽子把沉甸甸的46万支票捐给中国扶贫基金会,接过捐赠证书后,说的感言却是朴实无华。突然觉得这就是做技术人的魅力所在,他们永远觉得自己所做的很轻,其实意义却很重。”


2016年至今,基金已筹得100万善款。未来除了资助儿童助学项目之外,还将用于支持互联网安全技术人才培养,为更多的‘白帽子’提供参与互联网公益的机会。


“我们希望技术让世界带来微小而美好的改变。希望‘白帽子’们用自己擅长的方式参与到公益中来,我们也将用云计算赋能公益组织信息化建设,帮助中国公益事业的发展。”阿里巴巴集团社会责任专家华山说。





信为先




如果先知公益计划是让白帽子用一种更有爱心的方式去做众测,那么另外一个重磅发布环节:可信众测,就是对众测模式的信任度再升一级。


发布现场,国家信息技术安全研究中心二处副处长曹岳与阿里云首席安全研究员吴翰清联合发布了可信众测。双方将共同创新众测管控模式,给白帽子提供一个更加安全透明的测试平台,让更多的用户获得白帽子的安全测试能力,从而提升网络安全攻防能力。

 


从2015年开始,阿里云先知平台逐渐建立了从身份认证、行为审计到漏洞审核的“可信闭环”。在身份认证和人员准入方面,先知测试人员经过支付宝实名认证;在行为审计和漏洞审核方面,先知通过大数据安全分析,对测试人员行为及路径进行实时审计和展现,判断其操作是否符合平台规则;同时为企业提供完整的漏洞报告,对企业的漏洞信息严格保密。

 

2016年,阿里云也通过《安全服务职业宣言》向安全行业发出“尊重、正直、公正、责任”的倡议,承诺始终将客户安全放在第一位,呼吁安全行业从业者保护客户的隐私与权益。


聊干货


两天会议中,几个人气议题的精彩语录,我们也来逛一逛。


先知16年总结和17年展望

笑然:阿里云先知负责人


“2017年,先知平台的主题是责任。第一、平台对白帽子的责任,白帽子的培养和教育,不光是技术方面的,还有法律层面的或者其他方面,个人技能相关的方面。第二、向外部推行公益众测的模式,也会有更多的公益志愿者活动。 第三、白帽子的技术和人品是特别需要我们进行互相的背书,这方面也会投入很大的精力帮白帽子做技术和人品的背书,第四、我们会成立国内首个属于白帽子自己的基金。也非常希望看到一些对公益有热情的白帽子参与到基金的日常管理中来。”


奇葩漏洞面面观--我的众测经验谈

Gr36_:先知Top白帽


“我接触众测是在三年前,三年前众测作为刚刚萌芽的新兴的安全服务模式,大家对它还有一些置疑,但是发展到现在依靠大家的努力,整个安全圈甚至整个IT业界对众测的模式已经广泛的接受并且认可,我相信众测多方共赢的安全服务模式,可以改变很多人的生活,至少对我来说是这样的。我在国内几个众测平台都留下了自己的足迹。”


云上的甲方安全小队建设

常春峰:58到家安全负责人


“云的好处在于把一些安全服务基础化,技术上讲更像是在更安全的框架上做开发,大公司把在安全方面的实践和经验转化成产品和服务,来弥补中小企业人才和成本上导致的安全空白。”


谈互联网的安全发展

吴翰清:阿里云首席安全研究员


“互联网再往后发展会发生什么?今天非常热门的一些技术已经在兴起,包括IOT、VR、AR、人工智能,我个人觉得技术是应该要去不断的拓展商业边界的,技术特别是基础性技术对整个商业发展,甚至对整个社会促进作用都会带来不可磨灭的影响。安全在其中的责任就是去维护整个互联网的秩序,这是整个安全的终极目的”


WAF是时候跟正则表达式说再见

破见:PHP-DDOS漏洞(CVE-2015-4024)作者


“目前深度学习、神经网络和其他模型的了解,用RNN是比较有效的学习模型,在语义检测中可以把东西抽象出来,不断的学习和尝试当中”


以程序架构探索移动应用安全的发展历程

柴浩:四叶草安全研究员


“刚开始以体验为主安全为辅,再到以安全为主牺牲一些用户体验,再到用户体验和安全之间的平衡,这么多年用户体验和数据安全是慢慢变得平衡状态的过程,移动运营安全的发展,也就是体验和安全平衡的状态,以后安全和体验会变成让用户体验得到安全,这就是我个人觉得移动运用在未来的安全的发展方向。”


一発入魂 - XNU内核漏洞分析与利用

蒸米:阿里巴巴安全专家


“安全界发布了非常多的开源的攻击代码,导致能够非常容易的利用这些漏洞,因此下一步的方向和研究趋势是如何挖掘这些漏洞”


如何真实有效的对抗勒索软件

倪茂志:勒索软件终结者作者


“相信每一位从事信息安全的同事都有血泪史,落地是永远的痛,面对如此艰难的工作我们如何做呢?首先要把心态调整好,信息安全管理体系落地是一场持久战,其次落地是没有标准没有模板的因地制宜是关键,就像定制开发只有不断的摸索实践中前进。”


那些年我们安全建设走过的烂路

陈静:唯品会安全管理与培训团队负责人


“安全意识,安全意识是贯穿在信息安全建设的整个过程,意识的养成和重要程度一点不比管理和技术低,在做信息安全意识培训宣贯所秉承的理念是,将信息安全融入企业文化”


云上漏洞挖掘思路

鸟哥:阿里云高级安全专家


“第一次2012年我当时作为一个白帽子,我有一个朦胧的感觉,感觉云一定会是下一个年度的热点,我也怀揣着这个梦想做到了现在阿里云做了三年,现在有一些不错自己认为不错的成绩跟大家分享和交流。”


DNS中的“奇葩”数据解析

张在峰:360网络安全研究院安全分析师


“从我的理解上,我把DNS大方面分两个大类,第一是用于恶意目的的,也就是经常看到的恶意软件为了躲避网络的封堵,定期按照不同的算法生成大量的域名,可以完全堵死,比较典型的例子是,每天会生成大量的也无法封堵。”


入侵智能家居网络

王欣:安恒海特安全实验室负责人


“我们现在在做一些物联网一些智能家居或者是其他的智慧医疗、智慧城市等等,总体经常跟一些朋友或者同事开玩笑,我们在做一些物联网安全,一方面一个目的是阻碍物联网的发展,因为研究下来之后发现物联网在安全是存在比较大的空白。”


Hunting CVEs for fun and profit

何淇丹(flanker):腾讯科恩实验室高级研究员


“最常见的入口浏览器包括GS漏洞的利用,去获得最初始的入口代码执行,需要有一个逃逸最终实现权限提升,也可以通过内核漏洞直接实现逃逸。”


没有绝对的WAF防御

从容:河图安全团队成员


“同一个绕过方式在很多家都可以用,使用正则进行识别规则是很相似的”


《针对DNS的随机域名DDoS攻击综述:特性、攻击法、检测和阻断》

phunter:Nominum首席数据科学家,物理学博士


“我们从所有的全球数据终进行学习来判断,与全球数据进行分类查询并且做规则系统,发现当中有一些是随机域名,有一些是合法域名,攻击的流量是通过所有的历史数据进行学习,可以学习到对于每一个域名下合法的查询应该是怎样的”


企业安全团队的生存之道

王哲:宜人贷信息安全总监兼运维总监


“为什么要做安全能力的情景化,从能力转型到产品,提高安全工作人员的效率,满足个性化需求,达到甲方安全团队技术的沉淀,离比较新的安全技术更进一步。”


创业---一门自我渗透的艺术

四爷:安识科技联合创始人


“创业也是一门艺术,我无法跟大家去讲,也无法跟合伙人去讲,稍不留意公司就会死掉,创业者的激情很高,但是安全创业者死掉的也很多,无非是合伙人自己不想干了,另外是钱不够烧了,我们时刻保持危机感,保持自我渗透”


我的白帽学习路线

猪猪侠


在生活中在时间安排上,忘记一些琐碎的事情,多学习。你跟大家说,你要掌握一门技术语言,成为一个白帽,学会一门安全技术,这都只是一句话。重要的是,你在下面的时间里,有没有去做出一步一步的努力。”


大咖圆桌

黑哥:知道创宇首席安全官
迅迪:阿里巴巴高级安全专家
薛锋:微步在线创始人
云舒:默安科技联合创始人兼CTO
张耀疆:安在新媒体创始人




谁是先知

年度最佳




借24日晚的“年度颁奖晚宴”,先知向一年来做出贡献的白帽子、安全公司、合作团队和社区作者,道了感谢。



年度最佳白帽子

获奖者:Gr36_、安识科技_4爷、kernel_dbg、A、bey0nd、雨了个雨、X、my5t3ry、男仔无才、换个昵称

第一:Gr36_、第二:安识科技_4爷、第三:kernel_dbg,



年度合作安全公司

获奖者:上海安识网络科技有限公司、西安四叶草信息技术有限公司、北京长亭科技有限公司、广西北斗天璇信息科技有限公司、九江墨眉网络科技有限公司。



年度合作安全团队

获奖者:河图、安全盒子、网络尖刀。



先知安全技术社区年度作者

获奖者:从容




先知安全技术社区年度特殊贡献

获奖者:凌风



白帽子,一群有技术、有爱心、有正义感的网络护航者,终于汇聚在先知,这是我们一直期待做的事情。


就像笑然所说:"我在想哪怕我们运营能力不够的情况下,我也希望能给白帽子有一个线下的交流,沙龙、白帽大会都可以,我甚至线下小范围发了一部分的问卷,大家最期待的两个嘉宾是道哥和鸟哥,今天也请会请他们做分享,今天举办的白帽大会是相当于去年8月份就欠大家的,到今天终于还了。"


目录
相关文章
|
云安全 安全 Cloud Native
白帽大会先知2.0正式回归,阿里云安全防御体系的变与不变
暌违三年,再聚杭州 立足业务众测与全平台风险发现, 整合ASRC与先知社区全量白帽伙伴, 2023阿里白帽大会,正式回归。
1370 0
|
安全 测试技术 网络安全
阿里云先知:为中国公益机构投入200万安全基金,为全球企业避免15亿经济损失
6月16日,2018阿里云先知 · 白帽大会在京召开。近千名安全研究者和白帽子齐聚,分享其近一年来的成长与技术突破。 现场,阿里云先知负责人王昱(猪猪侠)宣布:先知将成立“先知红队”,在业界和平台白帽子中选拔出的精英白帽子,与阿里巴巴集团安全专家组成的安全团队,并肩作战,共同为全社会输出安全攻防能力。
4084 0
|
安全 物联网 Java
2018先知白帽大会 | 议题解读
今年的先知白帽大会,与会者将能够亲身感受到非常多有趣的技术议题,如HITCON在国际赛事中屡夺佳绩的CTF团队,其队长Orange将亲临现场,分享穿针引线般的漏洞利用艺术。 当然,还有代码审计圈的新锐phithon、jkgh006、廖新喜,在国际会议锤炼过的redrain、白小龙、蒸米、kevin2600,战斗在阿里一线的安全工程师菜丝、cdxy、猪猪侠等知名白帽也会现身现场,与大家一起畅聊技术思路和攻防实践经验。
8181 0
|
安全
2018先知白帽大会 | 重温白帽文化,只为技术而来
2018年6月16日,即将在北京上演一年一度的“先知”白帽盛会。尊崇“白帽文化”,我们带来的是一场真正属于“白帽子”的技术大赏。 12位安全领域的佼佼者,聚焦“攻与防”的技术践行。通过「安全技术成果」和「实战经验」分享,在场的每一个人都将收获满满。
3660 0
|
安全 测试技术
先知创新大会 | 现场众测,守护者的“竞技场”
除了代表中国原创力量的先知奖 16大前沿安全技术研究 ZHI的主题歌 先知创新大会 还有一个人气爆满的现场福利 与陌陌SRC联手的 线下众测赛! 跟着安全君 一起回顾现场盛况吧。 什么是现场众测? 先知平台通过线上、线下等多个渠道招募技术优秀、测试经验丰富的白帽子,在创新大会现场设立专门的众测区域,让他们从线上走到线下,现场公布测试范围,进行为期两天的现场安全测试和漏洞挖掘,挖到漏洞后提交到先知平台,当场进行漏洞审核和确认。
2410 0
|
机器学习/深度学习 人工智能 安全
2017 先知创新大会现场盘点 | 以干货彰显实力
量子密码的现有研究和未来趋势 议题:量子和相对论密码学:基于物理原理的信息安全 演讲嘉宾:施尧耘  阿里云首席量子技术科学家,之江实验室副主任 “大型量子计算机出现后,目前广泛使用的公钥密码系统都不安全了。
4109 0