匆匆,赴一座城。

佩服许多网络媒体,次日总能把最新的报道文章发出来,北京呆了一个星期,我开始重新思考我的三观,修补删改一个星期,文章仅代表个人思想,与其他任何人或组织无关!

Day One

因为不适应或者只在主会场呆着的原因,值得的思考的问题很多,但我还是比较喜欢技术上的交流

keep people safe?

当下是机器的对抗还是人的对抗?

当代的CIA原则的“I”应该换作可鉴定和可控制?

Cyberspace security?物理层面,运行层面,数据层面,内容层面;载体,资源,主体,形式;

怎么结合保卫、保护、保障做网络安全;

云计算2.0、大数据2.0、等保2.0…..我们为什么要进入2.0?

下午基本是闲逛,展厅有许多稀奇古怪的东西:网络安全概念车、机器人、基于raspberry pie的hadoop集群,XCTF决赛现场、密室逃脱等;听了云计算2.0安全技术创新论坛的内容,感觉不太适合我….来到了DEFCON GROUP 010,I am hacker,I change things :) ,这里的气氛不像其他的会议,年轻、轻松、深入浅出,感觉渐入佳境了,毕竟有了第一天的经验。

Day Two

网络军火与公共安全

Brian Gorenc是ZDI项目的负责人,演讲题目为《网络军火与公共安全》,这老哥的演讲有种让人提神醒脑的感觉,chrome clipboard sandbox escape、Internet explorer localhost sandbox bypass、Virtual machine escape三个短视频让我高潮了…和昨天的大佬们一样都是站在了国家的角度谈论网络安全的问题,或者用周鸿祎说的这是一个“大安全”的问题;周鸿祎才演讲完没多久,媒体就公开了他《人是安全的尺度》的演讲文字记录。两天的交流中都感觉到了国内CTF的热潮和漏洞平台的再次崛起,但也如记者问周鸿祎的问题:

我听到一个说法,这次 Pwn2Own 拿了冠军,但其实当时你不想让360的团队参加,说漏洞不要给别人,我想求证下这个说法—-摘自雷锋网

关于网络军火库是正在发生的问题,周鸿祎打了一个比方:過去行军打仗都是陆战为主,而且一定是粮草先行;陆战发展到今天,若有一战,定有空中力量作为前期支援和铺垫;如今的网络战甚至比制空权来的还更早更激烈一些,瘫痪你的通讯、控制等系统,不战屈兵;作为ZDI项目负责人的Brian Gorenc也聊到了地下市场,也就是金钱、人才、道德的话题。

人+威胁情报 网络世界的真实对抗

由思科Talos技术主管Holger Unterbrink做演讲。大会高频词在这里一直出现:ransomware、 wannacry and petya。有一句话我非常赞同,NO honor belong thieves !!! 然后Holger Unterbrink也给了几点建议防范勒索病毒的建议:

  1. Do offline backups
  2. Patch your systems
  3. educate your user
  4. Do not trust partner networks
  5. Use an intergrated Muti-lager security architechure

人工智能在互联网安全的机会与挑战

由Gartner研究副总裁Tracy Tsai做演讲。老实说,人工智能方面我真的是一个小白,Tracy Tsai的演讲让我获益良多。开场就抛出了问题:每一个产品或者厂家都说有人工智能相关的内容;听完我真的有很大的共鸣,Artificial Intelligence和Cyberspace Security的定义清晰了吗?对我而已可能我还在思考探索阶段。然后做了why it won`t happen 和why is will happen的分析,按照我自己的理解归纳了两个观点的交集在于:

  1. 特定的领域会有特定的算法;
  2. 机器需要训练,分为有人监督和无人监督;
  3. 有专门的人管理这事;
  4. 对数据的要求;

Tracy Tsai还分享了人工智能当前比较适合的领域,如应用安全、恶意软件、漏洞测试、SIEM管理、用户行为和网络流量分析,每一个领域都会有对应的挑战和机会。如上所归纳的四点,数据科学家的培养就得两三年,数据的修正和诱导又是一大难题,钱和数据哪里来?产品完成之后能不能迁移到其他境使用?假设应用安全测试可以降低误报率、漏洞测试甚至还能自主修正Bug等等,人工智能是不是能做到那么强大,我们还需要拭目以待;最后Tracy Tsai提出四个关于研究人工智能的要求和开发流程指导。要求包括:

  1. 自动化;
  2. 7x24小时;
  3. 准确;
  4. 多参数的关联;

人工智能在我看来就是把呱呱落地的婴儿抚养成人的过程,成长的营养与教育十分关键;机器能多维度的看待事情,但我们当前缺乏一套可量化的标准去衡量人工智能在某些方面是否合适,导致了对应的开发工作变的随意化。参考Tracy Tsai的人工智能开发流程分享,我觉得应该是这样的:先量化原本事务的流程,我们为什么要用人工智能或者结合人工智能;然后分析自己的资源,如时间、金钱、人员和数据的投入需要多少,数据监督的办法是什么?第三步,动手。后续可以参考Tracy Tsai提到的action plan for security and risk managers,包括周一早上、未来九十天、未来一年的内容。结束的时候又抛出两个问题:

  1. 当失去准确性的时候,删除不良数据的难度;
  2. 准确性随着时间的推演开始下降,怎么应对;

大数据与威胁分析论坛

第一场:可视化技术在复杂威胁分析中的应用,由北京大学的信息科学中心副主任袁晓如先生做演讲;袁晓如先生去年ISC大会的面向安全的可视化与可视分析演讲,让我现在依然记忆犹新;去年由360提出的数据驱动安全和这个会场的内容息息相关,去年的题目为从微观到宏观—大数据如何改变安全的演讲也让我学到了不少东西。

开场不久,就定义了:可视化分析是由交互可视界面支持的分析推理的科学,这是科学! 虽然我对大数据的研究时间很短,但是确实很多厂家都喜欢用炫酷的界面做展示,但可视化更多的应该是提高认知的一个途径,袁晓如先生在去年和今年都强调了这背后是有心理学的知识作为支撑。在我看来的可视化,应该是在你毫无头绪的时候给了你许多的方向,从这些新的角度你能看到不同的内容。演讲中,袁晓如先生分享了一个参加比赛的题目,如警察办案般一步步接近事情的真相。整个流程我们有了大量的图表信息,我们需要对数据进行抽丝剥茧,到了这一步就需要人的参与了。我这里大胆的假设如果这一部分如果结合人工智能,那可能会颠覆人类在某方面的认知!最后袁晓如先生认为下一代可视化的发展方向应该是AI + VIS 或者 AR + VIS ,可视化应该是交互的。

第二场:基于大数据与机器学习的纵深防御体系建设,由思睿嘉得创始人董靖做演讲;和去年数据安全离不开的应该有威胁情报这一个词,会中董靖强调了威胁情报只是一个辅助工具,但人们对他的期望过高的,导致近两年威胁情报让人感觉是忽悠人的;其实网络安全行业的情报圈很多,做安全方面研究的人知道这些情报的利弊。拿wannacry来说,人家微软在2017年3月14日已经发布了补丁,情报圈内也早有大佬预言大面积的安全事件将会发生,北京时间5月11日下午,圈内的外国小伙伴在发wannacry的截图预警了….故事太长,不码了。总结一句,我认为威胁情报是有意义的,但需要把它的价值用更加直观的方式呈现出来;纵深防御体系一词多次被解释,入行很短时间,不敢妄下评论,我相信任何事物都有两面性;ISC结束的第二天就在朋友圈看到一张这样的图:

换了一个会场,四川大学网络空间安全学院副院长陈兴蜀谈高校网络安全;先铺垫了网络安全的重要性,然后提到了四川大学的两大系统:舆情监控和安全态势分析大数据平台;研究技术的人应该都知道这两套东西的原理是什么,但这一套系统由四川大学的学生参与建设,而且调试的很好,所以系统的可用性和价值都大大提升了;

结束语

  • 某提供ISC直播的平台上被XSS玩坏了;
  • 其实没门票也有办法进入会场,毕竟“人是安全的尺度”;

在帝都遇到了许多人和事,有时候我在想我为什么去了ISC?我都做了些什么? what I long for it?

20170922 update
PPT链接: https://pan.baidu.com/s/1pLI9nhp 密码: be4b