快捷搜索:  后门  木马  网络  CVE  渗透  VPN  扫描  黑客

评委们眼中的2015互联网安全年度评比

评委们眼中的2015互联网安全年度评选 - |

 “智慧(Wit)之美”寓意安全行业发铺违后的不变信仰。一起走来,在安全行业发铺日渐成熟的违后有许多冷静贡献智慧的人们。不论在行业成长的道路上有若干误解与魔难,“智慧之美”就是我们的不变信仰。

‍‍

“2015互联网安全年度评比”10大奖项将在1月9日FreeBuf互联网安全创新大会(FIT)- WItAwards颁奖仪式‍‍上公布。

WitAwards各奖项坚持自力性、专业性与公正性绳尺,组委会特设公众投票与评委投票权重各占50%,因此评委果票选显得相等重要。32位专业评审分别来自安全行业的不同细分领域,他们将代表行业专家意见各投出症结一票。2015即将过去,评委们对过去一年发生的林林总总的安全事故有何看法?他们对各大奖项的评比标准以及看法又有哪些?

‍‍下列内容拔取自WitAwards评委专访,整个评委名单请点我‍

2015,安全警钟长叫

2015年也注定是个不平凡的一年,大事故隔三差五的发生,小事故比肩接踵的出现。4月份,天下30个省市曝安全漏洞,数千万社保用户敏感信息或遭泄露。姓名、电话、地址可能只是精确找到一小我私人的物理信息,与目生人并没有什么价值,然而在互联网欺诈中,这倒是极为症结的一个环节。像这类用户数据泄露事故比比皆是,网易作为国内拥有第一流别安全的邮件体系也被疑拖库,16三、126邮箱数亿数据被泄露。

实在要说影响行业的安全事故,应属Hacking Team被黑以及XcodeGhost事故。Hacking Team是一家以协助当局监视公民而闻名的意大利公司,也就是“黑客公司”,他们向包括摩洛哥、埃塞俄比亚和美国毒品管制局在内的当局及法律机构出售入侵以及监视工具。然而不幸的是,他们也被黑了。

评委们眼中的2015互联网安全年度评选 - |

Xcode是苹果APP开发工具,XcodeGhost作者将恶意代码植入到Xcode装置包中并发布到了网上。开发者在通过非官方渠道下载Xcode时就携带了恶意代码,开发出的带有恶意代码的APP还会向正常的苹果APP中植入恶意代码。

‍‍百度云安全总经理 马杰评述说‍‍,此次事故之所以风险巨大,是因为下载渠道被污染了。污染下载渠道这类攻击方式的风险峻比Xcode被感染本身更为严重,无线黑客,下载工具的离线缓存文件被感染,使得黑客的攻击范围大大增添。‍‍

‍‍‍‍上海交通大学收集信息中心安全负责人 姜开达认为‍‍,XcodeGhost事故中编译器被注入后门影响极为深遥,给人们关上了斩新的无限思考空间。安满是需要一个完备可托系统支撑的,(包括)代码安全、编译器安全、第三方库安全、开发框架安全。

‍‍阿里巴巴资深安全专家 魏兴国一样认为XcodeGhost事故使人印象深刻。他诠释说:‍‍

“很多年前Ken Thompson提出过在编译器里做后门的设法主张,然则没有什么实践的案例。而这次XcodeGhost事故敲响了警钟,影响了人人始终认为很安全的苹果手机,沙箱也好考核机制也罢,都没有起到防御的作用。”

‍‍‍‍华为云安全首席架构师 赵彦重点提到了X‍‍codeGhost事故,他认为XcodeGhost影响面太广,不只是终端用户,还影响了供应链上的一系列干系人,例如Apple、APP开发商、开发者社区、分发渠道等,要是把这个事故所触及的安全治理放开来足可以写一本书。‍‍

IBM中国区首席科学家 林育震认为,从2015年发生的这些安全事故,可以发现,骇客攻击从带有恶作剧或炫技性质的伎俩转变为有构造的商业化举动,和攻击性能变迁成以进阶手艺进行长期潜在且不易被发现的渗透排泄攻击,单纯的以防火墙与防毒软件等体系工具构建的被动式安全防护机制将没法有用防堵安全威胁,企业必须主动把握最新的信息安全攻击伎俩,并且制定紧急响应计划,方能有用因应(适应)层出不穷的安全威胁。

若干漏洞烟雨中

评委们眼中的2015互联网安全年度评选 - |

收集安全事故与漏洞老是跬步不离,安全事故爆发的违后一定存在一个不为人知的漏洞作为支撑,或为体系漏洞,或为人为漏洞。2015年出现过量少漏洞,修复了若干漏洞,还有若干漏洞未被发现——这些我们均没法精确计算,但我们知道曾出现过那么几个漏洞,已经搅动了全部安全风云。

Java反序列化漏洞

一月份,安全研究人员Gabriel Lawrence以及Chris Frohoff公布了一个影响范围至关广的Apache Co妹妹ons工具集遥程代码执行(RCE)漏洞,由于Apache Co妹妹ons工具集几乎是JAVA手艺平台中应用最广泛的工具库,因此影响几乎遍及全部JAVA阵营。

然则由于漏洞无比高深且难以理解,绝管研究人员们绝了最大的起劲呼吁人们引起注意,在漏洞地下后近乎一年内该问题仍未得到广泛重视。

‍‍‍知道创宇CEO 赵伟‍认为近来爆出的Java反序列化漏洞,这是一系列的漏洞,因为他的影响不容易被观测到,惊险性容易被低估,但包括安全设备都存在这一漏洞,要是被黑客攻击行使后威胁无比大。

‍‍Wormhole漏洞:溃于蚁穴

安全研究员曝出多款APP存在wormhole漏洞,安卓手机无论是否Root,只需连接了WiFi收集或者3G/4G蜂窝收集,攻击者事前无需接触手机,无需使用DNS诈骗可在存在漏洞的设备上进行:遥程静默装置应用、遥程启动任意应用、遥程获取用用户的GPS地理地位信息、获取imei信息等。

魏兴国认为Wormhole漏洞以及XcodeGhost类似也是针对手机的攻击。然则Wormhole漏洞风险更大,可以做到遥程静默装置程序,偷取指定文件等等事情。

“这对于手机攻击来说,具有划时代的意义——从前的攻击要么物理接触手机,要么挟制WiFi,而这个漏洞什么都不需要,只需手机联网即可。而且由于百度巨大的影响力,触及到的人更多。”

什么才是年度安全研究者

从震动国内外的安全事故到搅动风云的安全漏洞,不论是事故的操纵者,照样漏洞发现者,都少不了人的参与。互联网全国最惊险的不是事故、不是漏洞,而是人!有的人存在是为了损坏原有平静的生活,有的人存在是为了维持旧日平静的态势。这就是背法犯法者以及安全研究者最根本的区分。

‍‍FreeBuf采访了多位业界同仁,畅聊了一下他们心目中优秀的安全研究员应该是什么样的一小我私人。

马杰认为:

第一是好奇心,要有解决未知问题的兴致。
第二是毅力,要有打破沙锅问到底的坚持。
第三是充足塌实的基本功,包括操作体系道理、收集知识、编程说话。

魏兴国继续补充道:

优秀的安全研究人员,起首要需要寂寞的时辰能耐得住寂寞,很多器械只有本人一小我私人在深夜才能做出来。其次是交流,寂寞之余,需要沟通讨论的器械要沟通,交换思路,互相印证。

赵伟则认为手艺固然重要,但还有一个最基本也是最重要的前提:一定要有公理感,有道德底线,不要误入歧途。

Palo Alto Networks中国区手艺总监 耿强:

我小我私人认为一名优秀的安全研究人员,要具备超脱的思维,能跳出常规的思维制约来思考;要有出色的阐发能力以及问题解决能力;和一定的行业影响力以及合作能力。

学术派代表‍‍、上海交通大学姜开达则认‍‍为,一名优秀的安全研究者,不仅看其做出的造诣有多大,更看重其2015一年的进步以及变迁有多明明,看年度增量。计算机领域基础塌实,快速学习以及下手实践能力强,具有优越的代码能力,同时要一直保持对未知安全领域的好奇心,并且年复一年,持之以恒。

从业20年的“安全老兵”林育震认为评判最好安全研究员的标准是以“求知欲”、“创新力”、“天真性”与“手艺性”等四个方面为主,而最好安全团队的评判标准则是以“沟通与和谐能力”、“危急应变能力”、“强烈的离心力与团队精神”与“高营运绩效”等为主。

由于当前的安全攻击伎俩极为多元,因此一名优秀的安全研究人员应具备下列五个特质:

第一,创新力;
第二,天真度;
第三,拥抱协同合作;
第四,具有领袖特质;
第五,热衷于学习。

年度安全产品的“气质”

此次评比,“年度安全产品”的奖项竞争尤其激烈,各家厂商都使出了浑身解数,拿出本人上一年度的最牛成果,而在评委眼中,评判年度安全产品是什么样的准则?

杭州同盾科技有限公司CEO 蒋滔:

很难有标准,从我的角度而言,创新是第一标准,实用性也无比重要便捷、高效,带动全部领域智慧变革、快速发铺的产品具有创新力。我以为安全服务领域有机会诞生具有创新力的安全产品。

安全威胁情报推进联盟提议人 金湘宇:

销量,手艺进步先辈性,实用性,创新性。可以餍足实际需求的,新应用模式(如云),新手艺的应用(如机器学习)。看好云安全服务、威胁情报、基于大数据的种种阐发。

IDF实验室联合创始人 万涛:

不是旧瓶装新酒,在某一个维度或安全点上有独特的突破,并能带来显然的安全改善(可以是感知或者体验)。无线安全以及P2P相干手艺方面有机会诞生具有创新力的产品。

赵伟:‍‍

第一要看是否解决了用户的刚性需求;第二要看创新力;第三要看是否易用;第四要看是否贴合中国市场。一个好的安全产品,这四点缺一不可。

寒冬里的曙光

2015年,安全领域投融资大幅井喷,在一片繁荣的气象下,又会是怎么的暗潮涌动,代表安全风投方向的评委线性资本合伙人,前Facebook安全经理 王淮说出了他的观点。

寒冬情形下所有的项目都会受到影响,然则内里特别出众的影响会相对于起码,人人的融资都相对于难题,一般的公司会相对于收到更小的融资率,好的公司会保持相对于强的竞争力,相对于而言获得的概率就增添了,好的资源都留给好的 公司了,活跃的钱虽然少了,留给好的 团队的比例反而提高了。

另外 实际的钱并没有少,人人愿意投,会比较谨慎的投,流动性会变差。所以不论是什么领域,做内里最强的团队,有无比让人看的倒有增进后劲的商业模式,分两块,用户模式,不论你2B或者2C,你的用户增进模式,赢利模式,人人都会跟你聊一个商业模式,安全这块有一个好的团队好的问题好的市场反馈像斗象如许已经拿了很大一笔的钱的够烧一两年的,行使这一阶段多招一些好的人,挑一些优秀的工程师。

投资人在投任何公司的逻辑是同样的,最看重的是违后的团队,他们是在这个相干安全问题上是否是有很强的话语权很强的影响力,安全领域与其他不同,需要专业,有手艺门槛,人脉门槛。产品有很多种,内部举动监控、权限治理、数据安全、防范外部攻击、金融安全(欺诈反欺诈)等,很重要的是找到本人所要解决的问题,找到适合解决问题的产品,找到适合产品的推行贩卖方式,因为不同的产品是不同的,你瞄准的核心的安全问题会决定很多器械,譬如市场的大小——你产品是否是够火急,别人听到会以为这个惊险是需要去破解的是付钱是说得过去的,找到如许的特点如许的问题才故意义。

为什么需要更多女性从业者?

FreeBuf互联网创新大会各位评委们希翼“安全宝贝”将是仙颜与智慧并存,不仅颜值高,在手艺、能力上也不逊于男士。

UCLOUD CEO季昕华评述道:

我以为安全宝贝这个奖项很好,希翼能通过更多的这类眼球暴光的情势,吸取更多的手艺人员投身到安全领域,让更多的企业、资本关注安全行业,让这个行业健康的发铺,更好的维护中国的互联网产业。

IDF实验室联合创始人万涛称:

目前没有印象深刻的安全宝贝,我希翼安全宝贝不是易碎的花瓶,而能凝聚以及寄托行业的一些气质

最后问题来了——评委们最中意的会是安全宝贝的颜值么?

看看知道创宇CEO赵伟是怎么说:

说到这个让我想起了i春秋的谁人金发碧眼……实在这个就是个噱头,无非弄安全的都很苦逼,有美眉助阵照样挺好的。

‍FreeBuf主办的“2015互联网安全年度评比”WitAwards公众投票已结束。年度安全产品、年度安全宝贝、年度安全云、年度最好SRC、年度安全团队、最好安全研究者等十项大奖到底花落谁家,终极评比效果将在2016 FreeBuf互联网安全创新大会(FIT)上揭晓,敬请期待! ‍

评委们眼中的2015互联网安全年度评选 - |

*FreeBuf 编辑部,

您可能还会对下面的文章感兴趣: