國內(nèi)黑客團隊發(fā)展迅猛 世界黑客大會接受四方膜拜
BlackHat黑帽技術(shù)大會被業(yè)內(nèi)公認為信息安全行業(yè)的最高盛會,具有很強技術(shù)性的信息安全會議。DEFCON世界黑客大會則被譽為全球黑客的 “秘密嘉年華”,同時也被認為最能代表黑客精神和文化。兩場黑客大會將吸引來自各大企業(yè)和政府的研究人員,以及來自世界各地安全廠商和研究組織的優(yōu)秀黑 客,甚至還會吸引到美國國防部、聯(lián)邦調(diào)查局、國家安全局等政府機構(gòu)官員的參與。
近兩年,國內(nèi)黑客也頻繁登上BlackHat的大會講臺。2014年,2組中國黑客的議題登上BlackHat會議;2015年,9組中國議題閃耀 BlackHat。在今年,來自國內(nèi)8支黑客團隊的15位頂級黑客技術(shù)專家,將登上BlackHat講臺,接受四方膜拜。
在BlackHat大會現(xiàn)場,微軟還特別租用了大片場地,以背景墻的形式列出為微軟安全做出巨大貢獻的MSRC Top100黑客貢獻榜,百度安全事業(yè)部的X-lab(百度安全實驗室)的黃正和李克萌入選TOP100黑客貢獻榜,百度維持了微軟漏洞挖掘能力的領(lǐng)先水 平,獲得16次致謝排名全球第三,而黃正和李克萌個人分別位列全球第八和第八十二位,百度安全黃正位列中國第一。
另外,來自百度X-lab的張煜龍和韋韜還入選了Pebble Hall of Fame(榮譽殿堂)。張煜龍和韋韜發(fā)現(xiàn)了一個能夠讓攻擊者完全控制所有(幾百萬)Pebble智能手表、進而對受害者生活工作的隱私數(shù)據(jù)進行竊取和控制 的安全漏洞,并提交了防護方案。除了Pebble智能手表,所有基于ARM Cortex-M的智能設(shè)備、物聯(lián)網(wǎng)設(shè)備都受影響,因此這一安全漏洞的發(fā)現(xiàn)意義重大。張煜龍和韋韜將在10月丹佛的Virus Bulletin會議上報告這個問題。
向世界發(fā)出中國聲音 國內(nèi)安全技術(shù)獲得世界肯定
在互聯(lián)網(wǎng)產(chǎn)生的第一個20年里,中國幾乎沒有在這個虛擬世界中發(fā)出什么聲音。然而,最近20年,互聯(lián)網(wǎng)讓國人的生活方式、思維方式乃至價值觀發(fā)生巨 變。世界既感受到了互聯(lián)網(wǎng)對中國的影響,也看到了中國互聯(lián)網(wǎng)力量的強力延伸。坐擁全球最大的網(wǎng)民群體,中國的互聯(lián)網(wǎng)日益面臨更加復(fù)雜的挑戰(zhàn)。特別是從頂層 設(shè)計和戰(zhàn)略層面而言,國內(nèi)互聯(lián)網(wǎng)行業(yè)正處與十字路口抉擇。正是在這樣的背景下,以BAT為首的國內(nèi)互聯(lián)網(wǎng)企業(yè),也越來越清晰的意識到網(wǎng)絡(luò)安全的重要性,更 以“中國式崛起”的超高速度,深耕世界網(wǎng)絡(luò)安全領(lǐng)域。
在本次BlackHat會議中,多位來自國內(nèi)的安全團隊成員登上BlackHat演講臺,尤其是百度X-lab團隊的韋韜,就全球安卓平臺的安全問 題,做了精彩演講。韋韜將安卓系統(tǒng)的安全性問題,形象的比喻為“生態(tài)的安全漏洞”、“Android 系統(tǒng)的白血病”。從安卓內(nèi)核漏洞出發(fā),韋韜系統(tǒng)的闡述了安卓生態(tài)中的安全錯位導(dǎo)致了整個生態(tài)進入了一種長期以來難以治愈的安全重癥。安卓絕大部分的安全機 制依賴于內(nèi)核的完整性。如果有內(nèi)核漏洞,那么基礎(chǔ)性的安全機制就會崩潰。當(dāng)攻擊者獲得內(nèi)核控制權(quán)時,可以輕易繞過App隔離機制以及絕大多數(shù)安卓系統(tǒng)安全 機制。
對于解決辦法,韋韜在大會上展示了百度安全最新研發(fā)的已申請五項專利的自適應(yīng)內(nèi)核熱修復(fù)技術(shù)。這種技術(shù)無需實際內(nèi)核編譯所用的源碼和配置,能夠自動 匹配目標安卓系統(tǒng)的漏洞進行在線熱修復(fù)。這種技術(shù)極大的提升了廠商面對安卓高度碎片化的應(yīng)對能力,而且也大大縮短了廠商推送內(nèi)核安全補丁到最終用戶的過 程。根據(jù)統(tǒng)計,目前采用此技術(shù)可以修復(fù)市場中99.4%的安卓產(chǎn)品的內(nèi)核漏洞。
維護網(wǎng)絡(luò)世界安全 更需專注于安全人才培育
目前,國內(nèi)高校每年輸送的信息安全專業(yè)畢業(yè)生不足1萬人,但是行業(yè)人才缺口至少10萬人。此外,高校教育重理論輕實踐,這與企業(yè)急需的實戰(zhàn)型人才差距懸殊。
百度·藍蓮花組織發(fā)起中國XCTF聯(lián)賽的初衷,正是希望借助比賽的形式,促進中國信息安全專業(yè)學(xué)生的對抗實戰(zhàn)能力,促進實戰(zhàn)人才的培養(yǎng)。CTF奪旗 賽在網(wǎng)絡(luò)安全領(lǐng)域中,是最具實戰(zhàn)與比拼黑客團隊技術(shù)能力的競技比賽形式,而CTF賽制也正起源于1996年DEFCON全球黑客大會。事實上,也正是由百 度·藍蓮花率先將DEFCON的CTF賽制引入國內(nèi),并最終發(fā)展為國內(nèi)頂級XCTF聯(lián)賽。
以開放之姿舉全社會之力 共同打造全息安全生態(tài)
在“智能+”時代,消費者的網(wǎng)絡(luò)安全逐漸變成了產(chǎn)品的基礎(chǔ),安全已經(jīng)由單純的用戶側(cè)設(shè)備安全變成了消費全流程生態(tài)安全,安全在用戶體驗中成為不可或缺的基礎(chǔ)。安全將成為所有服務(wù)提供和使用者的內(nèi)在基因,每個網(wǎng)絡(luò)參與者和提供者都是安全的受益者。
尤其是在萬物互聯(lián)的今天,傳統(tǒng)行業(yè)接入互聯(lián)網(wǎng)是大勢所趨,但所面臨的第一難題就是如何做好安全防范。百度安全充分利用云計算、大數(shù)據(jù)、人工智能等諸 多先進技術(shù),解決眾多行業(yè)安全難題,迎合安全行業(yè)由產(chǎn)品向能力升級,功能向服務(wù)升級,可為不同行業(yè)、不同企業(yè),甚至不同應(yīng)用場景,提供基于人工智能、云計 算、大數(shù)據(jù)等安全技術(shù)的個性化全息、立體安全解決方案,滿足“智能+”時代互聯(lián)網(wǎng)需求升級的新變化。
通過多年技術(shù)與多行業(yè)用戶積累,百度安全正致力于構(gòu)建智能化、全球化、開放的全息安全生態(tài)系統(tǒng)的?;谠擉w系,百度安全將實現(xiàn)為 3600行提供高等級的安全防御能力和個性化的安全解決方案。面對數(shù)量日漸龐大的設(shè)備基數(shù)及日益嚴謹?shù)陌踩{(diào)整,絕非一家安全廠商或一個安全行業(yè),通過自 身努力即可實現(xiàn),百度安全正以開放性的姿態(tài),聯(lián)合工信部、公安部、終端廠商、運營商等多方領(lǐng)域,通過規(guī)范行業(yè)標準、加強犯罪打擊、直連用戶需求及更多數(shù)據(jù) 共享等機制,進一步完善全息安全生態(tài)的建設(shè),為社會構(gòu)建安全可靠的高等級防御體系。