公司 T4 技术专家,10年以上安全领域的攻防研究和设计开发工作,对于平台安全、应用安全、业务安全等安全领域有非常深入的研究,曾经申请过多项安全领域相关专利技术,以及发表过多篇安全领域学术文章,多次参加安全领域技术峰会分享。
曾先后主导设计和开发云防 DDOS 系统、分布式 Web 入侵防御系统、Linux 入侵防御系统、移动安全加固系统、外挂对抗系统、机器人识别挑战云服务等安全领域对抗和防御系统;
熟悉互联网安全技术体系,主导欢聚时代公司安全技术体系建设;未来继续专注互联网、移动互联网、物联网等相关安全技术领域。
IBM 2017 X-Force 提到2016年泄露的数量达到了40亿条,上万软件漏洞被记录在案。
在互联网不同领域,研发安全都是企业不容忽视的环节,面对网络威胁,企业应该部署怎样的安全防线?
企业安全体系架构如何建设,有哪些罕见的攻击点和思维陷阱,优秀安全工程师有这些经验想和你分享。
运维最担心的是什么?安全人员最喜欢的是什么?
运维担心系统挂掉、用户打不开网站、报警电话等等,但最担心不是这些,最担心的是数据泄露与数据丢失,这两条是用户和公司都不能容忍的。
数据泄露意味着可能涉及用户的隐私的泄露及公司的商业机密泄露。每一次网上的安全事件,只要是涉及到用户的个人信息,必定是重大安全事件;而数据丢失,比如硬盘坏了、恶意删除等,如果重要数据比如用户的支付订单数据丢失,公司的业务玩不下去了,还要我们运维和安全干什么,也没有我们什么事了。
对于运维而言,数据泄露也许可以挽救,但是数据丢失呢,都丢了还怎么挽回?有人说备份,如果有备份就不叫丢失了。这里数据丢失,从运维安全角度说,是最让人不可忍受的。
自动化运维安全思考,运维在部署运维系统时,越来越多的使用自动化系统,运维机器人帮助运维完成了大部分日常的任务,像发布、扩容、故障恢复、漏洞扫描等等,建议自动化运维遵循三大安全原则:
一是最小化原则,原则上自动化部署,任务操作同一命令不得同时执行机器超过100台,中控台一定要把这一原则做为核心原则;
二是确定性原则,自动化运维并不代表机器代替了人,而是人控制了机器,人比机器更清楚机器在做什么。
在数据中心几千台,几万实例的运维今天,任何一个小的安全漏洞都会被放大,如何在这样的一个规模的今天,运维在自动化运维,已经向数据驱动的智能运维时代挺进,我们安全如何做,运维每天都在调整,各种层出不穷的开源系统,开源系统的安全配置又不可能每一个安全人员很清楚的掌握清楚,这就需要社区力量。
同程网推出的巡风系统,一方面是在同程的自已的安全建议过程中逐步发展起来的,了解在一定规模下运维之痛、开发之痛,来源于现实;另外一方面积极开源,拥抱开源,在开源社区中接收营养,在开源的世界中吸纳更多的安全插件来补充巡风的插件,更好地补充这块企业人力的不足,同时也回馈社区,让更多的企业个人从中受益。
目前巡风系统支持常规如 mongo 未授权访问、心脏滴血、同时也包括最近的 NSA 泄露漏洞、SMB 远程溢出漏洞等上百个系统漏洞扫描插件,比较多的企业开始关注并支持巡风的发展。
风控场景的扫描策略,一般是采用规则 + 模型的方式。在 DT + AI 时代,模型作为一种机器学习的代言,在其中扮演越来越重要的角色。由于模型是对数据进行机器学习训练得到的,这就产生了几个问题:
模型平台要如何架构,才能更好解决上述问题,是安全架构师们面临的实际问题。这也是我们在实践中遇到的问题和挑战,在本次分享中,我将会从阿里巴巴的实践来进行详细说明。
传统的基于攻击特征的安全防护,存在着特征库难于管理、较高的误报率和漏报率等诸多问题,安全防护效果难以进一步提高,而近年来出现的基于语法规则的检测虽然在一定程度上弥补了特征的不足,但是因为不理解业务,对于有着更高智能的攻击也显得捉襟见肘。
我将从百度在安全领域的实践出发,与大家一起探讨通过人工智能、机器学习领域的经典方法形成的分析系统效果,和他们如何与传统防护系统相互补充的经验。