2019京麒国际安全峰会,一场极客的年度盛宴

阅读量390519

|评论29

发布时间 : 2019-12-06 09:30:23

活动网址:https://www.huodongxing.com/event/4518069457000

活动简介

2019京麒国际安全峰会正式开幕,一场极客的年度盛宴~

还记得2018年京东举办的“黑客趴”吗?各路黑客大神都来了

攻破过NASA的BenjaminKunz Mejri

曾“劫持”飞机的Hugo Teso

著名的iOS越狱专家Nikias Bassen

谷歌project zero的漏洞大神James Forshaw

荷兰电信女王Jaya Baloo

………….

今年,京东安全峰会,升级为“2019京麒国际安全峰会”!在北京的冬天,为各位带来一场极客的年度盛宴!

2019京麒国际安全峰会——『 捍卫信任』

 

活动时间

12月6日

 

活动地点

北京新云南皇冠假日酒店

 

现场报道

2019年12月6日,2019京麒国际安全峰会在北京新云南皇冠假日酒店开幕,本次大会以“捍卫信任”为主题,聚焦在互联网企业安全体系建设的视角,以产业互联网背景下的新技术、新风险的应对策略和方案,生态安全合作和创新共享,前瞻安全技术创新和安全人才建设与培养为主要话题方向。

大会开始,公安部网络安全保卫局副处长,陆处长向我们报告了目前公安部针对网络安全保卫工作的部分成果,他提出,目前我国正面临的网络安全问题。1.网络安全违法犯罪日益突出、2.互联网安全防范意识有待提升,3.安全责任尚未落实到位,4.企业安全保障能力还需加强,5.新技术新应用带来的安全隐患比较严重,对此公安机关实施了多项措施,1.严厉打击网络攻击,2.深入推进网络安全等级保护制度,3.针对党政机关企业执法检查工作、4,开展互联网企业网络安全专项保卫、5.收缴违法采集数据,共同提升互联网网络安全。

京东集团副总裁/信息安全部负责人Tony Lee 带来了以“捍卫信任:下一代互联网安全基础设施的演进”为主题的演讲。他提出安全问题的本质根源于基础设施的安全性,未来安全基础设施将具备身份驱动、强大的信任链、去中心化、虚拟化隔离等特点,在互联网的高速变革中,人工智能、5G、AIOT等新兴技术深刻改变互联网,产业互联网面临基础设施重构:数据无处不在,计算无处不在,用户无处不在。对此Tony Lee 提出了智能城市、智能识别用户-智能社区等系列概念,其中包括隐私区块链、零信任模式、多方计算等新技术。

 

安联集团CISO Carsten Scholz以“数字化转型之路:构建健全的网络安全治理机制”为议题阐述安联集团是如何与服务提供商建立强大的网络安全治理机制,以支持服务的数字化转型。

滴滴信息安全负责人蔺毅翀 为我们带来“企业安全趋势探讨”,他讲述了之前我们的“旧实践”着眼漏洞、追求防御、方法单一、方案单点、生态封闭。而我们目前面临的“新趋势”着眼业务、追求精准感知和响应、相信基于情报共享的生态系统防护,而安全对抗的螺旋轨道处于业务在变,技术在变,攻击方式在变,法律法规在加强,公众对于安全的感知在变化的过程中。而我们的安全企业以及安全团队以往在建设期是从无到有的独立安全团队,以事件驱动。在运营期着重于聚焦解决问题,持续主动发现问题并解决问题,通过产品技术的方式提高效率,减少盲点,风险驱动,提前预估。感知期:增强用户信任 关注用户信任,着重在隐私和数据安全建设。而我们目前依然面临安全建设的挑战,要以多元化的出行业务为主,具备线上和线下的形式,同时关注国际业务、金融等业务的特俗性。

 

上午最后的Panel 对话:新技术的安全变革与挑战。由腾讯安全玄武实验室负责人于旸主持,滴滴信息安全负责人蔺毅翀、京东集团副总裁/信息安全部负责人Tony Lee、百度安全总经理马杰、GeekPwn活动发起人和创办人/碁震kEEN创始人兼CEO王琦、京东集团副总裁/京东云基础研发部负责人符庆明为谈话嘉宾。他们分别在云,AI 、IOT、安全服务及人才培养等方向为我们分享了众多新颖观点。谈到目前网络安全人才发展的问题,话题引到了王琦发起的GeekPwn,和马杰引入的defcon活动,马杰说,在国外,每年有三万人涌入拉斯维加斯,大家一起交流技术、分享观点。而我们国内的社区依旧需要更加蓬勃的发展,比如延续了20年的看雪社区,目前已经在圈内的社区内小有成就,而我们如果能给白帽子们提供一个机会,一些场地,让同学们在合适的时间点去做正向的事情,每个人都付出一个点,这样安全社区才会更好。对此,王琦也提到极棒一直在做的都是发现黑客人才,引导黑客人才。引导的最好办法就是树立榜样,而我们还应该坚持最基础也是最根本的点,那就是坚持不作恶。我们应该以榜样的力量把白帽子们往一个正向的方向去引领。

下午的内容在三个分会场进行,分别是安全技术峰会、OWASP企业安全论坛、京东白帽盛典。各个分会场的相关议题如下。

 

安全技术峰会

AI系统核心资产安全风险

李康,360首席安全科学家

 

构建安全可信的一体化供应平台

着文明,京东物流研发架构部负责人

 

Monocerus:区块链智能合约动态分析工具

Nguyen Anh Quynh,新加坡南洋理工大学教授

 

移动生态安全探索与实践

韩紫东,腾讯安全移动安全实验室安全研究员

 

麒麟框架1.0:不是虚拟机的虚拟机

Kaijern Lau ,京东牧者安全实验室负责人

 

OWASP企业安全论坛

OWASP SAMM软件保障成熟度模型项目

王颉,OWASP 中国副主席/英国拉夫堡大学网络安全博士

 

甲方SRC建设和运营之路

董凯歌,智联招聘高级安全经理

 

密码学与数据安全 体系建设

李畅,京东数科安全产品研发部总监

 

车好多安全运营实践

张旭,瓜子二手车信息安全负责人

 

OWASP ProActive Controls软件开发主动控制项目

秦波,滴滴产品安全负责人

 

京东白帽盛典

漫谈JSRC安全应急响应

陈靖远,京东安全应急响应团队高级工程师

 

企业应用容器化的攻与防

Near,TSRC&腾讯蓝军高级安全工程师

 

移动端机器行为监测与对抗

蔡铭达,唯品会资深信息安全工程师

 

白帽王者荣耀邀请赛

 

2019京麒白帽颁奖典礼

 

活动详情

京麒峰会亮点抢先看,你不能错过的Geek盛宴!

1、【顶级演讲嘉宾云集 上演安全智慧碰撞】

本次峰会分,5日的培训日,6日为峰会日,包括领袖峰会与技术峰会,以及与全球知名的开放式 Web 安全组织 OWASP 联合主办的安全运营论坛。继去年邀请到多位全球安全专家之后,今年,京东安全邀请了安联集团、腾讯、Keen Team、滴滴、车好多集团等的安全高管和创始人,以及来自国内外的知名安全专家,将分享可信任的安全平台建设实践、区块链安全技术、数据安全平台合规和安全技术、AIoT 安全、云安全等前瞻技术研究成果。

 

2、【企业视角,安全该怎么运营?】

此外,京麒峰会还将会联合全球知名安全组织 OWASP,联合举办企业安全管理者视角的企业安全建设与运营论坛,在当前安全风险和合规背景下,分享企业安全运营和OWASP最新开源项目,为甲方安全奏响开源、建设、运营的交响曲。

众所周知,OWASP除了耳熟能详的TOP10,作为一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,向社会和各行业、组织贡献了大量的安全标准、安全测试工具、安全指导手册等。这也与京东安全倡导的开源精神不谋而合。双方在推动安全社区和安全生态发展的理念志同道合,此次合作将是个开端,后续双方还将会尝试开展更多样化的分享和交流。

 

3、【2019京麒白帽盛典】

京麒峰会期间,京东安全还将邀请业界精英黑客和JSRC 核心白帽子,举办京麒白帽年终盛典,并将联合腾讯、唯品会等公司,举办面向白帽子的火石计划年终收官活动。

来自腾讯、唯品会和京东的安全专家会为观众带来一场漏洞挖掘的技术大戏。现场还有两支神秘白帽战队,进行紧张激烈的电竞对抗赛。在这里,技术、娱乐交织,是一场不容错过的白帽子盛宴。

 

4、【特色Village带你走进极客的赛博世界】

此外,本次峰会特设Geek village 环节。该环节由 硬件焊接、Badge破解、CTF工具展示、Pwn2Draw等各种极客活动组成,这里为大开脑洞的极客们准备了各种酷炫的智能设备,你可以拿起电烙铁制作自己的专属硬件,尽情探索Badge中的神秘功能,甚至操作机器人在墙壁上作画。

(2019京麒国际安全峰会 神秘Badge早揭秘)

除此之外,您还可以到看雪、滴滴、腾讯、美团、唯品会、58同城、360 bugcloud、OWASP 、京东等多家安全社区和生态伙伴们的展台交流,参与极客互动游戏。

(来自各地的白帽子参加京东 Hack2Drive 互动,通过破解汽车,让汽车走出迷宫)

 

5、【京麒上演漏洞对决 谁是最强白帽团队?】

在京麒峰会期间,京东联合社区合作伙伴i春秋共同举办漏洞挑战赛,城市巡回赛-北京站。

12月6日上午,长期活跃在各个一线互联网公司 SRC 平台的全国 TOP50的白帽子,齐聚京城,上演巅峰对决,顶尖白帽组成10支战队,帮助腾讯、京东、美团、唯品会、58同城等多家互联网公司挖掘漏洞和风险。

最强白帽战队称号将花落谁家,也是此次峰会亮点之一。

 

如果,你想零距离接触最前沿的安全技术议题,直接走进极客的赛博世界!欢迎参加2019 京麒国际安全峰会!

 

6、【 Red Team 终极训练营,安全工程师速成班等你来】

12月5日,京麒国际安全峰会的培训日即将开启,京东安全联合全球知名的安全组织 OWASP,以及业界社区伙伴,推出了针对企业安全工程师的安全培训成长训练营——Red Team 终极训练营。

所谓不知攻焉知防,此次培训将还原真实环境中的安全攻防技术和实践,讲解企业内网全面信息搜集,模拟内网高级攻击,如何攻击溯源和取证等,以及如何针对内部网络进行侦察、权限维持、横向移动等操作。以及分析现有APT组织数据窃取、回传的方法。通过课程学习,学员可以快速掌握如何发现企业内部敏感信息的异常行为,及时发现企业内部系统哪里存在薄弱点。

敲黑板:Red Team 终极训练营课程大纲如下:

一.整体信息刺探搜集,定位

1.活动目录中域名信息收集以及管理员权限配置不当导致的DNS滥用(这里会讲解如何通过持续监控内网的DNS,新发现/跟踪变更内网的资产)

 

2.Linux/windows/OSX)上通过IPC$/LDAP/WMI/RPC等收集信息的方法(这里会分享一个在内网信息收集时规避IDS的方法)
3.内网进行跨域/跨森林/跨网段进行收集信息的方法

(案例分享:一次针对大型跨国公司的信息收集,也会快速讲解windows 森林环境的信任关系,认证机制)

4.通过Exchange来收集域内账户信息,识别exchange的安全配置,外网通过一个账 户来抓所

有内网帐号的信息。(这里会对已公布的APT组织对exchange的攻击方法的进行梳理和总结)

 

5.在Win/Linux/操作系统上定位关键PC,定位关键人物的思路.(这里也会讲解在拿 到DC后,如果寻找关键的PC和人的方法并有DEMO)

 

6.webs hell或通过钓鱼,邮件攻击获取到了一个低权限的cmdshell的场景)

 

二.权限维持、横向移动

1.对已经公开的APT组织的搭建C2平台的方法进行提炼和改进(重点讲解C2的隐 藏方式,例如利用domain fronting,多重代理,SMTP/DNS/HTTP重定向等方法)
2.域权限维持(真实环境中的难点,最好的权限维持方法我想都是不公开的,没有被发现的,公开了就有相应的检测方法,怎么能够长期稳定的维持权限是实际渗透中的难点,这里只是讲解国外的一些公开的最新技术和已知的方法,这部分仅仅作为思路指引,也可以作为 课后的学员之间的思路讨论)
3.Skeleton KEY的利用方式

SeEnableDelegationPrivilege 活动目录后门

滥用AdminSDHolder的保护机制实现权限维持

滥用DCShadow实现森林权限维持

 

三.活动目录监控和检测

1.日志分析技巧和可视化日志分析(这里会分享如何处理/分析日志里各个时区的 时间问题,也会讲解如何命令下按照条件抓取日志的方法)
2.滥用信任关系(跨森林的信任关系,森林间的横向移动,sid history, SQL SERVER之间的信任关系)
3.通过对某些软件的token留存,replay token,过期设置实现关键账户的权限维持(尤其是涉及到云平台的软件)

 

四. 活动目录监控和检测

1.利用活动目录作为C2,实现绕过防火墙的通信
2.MS-RPRN打印bug的利用
3.利用BloodHound获取当前活动目录的DACL信息
4.利用KOADIC/ Empire进行杀软的逃逸,脚本类的相对PE文件还是好做免杀和软件白 名单逃逸

利用无约束的授权

委托的利用

 

1.和其他队员协同渗透的方式,包括如何做好时间点,milestone,攻击路径等记录

2.对现在的防护产品的功能梳理(比如LAPS,应用白名单,高级威胁检测分析软 件,EDR), 了解现状防护产品的现状

3.分享一个现在某世界500强的网络情况和防护措施,比如对其如何对关键服务的认证。粗略讲解下BeyondCorp的概念

4.简单打开突破口的方式(对邮件网关的安全测试,邮件怎么发?,怎么确定对方收到?)

5.讨论,答疑,案例分享。

五. 经验谈

1.和其他队员协同渗透的方式,包括如何做好时间点,milestone,攻击路径等记录

2.对现在的防护产品的功能梳理(比如LAPS,应用白名单,高级威胁检测分析软 件,EDR), 了解现状防护产品的现状

3.分享一个现在某世界500强的网络情况和防护措施,比如对其如何对关键服务的认证。粗略讲解下BeyondCorp的概念

4.简单打开突破口的方式(对邮件网关的安全测试,邮件怎么发?,怎么确定对方收到?)

5.讨论,答疑,案例分享。

本次培训的讲师Dirk,是拥有十几年年网络安全从业经验的资深安全专家,多年一线红蓝对抗工作经验,现任某外企Red Team负责人,并担任多家金融机构安全顾问。Drik精通内网渗透和云安全,擅长 APT 攻击流程手法,多次参加HITB、等国际知名安全会议Speaker,在exploit-db发表过多篇技术论文。

本次培训活动联合组织者,OWASP 北京分会负责人、某医疗大数据企业安全负责人张坤,表示:之所以联合京麒国际峰会共同举办Red Team 终极训练营,一面是京麒峰会致力于打造互联网企业安全从业者交流和分享的开放的平台。另一方面作为一个从业十年的安全人员,了解行业现状,知悉企业需求,针对网络安全现状内网安全日益紧迫,企业需要大量高质量内网安全人员。京麒峰会希望能够共同为社区做更多贡献,培养更多安全人才。

 

2019京麒国际安全峰会(简称京麒峰会),是京东安全主办、国内外多家安全社区协办的国际顶级安全交流平台,将于12月5-6日在北京新云南皇冠假日酒店举行。届时,苹果史诗级漏洞发现团队核心Nikias Bassen、横扫全球安全顶级会议的演讲者Anh Quynh Nguyen,AI 安全专家李康、腾讯玄武实验室负责人于旸、国内最大安全大赛Geekpwn 发起和创办人、Keenteam 公司创始人兼 CEO 王琦,以及京东、滴滴、腾讯、瓜子二手车、国内外知名公司的CISO、安全专家等,将汇聚北京,为观众讲解在网络技术快速迭代变化的情况下,如何能够捍卫网络安全,捍卫广大用户对企业的信任。

 

据了解,近两年,随着网络安全法的出台,网络安全升级为一级学科,网络安全专业人才数量不断增长,但是具有攻防实践能力的安全人才缺口仍然很大。专家表示,有针对性的企业安全实战型人才培养,将会对行业起到很大促进作用。

商务合作,文章发布请联系 anquanke@360.cn
分享到:微信
+18赞
收藏
京东安全应急响应中心
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66