8月16日,第三届中国互联网安全领袖峰会在北京国家会议中心成功召开。作为全球前沿、尖端安全技术的首发平台,腾讯安全探索论坛(TSec)以“安全新探索”为主题,云集了来自谷歌、McAfee、腾讯安全玄武实验室、腾讯安全科恩实验室、清华大学、上海交通大学等国际知名厂商及顶尖高校的资深安全专家,聚焦云安全、移动安全、物联网安全以及人工智能等多个领域,探讨全球信息安全领域前沿技术、研究成果及未来趋势。TSec是第三届中国互联网安全领袖峰会(Cyber Security Summit 2017,简称CSS2017)特设的九大分会场之一,也是本届CSS最具技术含量、专业深度及学术影响力的分会场。
(Google 机器学习研究员 Ian Fischer)
此次登上TSec讲台的演讲者既有来自国内外互联网巨头的安全技术精英,也有来自顶尖学府的专家学者。演讲议题更是涵盖机器学习与网络安全、操作系统漏洞攻防、电信设备与IoT安全、新型移动安全威胁模型等当下信息安全领域炙手可热的研究方向。无论是论坛的整体规格还是议题的技术含量都不输全球顶级安全会议BlackHat。例如,腾讯安全玄武实验室代表们带来的让人脑洞炸裂的演示项目,新型移动攻击模型——Wombie Attack,该技术通过对手机设备固件代码改造,使得被感染者在不知情的情况下进一步感染其他手机,在无需互联网、无需交互的环境下即可实现扩散式攻击。
为呈现一场汇聚最前沿、最尖端安全技术的饕餮盛宴,TSec采取了悬赏征集演讲议题的形式,自5月起向全球安全领域精英广发“英雄帖”,征集安全技术领域具有关键性、突破性、首发性或独发性的原创研究成果及针对前沿安全技术问题有深度的原创观点。征集令一经发出就受到安全行业人士的广泛关注和积极参与,在短短的一个多月时间内先后收到近百个演讲议题。评审委员会坚持优中选优的原则最终精选出10个演讲议题进入到8月16日的演讲环节。
在TSec现场,来自国内外的技术精英悉数展示了各自在信息安全领域具有首发性、独创性的尖端技术。Google Machine Learning Researcher Ian Fischer介绍道,深度学习模型容易受到敌对攻击的影响,这种攻击很可能导致模型的行为不端,我们可利用敌对攻击来提高深度学习模型的鲁棒性。
来自国内两所顶尖高校安全实验室的研究学者也在TSec分享了他们在安全领域的前沿研究。清华大学网络与信息安全实验室的刘煜堃、吴一雄在演讲中描述了工控系统开发的实际场景,提出了贴合工控系统的实际应用场景的攻击路径,并基于此实现了一个针对工控系统的概念型蠕虫勒索软件ICSGhost,在演讲的最后还展示了防范此类攻击的对策。上海交通大学密码与计算机安全实验室的张奇则指出VPN应用的错误配置会影响上百万用户的数据安全,并在演讲中为开发者安全配置加密相关的服务提出了建议。
(绿盟科技安全研究员 张云海)
绿盟科技安全研究员张云海、趋势科技iOS Advance Threat Research Team Leader朱学文、McAfee入侵防御研究团队高级安全研究员nEINEI,聚焦操作系统的漏洞攻防,演示了如何利用新型漏洞攻破Windows、iOS的防线以及防御对策。
(McAfee的资深信息安全研究员孙冰)
来自McAfee的资深信息安全研究员孙冰带来了使用纯数据技术来劫持只读内存并绕过内存缓解措施的案例讲解。海天集团有限公司创始人兼CEO Seeker则在演讲现场介绍了某电商上销售的电信设备对通信安全和IoT安全的威胁以及对策。
来自腾讯安全科恩实验室的方家弘、申迪分享了面对安卓内核中存在的UAF漏洞数量不断变小、利用难度逐渐变大的现状,将如何稳定高效地利用这类漏洞来完成操作系统提权。
腾讯安全玄武实验室的刘惠明、郭大兴则带来了一种恶意代码传播的新路径——Wombie Attack,Wombie Attack技术通过被感染者在地理位置上的移动来实现攻击扩散,类似僵尸题材电影的情节——被僵尸咬了的人也变成僵尸,会再去咬其他人,该威胁技术不但可以实现传染式攻击,而且攻击过程不依赖互联网,所以甚至无法从网络层面检测攻击。
“BlackHat是全球公认技术含量最高的技术交流会议,然而每年在BlackHat大会中却不乏中国面孔。当前中国安全技术研究水平已经位居世界前列,我们也可以打造一个更具前瞻、更专业的交流平台。”谈及TSec腾讯安全探索论坛发起初衷,腾讯安全玄武实验室负责人TK表示。实际上,从TSec议题展现水平而言,已经不亚于BlackHat规格,而且很多研究内容都属于全球首发。
本次TSec不仅仅是一个全球信息安全领域尖端技术展示与未来趋势探讨的盛会,更是作为全球前沿技术首发地的真正开端,TSec将为加速技术创新、共享重要技术成果持续提升连接价值,搭建一个长期、持续的沟通合作平台,让更多国内外尖端安全研究、前沿安全技术在这里汇聚,各擅胜场、相互争鸣、激发灵感、突破创新。
通过连接形成合力也正是CSS安全领袖峰会所追求的愿景,今年CSS以“安全新秩序、连接新机遇”作为主题,来自全球的顶尖安全专家就金融安全、大数据与云安全、人工智能与安全伦理、安全法治治理、智能硬件与物联网安全等多个议题进行了深入探讨。腾讯希望以本届CSS安全领袖峰会搭建的平台为契机,呼吁更多具备安全能力的企业携手合作构建企业间的协同机制,共同应对全新环境和形势下的网络安全新秩序,连接数字经济发展的新机遇。