第二届华为安全沙龙纪实(含PPT)

龙 宇 2016-7-27 最新资讯 0 0

第二届华为安全沙龙纪实(含PPT)

  (议题PPT下载请跳到最后)

  十月深秋,坂田君是清凉的;群贤毕至,百草园是热闹的。

  华为安全沙龙以瞄准业界热点、注重沟通氛围、分享心得干货为目标,致力于打造安全业界的品牌沙龙,搭建一个诚恳、开放的安全平台。

  10月30日,以“问道电商”为主题的第二届华为安全沙龙温馨启幕,会场由原来的“沙发”改成“板凳”,把原本100人的场子,改成容纳了近200人,40余家单位。BAT,JD,UCloud,平安征信,VIP,Ctrip,长亭科技,Freebuf,CUBESEC,岂安科技,盘古,神话,i春秋,安全牛,Sobug,洋葱,青藤云安全,江南天安,深圳安络,各大SRC等等等,可谓大神云集,美女扎堆,技术扎实,思路开阔。

第二届华为安全沙龙纪实(含PPT)

  1. 华为电商发展与安全之路——华为 Z0

  作为传统通信企业,华为进入垂直电商相对低调,但是小步快跑,且随着华为手机业务的高速增长,规模迅速壮大。Z0抛砖引玉,回顾了华为电商的发展历程,分析了电商业务的当前安全状况,黄牛党枕戈待旦,羊毛党蠢蠢欲动,形势严峻。

  2.电商安全服务和产品化的初步探索——京东 晋亮

  作为B2C电商行业领导者,京东电商安全备受业界关注,来自京东的安全总监晋亮,对京东电商安全做了简短回顾,从被业务诘难到融入业务,为业务提供支持和指导,京东安全在发展的同时调整方向,以为业务解决问题作为安全的核心价值。

第二届华为安全沙龙纪实(含PPT)

第二届华为安全沙龙纪实(含PPT)

  晋亮在议题中提纲挈领,概括了京东电商安全总体框架,分析各业务节点的安全风险和风控措施。

第二届华为安全沙龙纪实(含PPT)

  3.公有云安全挑战和发展——Ucloud 方勇

  国内公有云后起之秀,有着天然的重视安全基因。方勇分享了Ucloud在抗DDoS、租户隔离、漏洞响应、容灾备份、应用安全、数据安全等方面实践经验,并对电商与公有云平台的融合给出了精辟建议。

第二届华为安全沙龙纪实(含PPT)

  Ucloud采用SDN技术实现租户的二层网络隔离,对任何一个租户来说,UCloud提供的都是一个属于租户的独立私有网络。

第二届华为安全沙龙纪实(含PPT)

  极具用户服务意识的Ucloud根据用户/客户需求,把公有云的安全服务分为保镖(信任、全方位)、保安(边界、做巡检)、保姆(节点、轻服务)三种角色,云服务商和用户/客户之间,应该达成一种安全服务类别的标准或协议,以更好地明确安全职责边界。

第二届华为安全沙龙纪实(含PPT)

  PS:素包子的PPT每页都有个生动的比喻。大道至简!

  4.业务安全之防守者说——平安 戴鹏飞

  来自平安的戴鹏飞,非常诚意地、细节地、内幕地、爆料地分享了业务安全的方方面面、坑坑洼洼、黑黑白白,IP识别、验证码对抗、设备识别、人机识别、关系网络、订单泄露等干货一一拿来,技术一竿子见底,案例一棒子通天,真枪实弹,拳拳到肉,小伙伴们大呼过瘾。

第二届华为安全沙龙纪实(含PPT)

第二届华为安全沙龙纪实(含PPT)

  话不多说,放图片

第二届华为安全沙龙纪实(含PPT)

  IP识别常用技术:爬取、共享、收集、探测。

第二届华为安全沙龙纪实(含PPT)

  爆料订单泄露的各个点:平台好一点(17%),物流占五分之一强(22%),用户责任大(用户:说我是吧!)28%,商家重灾区(商家:怪我咯~)33%。

第二届华为安全沙龙纪实(含PPT)

  做了多年的业务安全,戴鹏飞感慨深沉,黑产气势汹汹暗流涌动,防御捉襟见肘成本高筑,这一场攻防之战没有尽头。

第二届华为安全沙龙纪实(含PPT)

  5.浅析账号体系安全——携程 王润辉

  小胖胖本次议题直截了当,抛出“凶狠”话题:杀死密码!对于这个话题,我只能说,小伙伴,你怎么看?

第二届华为安全沙龙纪实(含PPT)

第二届华为安全沙龙纪实(含PPT)

  与其说去密码,其实去传统“口令”的说法应该更合适一点。

第二届华为安全沙龙纪实(含PPT)

  6.电商O2O刷单风控实践——腾讯 颜国平

  BAT这样的国内互联网“第一世界”企业,一般不出手则罢,一出手就是“重拳”,一挥手就是“重装师”。何谓数据在手天下我有,就是在信息时代,利用数据把看不见的东东,描绘得比看见的还精确。

  腾讯防刷风控引擎,对IP、手机、设备画像,识别好人与坏淫。话说“画像”一语,已成安全热词,一个简单的词语,已经容纳并超脱了大数据、算法、模型、性能等属性。

  数据就像颜料,互联网平台级厂商对画像有先天优势,各种数据信手拈来,可以尽情描绘。没有数据的厂商,空有一只笔,啥颜料都没有,只好望而兴叹。

  7.茶话会——干货分享

  关于人机识别:

  1)技术:验证码、JS识别代码、小号标签、IP离散度计算

  2)合作:第三方服务、黑名单交换、情报联盟

  3)业务:业务主导识别目标、用户体验分级

  关于数据交换:

  1)隐私:明确哪些是隐私数据,数据交换过程中,如果两个公司互持股份,则交换的法律风险将大大减少

  2)加密:双方数据加密,通过碰撞确定hash是否存在库中(如诈骗手机号),不识别具体号码

  3)离线库:为杜绝数据泄露和法律风险,做离线库查询是一条值得走的路子

  关于隐私保护:

  1)权限:权限大小和授权机制都必须严格,通过内部审计推动管理层面的规范

  2)第三方:对第三方供应商、合作者要有安全设计机制,对事件和投诉要进行回溯追责

  第二天议题(31日)回归攻防技术。长亭科技联合创始人也是蓝莲花CTF战队的deadcat带来了《CTF and Real world》。Deadcat从各种CTF的介绍,到比赛中涉及到的各种环节。还带来了不少Defcon上CTF的趣闻,比如今年的冠军队韩国,是如何举国培训。如何由100人的候选人经过层层选拔最终只剩下20人。蓝莲花纵然在世界的范围内未必是可以做到最好的进攻,但在CTF比赛中,战队的防守是所有队伍中丢分最少的第二个队伍。看来这就是CTF比赛的精髓,也是蓝莲花的制胜武器之一。

第二届华为安全沙龙纪实(含PPT)

  除此,还有freebuf联合创始人Ruby的《电商企业的漏洞挖掘大全》讲述漏洞盒子对电商企业安全的保障的见解和实践过的经验。最后以渗透测试服务著称的魔方安全团队更是贴合当下流行的“情报”概念,提出以攻为守的情报分析。透过渗透测试的经验积累,形成更系统化的“信息”收集,从而快速满足电商对威胁处置的要求。

第二届华为安全沙龙纪实(含PPT)

  疯言疯语:

  电商,在面临传统的黑客之外还有黄牛党、羊毛党的蜂拥而至。各种对抗的招式里面,其本质也是一种攻防的对抗,不断提升攻击的成本,通过安全数据分析,比自己更了解自己,才能洞悉对手。同时也更需要在情报、漏洞、信息方面的分享才能降低防守成本。

  议题相关PPT下载:

  链接: http://pan.baidu.com/s/1mgw9tJM 密码: cund

原文地址:http://www.77169.com/news/HTML/20151104100542.shtm

转载请注明来自华盟网,本文标题:《第二届华为安全沙龙纪实(含PPT)》

喜欢 (0) 发布评论