2015阿里安全峰会

0. 会议相关 
1. 起航-远望
2. 沈昌祥院士议题: 云模式下等保体系建设
3. 安全的未来是态势感知
4. 网络安全的北回归线
5. 互联网+时代的移动安全实践
6. 政企安全之云化 
7. 制高点、雷区和火力支援-纵深防御体系中的能力点思考
8. 其他议题
9. 参会感受

2015-07-09~10(持续两天)
北京JW万豪酒店
主题: 天下无贼

1. 新形势的互联网安全包括业务安全、生产安全、技术安全
2. 新形式下的机会: 利用不同的理念，打破行业格局，制定行业规则才是最重要的制高点
3. 互联网+: 快速迭代 
4. 国际化

1. 业务/数据安全
    1) 生产稳定性
    2) 安全是依托于业务。要在维持业务稳定性下开展安全
    3) 数据必须一直大量使用，在互联网+模式下，数据的边界将变得不可控，例如google的去内网化
2. 云/移动
    1) 在互联网+下，一个网站、业务系统、APP可能就代表了一整个公司，云业务系统的安全就是整个公司的安全
3. 国际/农村
    1) 产品在面对不同人群的时候，产品形态应该是不同的，在不同的法规、用户使用习惯下，安全服务于业务的形式都是不一样的 
4. 信用/大数据

1. 计算环境
2. 网络区域边界
3. 网络通信

1. 安全从业者最大的痛点在于，客户花了钱，还被黑
2. FireEye、Mandian研究发现97%使用传统网络安全产品的企业无法抵挡现今的网络攻击

1. 员工信息安全
2. 资料泄漏
3. 社工
4. 钓鱼欺骗
5. 第三方服务

//以下2类是目前运市场上占比较大的群体，主要以防入侵、数据防泄漏为刚性需求
1. 互联网行业、创业者
2. 小站长、个人

//以下2类是传统安全厂商重点关注的群体，主要以等保为刚性需求
3. 银行、电力、央企
4. 地方政府

1. 安全产生的数据可能比正常业务还多
2. 让数据在线
3. 连接不同的数据，从而创造新的价值

1. 部署难
2. IT信息维护难
3. 数据标准不统一
4. 计算能力弱
    1) 传统安全设备受限于单机性能，所以工作模式是: 过滤，即特征库匹配模式
    2) 因为存储不下来

1. 镜像流量数据
2. 主机Agent数据
3. 情报数据

https://www.fireeye.com/index.html

1. 战略
2. 架构
3. 咨询智库
4. 基础方向
5. 人才
6. 效益经济
7. 生态环境
8. 心智

1. 北向给内向以指导作用，一个产品不能解决所有问题，但不能代表这个产品就没有价值
2. 纵深防御的本质就是，所有的产品都有可能失效，当一个产品可能失效，但并不能代表这个产品就没有价值
3. 大数据实现的价值一定是在充分实现小数据的价值基础上，才能发挥大数据的违例，安全对抗的本质是成本的资金的对抗，大数据对抗是需要成本的
4. 北向的极端是战略

1. 无线信号安全
    1) 各种无线信号的保密和真伪
2. 无线链路安全
    1) 接入internet、ap接入
3. 端的安全
    1) 操作系统、root、系统0day漏洞、厂商、app应用漏洞

1. 系统不安全，缺乏基本的可信执行环境
2. 应用分发渠道不可控，存在应用被冒用、篡改
3. 业务风险
    1) 帐号被盗、垃圾注册、信息泄漏
    2) 虚假交易、营销作弊、信用炒作

1. 目前尚处于漏洞频发阶段
2. 漏洞修复的到达率取决于用户升级意愿和场景
3. APP版本长期处于新老版本混杂

1. 威胁感知
    1) root检测，手机root破坏了操作系统原有的保护机制，容易引发针对app攻击和业务风险
    2) 模拟器检测，app运行在模拟器中，容易受到逆向破解，抓分分析网络协议
2. app加固
    1) 针对app安装包进行加固，无需修改源代码或者二次开发
3. app风险扫描
    1) 应用漏洞扫描
    2) 恶意代码检测，对APK进行可疑代码段静态检测，恶意行为动态分析，特诊及黑名单匹配，查找隐藏在代码中

1. 流层保障: 安全测试、漏洞响应规范
2. 技术与架构
    1) 核心逻辑提供热补丁的能力: 适用于基础模块
    2) 模块级的升级/隔离方案: 特别是第三方模块
    3) 服务端的逻辑控制: 适合于业务逻辑模块
    4) 接入层控制: 适合于接口层/通讯层的逻辑

1. 业务安全/应用安全依然是安全威胁的主要源头
2. 内部安全威胁趋势未减
    1) 各单位管理员
    2) 第三方代维人员
3. 政务通信安全

1. 传统政企内网中的大量数据独立存放、独立分析
2. 数据在线存储最多为1~3个月
3. 难于深入挖掘和深入分析
4. 个数据之间无法联动
5. 各类安全数据需要集中存储、关联分析，形成安全分析综合平台

1. 全面审计、分析数据库操作行为
//最重要、最关心的是: 变化，即通过一段时间的学习之后，而因为攻击/入侵产生的突变

1. 技术安全建设
    1) 物理安全
    2) 网络安全
    3) 主机安全
    4) 应用安全
    5) 数据安全
2. 安全管理建设
    1) 安全管理制度
    2) 安全管理机构
    3) 人员安全管理
    4) 系统建设管理
    5) 系统运维管理
3. 指导建设
    1) 安全设计
//等级保护是做虚还是做实，在进行安全建设的时候要明白合规等保需要实现的价值

1. 一种必须部署的基本能力
2. 一种能够杀伤普通对手的能力
3. 一种高级攻击者必须绕过的能力
4. 传统的AV等基础检测能力才是"制高点"
5. 不要神话制高点
//制高点并不是说比基础防御就有效，而仅仅只是防御体系中必须的一个环节

1. 沙箱的核心优势是针对攻击中的数据->指令转换的弱点
2. 在复合鉴定器中，绝大多数检查率是静态机制贡献的，FireEye的检测引擎中也集成了开源AV检测系统ClamAV
3. 沙箱针对对PE对抗没有必然的优势，FireEye使用沙箱对抗的效果是因为在以PDF为代表的攻击路径中，受限于文本空间有限，而不得以借助于文本向代码转换

1. 安全性与保密性的平衡
2. 用户端和云端检测能力的平衡，在客户端也需要有一定的检测能力

1. 完整性
2. 有效性
3. 准确性
4. 信息淹没

1. 产品的能力是提供给用户的，但也是暴力在攻击者面前的，黑客者可以利用类似于SQL注入中的盲注技术思想，对安全产品的能力进行推理探测，从而逐步画出目前产品的防御能力谱线，针对性的制定Bypass措施，这也是免杀攻防对抗激烈的根本原因
2. 产品能力来自于更大的支撑纵深
//反馈是一种微秒的东西，它有可能导致黑客成功尝试获取目标产品的能力范围

http://card.weibo.com/article/h5/s#cid=1001603856252865263245&vid=5197078982&extparam=&from=&wm=0&ip=60.247.114.162
http://www.cnblogs.com/LittleHann/p/4460954.html
http://www.programlife.net/sandbox-detecting-tricks.html

电子商务业务与安全 趋势、挑战与应对: 郭睿
脱茧: 腾讯安全平台部负责人 杨勇 coolc
网络空间的信任模型-现状与挑战之--DNS信任体系: 段海新

1. 安全是一个纵深防御体系，在体系化结构下，没有哪个产品比哪个产品高端、先进，就像塔防游戏一样，只有在正确的位置/场景部署最合适的攻防产品，让产品的能力发挥最大的极限，才能真正解决安全问题
2. 安全是一个持续对抗，迭代升级的过程，传统的三大件(防火墙、IDS、IPS(Intrusion Prevention System))并不是说一定会淘汰，而是需要根据新形式下的攻防作出改进
3. 市场对安全最大的诉求在于"感知入侵、防入侵、反入侵"，要实现这个目的，需要有以下几个体系和人才的搭建
    1) 态势/威胁感知
    需要有传统的Agent产品完成基础数据的收集，以及依托云计算平台进行交叉关联的运算，实现情报->威胁的产出
    2) 安全漏洞(尤其是0DAY CVE)的原理性研究团队，在当前，WEB/系统/基础软件库的0DAY漏洞爆发，依然是导致用户资本被入侵的主要原因，当然这里并不包括APT攻击，但诚如海客说的，APT的防御一定是搭建在基础/常见漏洞已经极大程度、甚至完全消失之后的基础之上的，APT的防御相当于最后一张极细的过滤网
    3) 漏洞修复/Hotfix
    当漏洞出现的时候，不管是云厂商，还是传统甲方厂商，在尽可能的情况下，都需要帮助用户完成漏洞的修复，例如源码修复重编译、配置项的动态修改、内核打补丁，而漏洞修复是建立在完成了漏洞细节的研究的基础之上的
4. 安全产品虽然不是安全攻防的唯一形态，但是却是一个很好、很有效的形态，依托于安全产品，可以实现安全研究、漏洞修复、SDL的服务器输出
5. 系统层的安全加固、检测能够对用户的机器起到"安全基线"的作用，相当于一个简单、原始的"等保措施"