花椒大会现场直播链接:http://www.huajiao.com/l/96924919
花椒大会场外直播链接:http://www.huajiao.com/l/96925978
大会详情
补天白帽大会是首个面向全球白帽和技术精英开放,专注于漏洞响应和防护的安全行业大会,由中国最大的漏洞检测与响应平台”补天平台”主办,国内外多家知名企业SRC(Security Response Center)联合支持。
本次大会将秉承开放、协同的原则,广泛邀请国内外知名白帽、技术精英、安全爱好者,与网络安全相关主管机构和知名企业和机构的CISO共同参与,共同解读当前网络安全形势和安全威胁,探讨漏洞响应与防范方案,同时分享交流漏洞挖掘与安全功防等沿议题。
补天平台以协同保护全社会网络安全为使命,致力于做全社会的网络漏洞检测与响应平台,通过补天白帽大会努力为不断成长的安全爱好者提供充满正能量的交流平台,帮助企业和机构建设安全可靠的网络环境。
会议日程
补天白帽大会:全方位解决网络安全隐患
3月30日,补天白帽大会在深圳举行。大会由补天漏洞响应平台主办,指导单位包括国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心、中国信息安全测评中心和国家信息技术安全研究中心。360互联网安全中心、hacker one、 联想SRC,百度SRC等30多家企业和机构均派出代表参加。
据悉,这是国内外知名白帽、技术精英、安全爱好者,与国内网络安全主管机构、知名企业CISO首次齐聚一堂,共同解读当前网络安全形势和安全威胁。与会嘉宾一致认为:调动全社会白帽精英力量,建立企业与白帽子的协同机制,将有助于全方位解决网络安全隐患,帮助企业和机构共建更为安全可靠的网络环境。
白帽子能力获认可 呼吁建立身份认证体系
在本届大会上,既有HackerOne、DEFCON以及补天平台三大国内外安全平台负责人发表精彩的主题演讲,又有华泰证券、携程等知名企业带来的典型案例分享。与会嘉宾围绕“漏洞挖掘的法律边界”、“技术快速成长分析”、“国内外SRC领域现状”、“身份认证体系建设”、“国际合作机制建设”等五大热点议题展开热烈讨论。
他们提出:在网络安全领域,白帽子是一个特殊的群体,由于国内没有专门针对白帽子的相关政策,以致这个群体常常游走于法律边缘。近年来兴起的企业SRC模式,通过企业授权白帽子进行漏洞挖掘,并根据漏洞的危害程度、影响范围提供对应的奖金。这无疑给白帽子提供最好的安全保障。
本次补天白帽大会上,补天漏洞响应平台和厂商代表为白帽子优秀代表颁奖,白帽子的能力获得充分认可的同时,也给了广大厂商吸引白帽子加盟的契机。
与会嘉宾还呼吁建立白帽子身份认证体系,让白帽子在法律法规的指引下,更有效率地挖掘漏洞,为维护网络安全贡献才智。
安全要“走出去” 国内企业SRC探索国际众测道路
此外,作为首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会,补天白帽大会还鼓励与会企业SRC共同探索国际众测道路。
这已经不是360公司探索加强国际间协同合作,分享网络安全领域最新技术研究成果、最新攻击方式及漏洞防护技术的牛刀初试之举。早在2015年举行的世界黑客大会defcon上,来自360独角兽团队(UnicornTeam)的五位中国安全研究人员的三个议题同时入选大会演讲议题,它标志着国内安全攻防研究水平已经受到世界安全行业的认可,国内白帽子已经跻身世界“黑客”第一阵营。
今年RSA结束后,360企业安全集团还组织了“RSA 2017产业与技术趋势研讨会”,邀请从RSA归来的多位专家,分享他们在RSA上的所见所学所思。
凡此种种,都是360公司在促进网络安全跨行业和产业协同合作,应对全球化的网络攻击方面做出的有益尝试。
通过攻防实战检验安全 360对抗式演习发布
在大会上,补天漏洞响应平台还发布了《2016年网站泄漏个人信息形势分析报告》(以下简称《报告》),《报告》指出,2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个,总计可能泄漏个人信息60.5亿条。其中,共有20个网站漏洞可能泄漏5000万条以上的个人信息,还有2个漏洞可能泄漏5亿条以上的个人信息。虽然网站漏洞数量较去年有所下降,但单个漏洞的危害却大大增加,比2015年增加了近三倍。
《报告》统计,在2016年可能泄露个人信息的漏洞中,高危漏洞数量占96.1%,中危占3.6%,低危占0.3%。由此可以看出,绝大多数的网站漏洞对于个人信息安全是“致命”的存在,一旦被不法分子利用,极有可能对用户信息安全造成重大危害。
另外,360公司还发布了国内首个通过攻防实战来检验有效性的安全服务——360对抗式演习,该服务以检测并提升防御体系有效性为核心目的,通过红蓝紫三军的真实对抗演习,从安全技术、安全管理和安全运营等多个维度着手,发现企业安全防御能力的问题和缺陷,并提出切实可行的改进思路和建议,帮助企业不断完善安全体系建设,提升对抗新兴威胁的能力。
作为国内互联网安全的领军企业,360公司在去年的第四届中国互联网安全大会上就提出“协同联动 共建安全+命运共同体”的呼吁,正如360公司董事长周鸿祎在会上所言:网络威胁面前没有幸存者,网络安全也不应该有旁观者。360公司并没有把这些理念和提议停留在口号层面,而是身体力行地做出了表率。
相信随着此次补天白帽大会的成功举办,将有更多优秀白帽子与国内企业相互成就、共同提高。各级安全力量的协同联动将让国内网络安全水平迈上新台阶。
精彩回顾
签到处
DEFCON GROUP 010极客沙龙签到
黑客体验区
大会现场
主持人补天运营小花和补天精英白帽子开场
360企业安全董事长 齐向东致辞
从全球范围来看,互联网应该是人类社会的共同财富,互联网的普及和互联网应用的普及为我们各个国家都带来了发展的新机遇。同时,各个国家也都成了网络安全的一些受害者。来自不同国家的攻击,看上去出发点不一样,被攻击的目标也不一样,但这里面他们有非常多的共同性。比如说一些中国的黑客犯罪分子,他们在美国和欧洲注册一些钓鱼网站,通过非常严密的一些协作再返回到中国大陆来寻找网络攻击者和骗钱。这样一种在海外找跳板再返回到受害国,然后进行实时网络攻击和诈骗几乎成了国际网络犯罪的一个非常通用的模式。我们看似来自某一个国家的网络攻击,但实际上如果我们追根溯源,它的攻击方可能和这个国家没有任何关系,而这个国家仅仅是成为一个网络攻击的跳板。只有通过广泛的国际合作才能有效遏止日益猖獗的、无国界的网络犯罪。
360公司首席安全官 谭晓生致辞
从整体看产业的发展,今天股权平台发布了关于IOT方面的计划,在IOT之后能够看到的就是工业互联网、中国制造2025、工业4.0等等,美国讲工业互联网,这几个概念都是说未来的产业也会互联网化。在过去的工业控制安全基础之上,其实工业互联网本身能够使一个企业从它的客户到它的供应商、企业内部办公、生产规划、自动控制既可横向也可纵向被打出来。在这些未来一个工厂里面自动化程度越来越高、机器人越来越多,它的供应链不得不通过互联网连起来的时候,这是一个传统行业的升级换代,同时也会带来针对工业互联网方面的安全问题。
国家网络与信息安全信息通报中心 副处长 张秀东
国家互联网应急中心运行部主任 严寒冰致辞
国家互联网应急中心漏洞共享平台在2016年软件漏洞一万多起,事件型的漏洞三万多起,总共是四万多起,这是处置的数量。在我们处置的这些事件中除了我们自己收集的以外,还有很多是来自于各个单位报送的相关漏洞,其中补天平台报送的漏洞排名数量第一,在这里我向补天平台表示感谢。另外,也希望补天平台能够越办越好。
Defcon Groups 全球协调人 Jason E street 致辞
演讲人:Hacker One COO 王宁 议题:World's leading bug bounty platform
我们一直坚持一个原则,永久保护漏洞信息。一旦漏洞信息被人利用可能会对我们的企业造成严重的危害,所以我们是谨慎的处理每一个漏洞的投递过程,我们会验证有效身份才会把漏洞信息交给网络安全。
演讲人:补天平台负责人 白健 议题:不忘初心,守护网络安全
演讲人:华泰证券CISO 张嵩 议题:真实环境下的红蓝对抗与协同
企业的安全服务人员和白帽子需要协同,白帽子中有大量的安全研究人员,企业与白帽子可以进行社会上的联动,最终目的是帮助企业实现安全,最终帮助国家实现安全。
演讲人:携程信息安全总监 凌云 议题:携程网站安全建设之路
颁奖环节——年度白帽颁奖
获奖名单:hckmale,carry_your,system_gov
hckmale 2015年4月加入补天平台,北京邮电大学电子专业硕士,读研期间开始学习漏洞挖掘。在2016年提交漏洞数量名列平台第一位,堪称补天平台第一战神!
carry_your 2014年起加入补天平台,在2016年共提交漏洞774个,其中369个高危漏洞,累计获得奖金90多万,可谓是名副其实的赏金猎人.
system_gov,2014年3月加入补天平台。2016年全年提交324个漏洞,审核通过的有效漏洞率达到91%,超高的提交准确率使得他在3万多名补天白帽中脱颖而出,被誉为补天平台的火眼金睛。
颁奖环节——企业安全责任奖
获奖名单:天虹基金,携程旅行网
SRC showtime——四叶草安全市场负责人
SRC showtime——360 SRC负责人张玉
演讲人:Syscan创始人 Thomas Lims 议题:国际黑客形势
最近IOT越来越红了,洗衣机、洗碗机、微波炉、电冰箱、电视,只要你能想到家里用的都能上网,这也是未来的一个趋势,好多厂商也往这个趋势发展。大家可能说我一个电冰箱会有什么威胁呢?可是你电冰箱能上网,黑客能通过电冰箱入侵到其它的地方偷你个人的资料,这也是对社会造成危害,这是国际黑客形势的一个方向。
演讲人: 360核心安全事业部总经理 助理总裁 MJ 发表演讲
演讲人: 盘古安全工程师张燕 议题:使用Janus大规模挖掘支付应用中的安全漏洞
现有支付应用的现状,第一,中国是世界上最大的第三方支付现场,截至2016年底,中国手机支付用户规模达到4.67亿;另外,越来越多的应用集成第三方支付功能以替代传统支付方式。第三,第三方支付产品其实是很多的,实现也很复杂,并且没有一个统一标准的支付模式。在这样一种情况下,对于商户来说实现安全的第三方支付是一个迫切的需求,但是它并不容易,只要在开发过程中某一个环节理解错误或者实现错误可能导致安全问题。
演讲人: 独角兽安全团队负责人 杨卿 议题:无限之刃——无线电攻击面浅析
安全领域需要很多知识,你需要卫星导航知识,还有数学和物理知识,还需要数字信号处理技术,另外还需要一些动手能力。
有人说,原子弹还是老老实实的躺在发射井里,9K47才是大规模杀伤性武器。就这个漏洞来说,我觉得这还是需要很多人及早发现的。我觉得大家可以加入进这个行业,大家一起来做一些事情,其实挺有成就感的。当你在一个领域耕耘了五六年之后,你最后会有一个所谓的技术上的成就,逻辑大咖也会问你在这方面专业领域的东西。
演讲人: 补天精英白帽子 华不再杨 议题:Web攻防的思考
安全是持续运营的过程,及时自动跟随资产变化,实时监控发现黑客行为,及时响应将损失减到最小。
演讲人: 长亭科技安全研究人员 Phithon 议题:CTF比赛总是输?你还差点Tricks
CTF比赛是一个快速进入积累安全知识的一个方式,当然也可以是一个信息安全从业从入门到放弃的路,没有银弹、没有捷径,只有多加训练。
圆桌讨论环节
猎网平台负责人:裴智勇
国家信息技术安全研究院副院长:曹岳
公安部第三研究所网络安全法律研究中心主任:姜开达
360Vulcan Team负责人 首席工程师:MJ
企业代表
SRC Show time——滴滴SRC负责人安惞
SRC Show time——酷派SRC负责人
SRC Show time——乐视SRC负责人
SRC Show time——宜人贷SRC负责人
SRC Show time——联想SRC负责人
会议嘉宾
评论