第四届CSS腾讯安全探索议题提前曝光 折射信息安全研究三大价值
分析机构Canalys最新报告预测,到2018年底,使用智能音箱的人数将达到1亿人,而在2017年,这个数字还没有超过4000万。未来世界每人都拥有一台“善解人意”的智能音箱变得触手可及。与此同时,数字钥匙、 区块链 ……等技术的快速发展也让人类进一步触摸到未来世界的轮廓。
但安全行业却在从另一个角度看待这个现象。在即将举办的CSS 2018腾讯安全探索论坛(TSec)上,来自清华大学、中科院、腾讯安全联合实验室等顶尖研究机构的的安全专家将带来九大前沿议题分享,揭示时下大热领域的安全隐患。如果处理不好这些问题,未来世界的美好畅想将无异于空中楼阁。大会同时还将持续挖掘过往大家已有共识的议题,打破常规认知,为万物互联时代的新机遇和新思路提供重要参考。
直指未来世界安全,揭示智能音箱、区块链安全隐患
“大智云移”等前沿技术催生了大量解构人类生活方式的产物,但这些“新物种”的安全性却没得到相应的重视。以最近两年最新流行的物联网设备之一——智能音箱为例,厂商们一直致力于利用人工智能技术使其能像人类一样和用户聊天。然而,随着智能音箱功能的强大与普及,其安全性也受到了很多人的质疑,用户很担心智能音箱会被不法黑客攻击以泄露他们的隐私。在即将到来的TSec上,来自腾讯安全平台部的伍惠宇将揭示这种攻击存在的影响。
而在时下大热的区块链上,发生的多起重大安全事件也反映出这个“去中心化”的新技术并不安全。以太坊是著名的区块链公链,其上发行的虚拟货币“以太币”是当前全球第二大市值的加密货币。截至目前,其总市值超过了4800 亿美元,但巨额的财富吸引了越来越的攻击者的兴趣。来自腾讯安全湛泸实验室的王凯就将从攻击和防御角度分析以太坊RPC漏洞攻击。
自动化攻击在未来世界中毫无疑问将备受关注,这种通过自动化地利用系统中存在的大量安全漏洞,发起攻击的技术能显著改变网络攻防局面。曾在美国国防部发起的CGC竞赛中获得优异成绩的清华大学张超与中科院的王琰将在TSec现场,带来他们在自动化攻击领域的最新成果,这或许是该领域研究的一小步,但无疑深刻着未来世界的网络攻防对抗形势。
打破常规认知,持续探索“0”“1”世界奥秘
年初CPU芯片级漏洞爆发之前,没有人会认为这里也潜藏着安全风险。事实上,大量白帽黑客的研究早已证明了网络世界不存在绝对的安全,而打破业界认为是共识的研究逐渐也成为了以TSec代表的安全峰会上的保留节目。
本届TSec上,多位安全专家将瞄准巨头厂商——微软旗下的产品,打破常规认知。缓解措施是Windows防御体系中的重要环节,通过阻断漏洞利用技术来增加攻击的难度与成本。正常情况下,这些补充和完善能够阻断已知的绕过技术,进一步减小攻击面,提供更全面的防御。然而,来自绿盟 科技 的张云海认为,由于设计上的疏漏,新的缓解措施也可能会影响已有的缓解措施,反而被用来突破整个防御体系。
在微软另一个重要的防御措施——沙盒模式上,腾讯安全湛泸实验室的陈楠和Rancho Han,将在微软Edge浏览器启用win32k filter之后,首度公开从Edge浏览器攻破系统内核的方案。
多维化探索,推动信息安全产业发展
在信息安全研究驱动网络安全生态更加成熟的同时,其自身也正在衍生成一门极具潜力的产业。Gartner数据显示,2017 年全球网络安全产业规模达到 989.86 亿美元,较 2016 年增长 7.9%,2018 年预计增长至 1060 亿美元。
入围本届TSec的议题之一《易伪造的数字钥匙——智能门锁Token安全性分析与保护》进一步证明了这种趋势。来自上海交通大学蜚语软件安全研究组(GoSSIP)的金宣成、宋莹燕将基于从密码学安全和身份认证的角度对数字钥匙的应用协议的调查,展示如何设计一套具有高安全性的数字钥匙-智能门锁认证协议,这对当下应用广泛的数字钥匙市场价值巨大。
而来自腾讯安全云鼎实验室的刘少东将从当前主流WAF在攻防上面临的实际困境出发,探索 商业 化WAF应用机器学习检测Web攻击的技术要点及研发创新,并以对比实测Demo来演示AI WAF落地应用的实际效果。
8月28日,第四届 互联网 安全领袖峰会(CSS)腾讯安全探索论坛(TSec)将在北京望京酒店正式开幕,目前售票通道已全面开启,广大用户可至官网限时抢购免费票。