8月注定是个忙碌的季节,随着气温的持续升高,安全圈也迎来了一年一度的会议的热潮。其中最具影响力之一的XCon 2019于8月19日在京成功举办。
下面嘶吼小编将带大家走进XCon 2019,体验极客的探索世界,领略XCon 2019的技术分享。
嘉宾签到
XCon 2019专注于对安全技术的追求
会议现场,主办方北京未来安全信息技术有限公司CEO王英键先生(呆神)发表了开场致辞:
今年是XCon创办的第18年,其实18年,想来也确实不容易,在座的很多朋友也是一路陪伴和见证了XCon的成长,非常感谢你们的支持。其实XCon在这18年里一直都在坚持着对纯粹技术的追求,历届XCon上也都会出现国内外优质的技术分享。希望在XCon 2019中大家都能有新的收获,也希望在未来前行的路上,还有下一个18年,让我们能够一路并肩。
呆神发表致辞
说到对技术的专注,主办方也确实用心去做了。峰会上,每位参会嘉宾都会拿到一份XCon 2019手册,里面附有部分议题演讲的PPT,让嘉宾可以更方便的学习与参考。
厚厚一本
言归正传,我们关注本届XCon 2019的议题演讲。本届峰会的技术研讨议题涉及多个维度,包含有:“AI安全、web安全、移动安全、漏洞利用、密码学、云计算、云安全、业务安全、企业安防”等九大时下热门领域。峰会现场邀请到来自微软、阿里云、腾讯、唯品会、卡巴斯基、雾帜智能等多个国内外知名信息安全企业的10余位顶尖技术大咖与现场众多参会者一道在静态二进制注入、依托AI技术对抗安全威胁、建设新一代企业安全体系等方面进行了深入而专业的技术探索、学术探讨。
XCon 2019技术研讨
来自Positive Technologie安全研究员负责人Sergey Puzankov带来了关于移动安全的分享:
演讲嘉宾Sergey Puzankov
虽然5G时代通信技术在不断推陈出新,但在交替阶段,世界各地还有很多用户仍在使用基于SS7的GSM和UMTS网络。尽管移动运营商了解如何在2G/3G信号网络中防范基本的威胁,但SS7协议中的新漏洞还是能够绕过现有的安全措施。
基于此现状,Sergey Puzankov在现场讲解了SS7 协议的安全问题、SS7攻击手段、防火墙部署方案、以及防御措施。
来自微软的首席安全工程师Andrey Belenko分享了关于密码学的技术研讨:
演讲者嘉宾Andrey Belenko
密码学无处不在,其应用范围广泛。比如,在支付时、身份验证时、使用加密数字货币时、甚至在上网浏览时,都会涉及密码学。不得不说密码学在信息时代有着重要的地位,同时,密码学的安全性问题也成为了当今安全领域的热门话题。
演讲嘉宾Andrey Belenko凭借在数字安全和取证领域的超过15年的工作经验,让现场嘉宾深入的了解到当代密码学的薄弱点及应对对策。他以分析实例的形式,为现场嘉宾讲解,密码学在各领域的算法应用、计算工作原理及可攻击点。在模拟应用场景下,完美的诠释了密码学技术在应用中的安全问题。
腾讯安全平台部高级安全架构师郭铁涛带来了云原生安全技术的分享:
演讲嘉宾郭铁涛
如今,企业面临网络威胁质与量的双重考验。对于新时代的网络威胁,传统安全边界已不能满足防护需求。“云原生”可能会成为企业安防的新希望。
演讲嘉宾从云原生概念介绍、面临的挑战、实践分析、应用及未来展望,多方面讲述了云原生安全防御策略。
CS博士Nguyen Anh Quynh与CyStack安全研究员Do Minh Tuan带来了静态二进制注入的分享:
演讲嘉宾Nguyen Anh Quynh与CyStack
两位演讲嘉宾分享了静态注入是如何在各种平台上完成的,以及其中所必须处理的技术问题,包括可执行文件格式、如何扩展原始二进制文件以适应新代码、以及简化的静态链接器如何利用OS动态链接器为研究人员完成繁重的工作。而且最后,还发布了一些基于静态二进制注入的新工具。
RC2反窃密实验室负责人,ZerOne无线安全团队创始人Longas 杨哲带来了企业安全反窃密技术对策:
演讲嘉宾Longas 杨哲
演讲嘉宾现场介绍了各种破解、窃密手段、窃密设备及检测工具,每个都是匪夷所思的新姿势。包括有:汽车窃密、利用办公桌物理窃密等,这些窃密方式已经完全脱离了现有信息安全防护体系。
针对于此,演讲嘉宾Longas 杨哲给出了应对之策,本次议题的“反技术窃密对策”主要侧重物理层面的风险控制,较少涉及穿透信息安全的领域。
卡巴斯基实验室全球研究与分析团队安全研究员Denis Makrushin带来了关于医疗行业信息安全的研讨:
演讲嘉宾Denis Makrushin
随着科技不断的发展,医疗行业的技术手段日新月异,随之带来的安全威胁的“副作用”也日益倍增。“SCADA for human”的概念是现代医学关注的核心。该系统以当前的基础设施和技术实现为基础,收集和处理有关人体参数的信息。在一些治疗过程中,一些通过比较脆弱的医疗网络和管理软件传输的数据可能会被破坏,这可能导致攻击者能够同时篡改大量的患者数据。针对此问题,Denis Makrushin为大家带来了真实的案例及技术分析,以及在最后给出了应对策略。
阿里云安全研究员徐越带来的是关于公有云WEB应用0day监控实践:
演讲嘉宾徐越
他们从公有云web应用威胁的现状、如何从HTTP流量中自动挖掘攻击向量、自动0 day监控方案、编码/加密攻击流量挖掘、案例分析等多方面入手,讲述了利用数据分析的方法自动化挖掘0-day攻击向量的过程,结合方法论与算法详细阐述0-day监控方案和加密攻击向量的识别方案,最终通过两次高危0-day监控的真实案例验证效果。
唯品会信息安全总监朱应龙给大家带来了新一代企业安全体系建设的分享:
演讲嘉宾朱应龙
该议题从“护网”的思考、安全技术体系、安全建设、实战型安全体系实践、安全运营及案例等,多方面探讨了安全运营如何融合业务、技术、流程等多种关键资源、加速风险决策、增强安全体系实战力。
在人工智能方面,绝对是XCon 2019的重头戏。来自卡巴斯基实验室的副首席技术官Sergey Gordeychik、阿里云高级安全工程师徐元振和闫佳男、雾帜智能的CTO傅奎,在XCon 2019上分别带来了关于机器学习与AI技术的可靠性和安全性研究、在云计算时代机器学习与深度学习实践、在企业安全防御中AI技术的应用,的精彩演讲。对AI技术领域进行了多维度的探索与研讨。
左到右:Sergey Gordeychik、徐元振和闫佳男、傅奎
其中,Sergey Gordeychik的分享让现场嘉宾耳目一新,他以很多贴近生活的实例诠释了AI技术的安全问题。而且除了AI技术的分享外,还注重讲解了在工作中我们该如何去思考,该用什么方式去思考。
演讲中Sergey Gordeychik与嘉宾谈论了人工智能和人脑的差别问题,同时为现场嘉宾推荐了一本书,他在这本书中得到了很多的启发。
Sergey Gordeychik的分享
在XCon 2019的坚持里我们看到了信息安全人对安全技术的追求与渴望,对更加安全有序的网络空间的向往,对智慧未来、美好未来的憧憬与期待。
XCon 2019安全焦点信息安全技术峰会于8月20日顺利落幕。经过经验的沉淀,信息安全人又将开启新的征程,在安全领域继续守护用户安全、企业安全、国家安全。