2015中國互聯(lián)網(wǎng)安全大會(ISC)于9月29日至30日在北京國家會議中心舉辦。作為亞太地區(qū)信息安全領(lǐng)域最大規(guī)模、最專業(yè)的年度會議，此次展會吸引了2.5萬人次現(xiàn)場參與，百余場的專業(yè)演講與數(shù)場高端人物對話深入探討全球信息安全最新發(fā)展趨勢，分享最前沿安全技術(shù)研究成果及實踐。

      在為期兩天的會議中，來自美國、以色列、澳大利亞、韓國和中國等多個國家的120位世界頂級安全智庫和安全專家出席，并圍繞110個議題進(jìn)行頭腦風(fēng)暴，共同探討網(wǎng)絡(luò)安全行業(yè)未來。

前美國國家安全局局長基思·亞歷山大（Keith B Alexander）、360公司董事長兼CEO周鴻祎、Cyphort Inc聯(lián)合創(chuàng)始人兼首席架構(gòu)師弓峰敏、中國工程院院士鄔賀銓、360公司總裁齊向東、360副總裁譚曉生等在大會主講臺上從不同角度與聽眾分享了了互聯(lián)網(wǎng)安全領(lǐng)域的各自論點。

弓峰敏：風(fēng)投泡沫或已出現(xiàn)，安全創(chuàng)業(yè)正是時機(jī)

      ISC首席科學(xué)家、硅谷著名安全投資人、Cyphort聯(lián)合創(chuàng)始人弓峰敏的演講《風(fēng)險投資泡沫和安全創(chuàng)業(yè)熱潮》在會后引起熱議。

Cyphort聯(lián)合創(chuàng)始人弓峰敏

      弓峰敏以安全創(chuàng)業(yè)為方向的演講，直面中國當(dāng)下火熱的全民創(chuàng)業(yè)浪潮，引起熱議。但是演講一開始，他卻用幾組數(shù)據(jù)說明當(dāng)下或已出現(xiàn)風(fēng)險投資泡沫，觀察者發(fā)現(xiàn)，有些公司雖然獲得巨額投資，但卻被行業(yè)分析為可能存在“泡沫”。《華爾街日報》的統(tǒng)計數(shù)據(jù)表明，被冠名上“泡沫”的這些公司都在關(guān)注軟件、互聯(lián)網(wǎng)等領(lǐng)域。這堆名單中，中國企業(yè)有19家。而軟件安全領(lǐng)域的企業(yè)還是“0”。因此說，網(wǎng)絡(luò)安全企業(yè)可能有更多的機(jī)會。

      弓峰敏表示,目前有七大熱門安全領(lǐng)域，并且在美國，VC和基金都已經(jīng)開始全面投向這些領(lǐng)域：

1.異常行為數(shù)據(jù)分析
2.安全支付和欺詐
3.物聯(lián)網(wǎng)安全
4.下一代身份和訪問控制平臺
5.內(nèi)部威脅監(jiān)控和響應(yīng)
6.威脅情報基礎(chǔ)設(shè)施
7.安全生態(tài)系統(tǒng)解決方案

      弓峰敏隨后建議：網(wǎng)絡(luò)安全公司要把握網(wǎng)絡(luò)安全領(lǐng)域的創(chuàng)新的變化，根據(jù)實際的需求生產(chǎn)產(chǎn)品，比如：如果你為美國市場生產(chǎn)產(chǎn)品，一定要思考美國市場的需求、美國公司的現(xiàn)實需求。

      同時，中美兩國都在不斷加大對網(wǎng)絡(luò)安全的投入，而且雙方都不鼓勵使用國外的服務(wù)或者產(chǎn)品，這就造成需求的差異，也正是這樣的差異，將為這兩個國家的網(wǎng)絡(luò)安全行業(yè)提供大量的創(chuàng)業(yè)機(jī)會。

基思·亞歷山大：網(wǎng)絡(luò)攻擊愈發(fā)復(fù)雜， 快速響應(yīng)協(xié)作防御

      在ISC 2015的開幕峰會中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會上，前美國國家安全局局長基思·亞歷山大（Keith B Alexander）提到，通過大數(shù)據(jù)對整個網(wǎng)絡(luò)空間中正在發(fā)生的行為和行為模式進(jìn)行偵測和識別，就能迅速發(fā)現(xiàn)網(wǎng)絡(luò)空間中的異常行為，實現(xiàn)防御。

      基思·亞歷山大表示：網(wǎng)絡(luò)安全事件正在對各個國家產(chǎn)生影響。網(wǎng)絡(luò)分兩種：受了攻擊能看見的網(wǎng)絡(luò)和受了攻擊看不見的網(wǎng)絡(luò)。在今年早些時候 Black Lotus 發(fā)布的報告顯示，64%的平臺提供商受到 DDoS 攻擊影響，66%的托管解決方案提供商和66%的 VoIP 服務(wù)提供商受到影響。愈演愈烈的 DDoS 和 APT 攻擊使得今天的網(wǎng)絡(luò)安全狀況變得越來越復(fù)雜，安全不再是單一終端面臨的問題，而是需要快速的反應(yīng)能力和安全力量間的相互協(xié)作，也許這正是周鴻祎在今年的互聯(lián)網(wǎng)安全大會上不斷強(qiáng)調(diào)「看見」的原因。

周鴻祎：打破未知威脅，建立看見的能力

      360公司董事長兼CEO周鴻祎發(fā)表了題為“看得見的安全”的主題演講，演講開始時，他首先解釋了在西雅圖中美互聯(lián)網(wǎng)論壇上被人吐糟的著裝，原因不過是西褲被撐破了，不得已臨時換了條不搭的褲子。演講中周鴻祎首次提出了“網(wǎng)絡(luò)安全新法則”，指出今天大多數(shù)已知的威脅和攻擊都可以防御，但企業(yè)和機(jī)構(gòu)面臨更多的是未知的威脅和漏洞，所以傳統(tǒng)的防火墻產(chǎn)品和防病毒技術(shù)已經(jīng)力不從心，需要通過大數(shù)據(jù)技術(shù)的應(yīng)用才能防御新的安全威脅。

周鴻祎表示，利用大數(shù)據(jù)能力和數(shù)據(jù)技術(shù)建立看見威脅的能力，將成為安全行業(yè)最重要的能力，也是保證國家網(wǎng)絡(luò)安全和企業(yè)安全的核心能力。為此360已經(jīng)建立了國內(nèi)首個威脅情報中心。

      周鴻祎稱，360威脅情報中心利用安全大數(shù)據(jù)與亞馬遜、Facebook、Twitter、匯豐銀行、英國電訊全球上百家企業(yè)、大學(xué)和機(jī)構(gòu)合作，分享數(shù)據(jù)和安全威脅情報，包括美國和英國在內(nèi)的幾十個國家的Cert都已經(jīng)申請使用360的數(shù)據(jù)。

      “被發(fā)現(xiàn)，總有一方被消滅。”在演講結(jié)束時，周鴻祎引用了《三體》中的黑暗森林法則，它的意思是在宇宙里有許多不同的文明，每一個文明都不希望被更高等級的文明看見，因為被發(fā)現(xiàn)就可能被消滅。“在網(wǎng)絡(luò)安全的攻防世界里，這個規(guī)則也適用，我們需要做到的是如何能看見更多的威脅。”周鴻祎最后說道。

APT與新威脅論壇（FreeBuf承辦）亮點回顧

      FreeBuf和漏洞盒子作為ISC的戰(zhàn)略合作伙伴，獨家承辦了此次大會的“APT與新威脅論壇”。作為近年來的熱門話題，“APT與新威脅論壇”從籌備之初便引起很多人的興趣，F(xiàn)reeBuf更邀請到數(shù)位業(yè)界大牛，從產(chǎn)業(yè)安全、攻擊實力、技術(shù)解密等各個角度與大家一起分享了全球范圍內(nèi)新興安全威脅之態(tài)勢。

Palo Alto在惡意軟件研究領(lǐng)域的總工程師Vicky Ray（新加坡）:《Tales of an InfoStealer》

      Intrusion Kill Chain模型又稱為Cyber Kill Chain模型，這個模型將攻擊者的攻擊過程分解為如下七個步驟: 

Reconnaissance（踩點）
Weaponization（組裝）
Delivery（投送）
Exploitation（攻擊）
Installation（植入）
C2（控制）
Actions on Objectives（收割）

      Palo Alto Networks安全專家于此議題中用Cyber Kill Chain模型向大家論述各行業(yè)中組織機(jī)構(gòu)是如何受到惡意軟件影響的，議題中闡述的惡意軟件、攻擊方法將對全球主要行業(yè)數(shù)千家組織機(jī)構(gòu)產(chǎn)生影響。

賽門鐵克全球信任服務(wù)技術(shù)總監(jiān)、總工程師Hari
Veladanda：《從心臟滴血到貴賓犬：如何防御各種新興威脅》

      在近幾年中，大量的網(wǎng)絡(luò)安全威脅和漏洞被發(fā)現(xiàn)，Hari此次具體講解這些威脅的根原因和如何運(yùn)用最佳技術(shù)手段保護(hù)您和您的公司免于遭受這些攻擊。

奇虎360核心安全事業(yè)部資深安全專家胡星儒：《歌者之眼：國內(nèi)APT事例揭秘》

      在反APT的工作中主要核心是發(fā)現(xiàn)，從初始攻擊的發(fā)現(xiàn)、回溯歷史攻擊的發(fā)現(xiàn)到持續(xù)跟蹤發(fā)現(xiàn)后續(xù)攻擊行為，最終發(fā)現(xiàn)幕后相關(guān)攻擊組織并揭露出組織或行動之間的關(guān)系。本議題分為概述、事例揭秘、組織分析和經(jīng)驗想法四大部分，演講者用魚叉式釣魚攻擊、針對性惡意郵件、高級針對性攻擊、網(wǎng)絡(luò)間諜等一系列關(guān)鍵詞來闡述什么是APT，并列舉出一些APT相關(guān)的數(shù)據(jù)統(tǒng)計。
議題中主要以海蓮花等針對中國的APT攻擊實例展開，介紹目前APT的現(xiàn)狀，進(jìn)一步揭示如何發(fā)現(xiàn)攻擊事件，從樣本、事件和組織特性等層面進(jìn)行關(guān)聯(lián)分析，還原出盡可能完整的攻擊行動，分析攻擊意圖并量化組織能力。胡星儒認(rèn)為：面對新的安全威脅，我們應(yīng)該保持開放、合作的態(tài)度。

安天實驗室副總工李柏松《網(wǎng)絡(luò)安全威脅中的商業(yè)軍火》

      網(wǎng)絡(luò)空間是沒有硝煙的戰(zhàn)場，網(wǎng)絡(luò)軍火商HackingTeam開發(fā)的軟件可以監(jiān)聽幾乎所有的桌面計算機(jī)和智能手機(jī)：包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，HackingTeam被黑、資料泄露意味著潘多拉魔盒被開啟，泄露的資料在很大程度上把整個灰色產(chǎn)業(yè)鏈的技術(shù)水平提高一個檔次。Speaker從傳統(tǒng)PC平臺和新興移動平臺兩個方面，結(jié)合具體案例，介紹商業(yè)化攻擊平臺的應(yīng)用現(xiàn)狀，最后綜合考慮實施成本、實施效果等多方面因素，討論如何應(yīng)對商業(yè)化攻擊平臺帶來的網(wǎng)絡(luò)安全威脅。

杭州安恒安全研究院負(fù)責(zé)人吳卓群:《0day動態(tài)檢測之通過插樁檢測ROP》

      隨著近幾年來APT越來越火，那么針對APT攻擊中很重要的一塊：0day攻擊的檢測方法也不能落下，我們知道：相對于傳統(tǒng)的靜態(tài)檢測，動態(tài)檢測更具準(zhǔn)確性，更加具備捕獲0day的能力。本議題講述了0day動態(tài)檢測方法之一通過二進(jìn)制插樁的方式實現(xiàn)ROP檢測。

上海交通大學(xué)特別研究教授郁昱：《3G/4G SIM卡安全分析與防護(hù)》

      近年來，移動通信網(wǎng)絡(luò)發(fā)展迅速，目前已經(jīng)大踏步邁入4G時代，在二代SIM卡安全問題頻發(fā)的現(xiàn)狀下，3G和4G USIM卡安全問題也成為大眾關(guān)注的焦點。在此次議題中上海交大教授郁昱和在BlackHat大會上一樣演示了3G/4G SIM卡的克隆，并用原卡和克隆卡分別撥打電話，雖然此次ISC大會上與BlackHat大會的演示方式不一樣（BlackHat大會上為現(xiàn)場演示，此次ISC為視頻演示），但給大家視覺、內(nèi)心造成的震撼效果是同樣的。

      除了APT與新威脅論壇，2015 ISC還開設(shè)了網(wǎng)絡(luò)空間安全戰(zhàn)略論壇、智能移動終端攻防論壇、數(shù)據(jù)篡改與物聯(lián)網(wǎng)安全論壇以及數(shù)據(jù)驅(qū)動安全之威脅情報論壇等十三個分論壇，威脅情報作為新興的安全熱點話題，此次的威脅情報論壇也吸引了大批聽眾，威脅情報論壇以“掌控現(xiàn)在，把握未來”為主題，講述國內(nèi)外最為先進(jìn)的威脅情報學(xué)信息。

      主辦方請來了idelis公司高級威脅分析師John Bambenek、360網(wǎng)絡(luò)安全研究院院長宮一鳴、IBM全球首席安全架構(gòu)師Ron Williams等幾位在威脅情報領(lǐng)域的重量嘉賓，

360網(wǎng)絡(luò)安全研究院院長宮一鳴

安全缺失“看見”的能力

什么是安全？

      360安全專家宮一鳴認(rèn)為任何一個具體的產(chǎn)品（比如一開始的密碼到后來IDS、防火墻、掃描器等這些產(chǎn)品）其實都不能代表安全本身，但其實漏洞只是安全里面一個很小的一塊，因為實際上大家可能會有感觸：現(xiàn)在漏洞越來越多，出問題的東西越來越多，漏洞是永遠(yuǎn)不會消亡的，而且跟上線的設(shè)備的數(shù)量是保持相對平衡。

      宮一鳴指出：去年，很多著名的公司都被搞，如果Twitter、Facebook這樣的公司都被搞的話，搞一般的公司太容易了。因此安全的重點在某種意義上變成怎么能及時、更快更準(zhǔn)確地發(fā)現(xiàn)有人搞我。這是一個理念上的轉(zhuǎn)變，我承認(rèn)我系統(tǒng)會被搞，但我要把精力放在第一時間發(fā)現(xiàn)它。

觀點：安全是一種能力，安全不是一個具體的東西，這里面最缺失的就是“看到”這個能力。

威脅情報論壇上，知道創(chuàng)宇技術(shù)VP余弦給大家?guī)淼氖恰栋l(fā)現(xiàn)網(wǎng)絡(luò)空間里的“暗物質(zhì)”情報》

      在這里余弦分享了利用Zoomeye探索網(wǎng)絡(luò)空間的一些心得，以及磊科路由器后門的一些數(shù)據(jù)統(tǒng)計和威脅分析，同時也帶來了工控領(lǐng)域安全威脅的一些干貨，在此次演講中余弦也給大家解答了之前shodan和ZoomEye關(guān)于全球MongoDB泄露的數(shù)據(jù)統(tǒng)計差異的原因。

譚曉生：國內(nèi)安全秩序待提升

      在2015 ISC閉幕論壇上，360公司副總裁譚曉生作了名為《零和博弈還是納什平衡——網(wǎng)絡(luò)空間安全產(chǎn)業(yè)秩序展望》的閉幕演講，作為壓軸，譚曉生以2010年轟動安全圈的于兵案為開場案例，細(xì)數(shù)近年來互聯(lián)網(wǎng)安全產(chǎn)業(yè)的官司不斷，亂象頻出，而當(dāng)國內(nèi)安全產(chǎn)業(yè)還在斗的熱火朝天的時候，國外的網(wǎng)絡(luò)安全公司如賽門鐵克、Palo Alto、FireEye等卻在營收上遠(yuǎn)超中國前三大網(wǎng)絡(luò)安全公司近十倍，而在網(wǎng)絡(luò)空間安全全球500強(qiáng)分布中，中國公司也僅有三家入圍，究其原因，譚曉生給出的答案是——過度的低價血拼和無秩序的市場規(guī)則。

而說到中美中美網(wǎng)絡(luò)空間產(chǎn)業(yè)秩序的差異時，他列舉了如下不同：

•聚焦 vs 一攬子解決方案
•百花齊放 vs 寡頭壟斷
•安服的定位差異
•政府與企業(yè)的分工差異
•威脅情報服務(wù)的差異

      從產(chǎn)業(yè)角度來看，國內(nèi)的網(wǎng)絡(luò)安全產(chǎn)業(yè)已經(jīng)遠(yuǎn)遠(yuǎn)落后于美國，而且內(nèi)部秩序不規(guī)范，低價競爭，甚至“訂單換土地”的現(xiàn)象時有發(fā)生，作為360這家號稱國內(nèi)最大的安全企業(yè)的副總裁，譚曉生依舊從產(chǎn)業(yè)良性發(fā)展的角度，說出了他的解決之道。

聯(lián)合防御成為業(yè)界主流

•安全產(chǎn)品品類增多，沒有大廠商能夠通殺
•中小安全企業(yè)依靠細(xì)分市場特色產(chǎn)品生存
•安全服務(wù)穿針引線
•威脅情報服務(wù)提供指引

•安全服務(wù)價值凸顯
•政府與企業(yè)更緊密合作
•政府對網(wǎng)絡(luò)空間安全企業(yè)的依賴加深
•政府的資金投入對網(wǎng)絡(luò)空間安全企業(yè)的持續(xù)發(fā)展支持較大
•高等院校在網(wǎng)絡(luò)空間安全人才培養(yǎng)上取得長足進(jìn)步
•合作共贏逐漸達(dá)成共識

      這些看似復(fù)雜的解決辦法，我們卻很容易從中看出，其關(guān)鍵點在“合作”與“政府”上。

      安全公司合作共贏，中小公司依靠特色細(xì)分市場，相信這也是很多業(yè)內(nèi)人士的愿景，但為什么說了這么多年合作，現(xiàn)狀依舊是風(fēng)波官司不斷，內(nèi)斗依然激烈？安全市場的蛋糕每家企業(yè)都想獨占一份，而為了迅速占領(lǐng)市場，不顧宏觀產(chǎn)業(yè)的健康發(fā)展與否，大打價格戰(zhàn)。

      中國古訓(xùn)說：風(fēng)景長宜放眼量。懂得人多，愿意做的人少，在當(dāng)下的安全行業(yè)，更是如此。

      而政府方面，民營公司現(xiàn)階段很難獲得國企，軍工等敏感行業(yè)的訂單，這就流失了一大塊市場。而在美國，則是恰恰相反，政府不斷在尋求與企業(yè)的合作。目前國內(nèi)這種現(xiàn)狀短時間內(nèi)是否可以有所轉(zhuǎn)變？最新的一條消息或許可以看出些許端倪：近日，360董事長周鴻祎在接受媒體采訪時稱，360啟動私有化“是國家對我們的期望。未來在企業(yè)安全、國家安全甚至軍事網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施都由360提供，我們就變成一個內(nèi)網(wǎng)了。”

      如果周總的愿景屬實，那么，剛剛跟隨習(xí)大大訪美歸來的他，或許真的給行業(yè)傳遞了一個積極的信號。

央視ISC 2015大會新聞視頻如下：

http://news.cntv.cn/2015/10/02/VIDE1443740043533122.shtml