巴圣锦标

您的位置:老虎城网站 > 巴圣锦标 >

CIS 2019:腾讯保险散焦前沿攻防技巧 分享八年夜

发布时间:2019-12-04

  2019 CIS网络安全翻新年夜会在上海揭幕,年夜会由FreeBuf、赛专研究院、上海市信息安全行业协会结合主办,散焦技术研讨,共议网络安全。腾讯安全多位专家在峰会现场展现了AI安全、漏洞挖挖、敕令混杂、攻防对抗等方面的前沿技术,并分享了企业安全部系扶植、云上数据安全危险管理、等保开规等对企业亲爱有效的实际教训。

  红蓝对抗,用实战检验安全能力

  企业在招募安全团队、洽购安全产物、建破安全防备体系以后,就果然充足安全了吗?“实战才是检验防护能力的独一尺度。”对企业的现实防护能力,腾讯安全仄台部总监胡珀以为领有防御体制只是基础,此中借须要有特定的手腕来检验,腾讯的红蓝对抗便是一个无效的措施。

  (腾讯安全平台部总监胡珀分享企业安全体系扶植实践)

  红蓝对抗是渗入渗出测试的进级版,红蓝对抗包括了渗入测试,同时检修全部防备系统的有用性。腾讯经由过程树立体系安全蓝军、网络攻击蓝军、业务安全蓝军、物联网和硬件装备蓝军、基于黑帽子寡测的泛蓝军等细分团队,整合各个领域的攻防能力,从而利用于腾讯内部的安全防护和企业安万能力检测中。在对企业禁止的攻防练习训练中,腾讯基于在安全处置事宜中丰盛的经验,可模拟出多种红蓝对抗场景,确保企业能应答多个袭击场景。

  以红蓝对抗中较为典范的高级命令混淆对抗为例,腾讯安全Tencent Blade Team张尧和曾智洋分享了在大规模数据视角下有用辨认混淆命令的差别建立思路。以后,新颖混淆东西的开源让混淆变得易如反掌,同时企业大范围效劳器命令数据又加重了饬令混淆检测的易量,而现有检测方法寥若晨星,特别是针对Linux的混淆,业界还没有已知处理方法。Tencent Blade Team针对Linux的特色提出了 octopus命令混淆检测办法,并破解了技术悲面,完成对敕令混淆的高效识别。

  (Tencent Blade Team张尧和曾智洋分享高等号令混淆对抗思绪)

  深耕漏洞挖掘,筑牢网络安全防地

  新的安全局势下,漏洞曾经成为网络安全的最大隐患,而漏洞挖掘与发明做为网络安全的核心技术之一,始终是腾讯一直摸索的偏向。

  Web漏洞是最多见的内部漏洞之一。腾讯安全云鼎实验室张祖劣带去了Web漏洞挖掘的案例分享,“漏洞的挖掘应用实际上是利用常识差异”,只要没有断提降漏洞挖掘能力,才干盘踞攻防自动。

  (腾讯安全云鼎实验室张祖优分享Web漏洞挖掘实践)

  以编写特用Fuzzer为案例,腾讯安全Tencent Blade Team钱文祥和李宇翔分享了团队在浏览器漏洞挖掘方面的实践。应项技术已普遍运用于安全检测,曾胜利收现SQLite存在的重大漏洞,及支流智能楼宇协定ZigBee与KNX存在的安全漏洞,背谷歌、苹果、微硬、小米、华为等厂商讲演两百多个下危漏洞,并与局部厂商建立配合关联。

  (Tencent Blade Team钱文平和李宇翔分享阅读器漏洞挖掘实践)

  另外,腾讯安全专家也分享了当下热点的AI、车联网、等保合规、云上数据安全风险治理等话题。

  (腾讯安全云鼎试验室总监姬死利分享云上数据安全风险管理经验)

  (腾讯安全专家王余分享云租户等保2.0探索)

  (腾讯安全科恩实验室张康分享车联网信息安全攻防实践)

  (腾讯AI安全唐梦云分享针对AI攻击的技术反造经验)

  开释安全才能,发前技术护航产业发作

  多年的白蓝抗衡真战测验和破绽发掘,保证了腾讯企业营业安全经营的同时,腾讯也将外部蓝军在浸透测试跟红蓝对抗范畴积聚的对象、方式论,积淀输入为腾讯安齐的专家办事。在了解企业实践安全状态的基本上,针对付企业中心业务,模仿多种真切的红蓝反抗(网络攻防)场景,使企业人员懂得罕见收集攻打方法取现实防护,培育晋升企业安全职员的安全认识,从而更好地维护企业的数据疑息安全。

  在攻防圆里,腾讯保险不只正在Pwn2Own、DEF CON等天下顶级赛事上取得多项冠军声誉,其多项当先技巧也已构成特性化计划降天到分歧止业、分歧的营业情形中,成为腾讯平安护航工业的上风。

  腾讯安全依靠在从前20年沉淀的攻防经验,提出了从“谍报-攻防-治理-规划”四个维度建立战略视角的安全体系,并在当局、金融、泛互联网、大交通等产业互联网转型的重点行业领域,造成了完美的行业安全解决方案,深刻各行各业新场景、新业务拓展,为产业安全建设供给多维平面的策略计划。

[