9月30日,中国互联网安全大会(ISC2015)于北京国家会议中心火爆进行。在昨天的互联网安全领袖峰会之后,今天各技术论坛也全面开张。作为网络世界的“军火”,漏洞自然是本次大会的关注焦点,漏洞挖掘与源代码安全论坛也成为全场最火爆的技术论坛之一。

 在本次论坛上,工业界和学院派顶尖专家大咖纷纷登台分享干货:他们中有来自清华大学和美国西北大学等名校的教授,也有360、安恒等安全厂商的技术负责人,还有安全焦点(X-Focus)、看雪(Pediy)这些技术论坛声名显赫的黑客大牛,现场上演了一轮轮酣畅淋漓的技术分享show。

 深挖漏洞VS制造安全防御体系

 X-Foucus安全点焦点成员、解放军信息工程大学副教授魏强(funnywei),带来的议题是“X-Frame, 构建软件漏洞分析基础设施”。作为国内知名的黑客大牛,funnywei直言找漏洞不如找到漏洞的存在本质,所以本议题主旨在制造一个基于探索、分析、定位的漏洞挖掘流水线,从而加强软件的精细化、规模化、逻辑化以及可视化。

 图:论坛会场爆满,众多观众只能站着听讲

 在funnywei分享攻击技术之后,安恒信息安全服务部常务总监袁明坤则带来了“构建敏捷开发环境下的安全开发体系”的防御话题。袁明坤认为,当前需要建立一套弹性网络安全防御机制,使其具备互联网思维,适用于敏捷开发思想的安全开发生命周期体系。换言之,袁老师要的是一套“活的”安全开发体系,能针对各类情况做出针对改变。

 如何安全开发?——从源代码到APP-Web的全方位监测

 开源代码虽然给无数软件制造者带来了便利,但也为制造过程增加了隐患。此次漏洞挖掘与源代码安全论坛上,“360代码卫士”开源项目检测计划负责人韩建,为与会者道尽了“开源代码安全之痛”。在通过实测数据、分析深入分析开源软件的源代码安全现状之余,韩建还就软件开发过程中,如何保障源代码安全提出了解决方案。

 图:360代码卫士负责人韩建披露开源代码安全问题

 然而知道系统容易受到攻击并不够,检测到攻击的方式与位置,才能研究如何预防。对此,美国西北大学电子工程与计算机科学系教授、互联网安全技术实验室主任陈焰给出的解决答案是通过移动App-Web接口来检测隐藏攻击。“唯有知道了恶意行为的产生方式,才能根治此类现象。”

 Cookie,浏览器和网站之殇

 作为传统的互联网入口,浏览器一直是黑客与安全工作者争夺的桥头堡。在漏洞挖掘与源代码安全论坛上,看雪论坛漏洞版块版主、安全研究员、高级安全工程师仙果大牛,就带来了刺激程度不亚于科幻小说的浏览器漏洞攻防对抗的艺术。演讲过程中,仙果历数8年来浏览器方面的漏洞与对攻案例,台下观众喝彩声更是不绝于耳。

 图:午餐时间,论坛仍爆满

 在仙果“讨伐”浏览器之后,清华大学段海新教授登台开始进行“Web应用中Cookie的完整性问题和威胁”的分享。段教授表示,现有协议和浏览器中,对Cookie的完整性缺乏有效保护,黑客通过“中间人攻击”方式攻击web后,能够劫持用户的在线账号、隐私、支付等敏感数据。

 做出最好的防守前,一定要知道敌人进攻的方式

 “未知攻,焉知防”。这是安全界流传极广的一句话,其含义是:不知道攻击方式如何能进行防护?这也是本届ISC大会举办“漏洞挖掘与源代码安全论坛”等一系列以挖掘漏洞为主题论坛的原因。通过寻找漏洞的方式,加强信息安全主动防御能力;以信息安全攻击技术;促进安全防护体系。

 图:漏洞挖掘与源代码安全论坛旨在“攻守兼备”

 除漏洞挖掘与源代码安全论坛,在2015中国互联网安全大会及分论坛上还有诸多亮点:美国、以色列、韩国等国际顶尖的上百名世界级安全智库和安全专家纷纷到场,前美国国家安全局、五角大楼网络司令部首任司令基斯.亚历山大(Gen.KeithB.Alexander)将军更是在开幕式上发表了与网络安全相关的主题演讲。

 中国互联网安全大会(ISC)创办于2013年,是由中国互联网协会、360互联网安全中心共同主办的亚太地区信息安全领域规模最大的年度安全会议。除了专家们的精彩演讲,ISC2015还拥有安全培训、展览、攻防赛、商业交流等多项活动,旨在为企业及开发者创造更多交流与学习的机会,也为传统防护体系和安全观念带来新的变革。