网络安全黑暗森林法则：2015 ISC 深度回顾

2015中国互联网安全大会(ISC)于9月29日至30日在北京国家会议中心举办。作为亚太地区信息安全领域最大规模、最专业的年度会议，此次展会吸引了2.5万人次现场参与，百余场的专业演讲与数场高端人物对话深入探讨全球信息安全最新发展趋势，分享最前沿安全技术研究成果及实践。

在为期两天的会议中，来自美国、以色列、澳大利亚、韩国和中国等多个国家的120位世界顶级安全智库和安全专家出席，并围绕110个议题进行头脑风暴，共同探讨网络安全行业未来。

前美国国家安全局局长基思·亚历山大（Keith B Alexander）、360公司董事长兼CEO周鸿祎、Cyphort Inc联合创始人兼首席架构师弓峰敏、中国工程院院士邬贺铨、360公司总裁齐向东、360副总裁谭晓生等在大会主讲台上从不同角度与听众分享了了互联网安全领域的各自论点。

弓峰敏：风投泡沫或已出现，安全创业正是时机

ISC首席科学家、硅谷著名安全投资人、Cyphort联合创始人弓峰敏的演讲《风险投资泡沫和安全创业热潮》在会后引起热议。

Cyphort联合创始人弓峰敏

弓峰敏以安全创业为方向的演讲，直面中国当下火热的全民创业浪潮，引起热议。但是演讲一开始，他却用几组数据说明当下或已出现风险投资泡沫，观察者发现，有些公司虽然获得巨额投资，但却被行业分析为可能存在“泡沫”。《华尔街日报》的统计数据表明，被冠名上“泡沫”的这些公司都在关注软件、互联网等领域。这堆名单中，中国企业有19家。而软件安全领域的企业还是“0”。因此说，网络安全企业可能有更多的机会。

弓峰敏表示,目前有七大热门安全领域，并且在美国，VC和基金都已经开始全面投向这些领域：

1.异常行为数据分析
2.安全支付和欺诈
3.物联网安全
4.下一代身份和访问控制平台
5.内部威胁监控和响应
6.威胁情报基础设施
7.安全生态系统解决方案

弓峰敏随后建议：网络安全公司要把握网络安全领域的创新的变化，根据实际的需求生产产品，比如：如果你为美国市场生产产品，一定要思考美国市场的需求、美国公司的现实需求。

同时，中美两国都在不断加大对网络安全的投入，而且双方都不鼓励使用国外的服务或者产品，这就造成需求的差异，也正是这样的差异，将为这两个国家的网络安全行业提供大量的创业机会。

基思·亚历山大：网络攻击愈发复杂， 快速响应协作防御

在ISC 2015的开幕峰会中国互联网安全领袖峰会上，前美国国家安全局局长基思·亚历山大（Keith B Alexander）提到，通过大数据对整个网络空间中正在发生的行为和行为模式进行侦测和识别，就能迅速发现网络空间中的异常行为，实现防御。

基思·亚历山大表示：网络安全事件正在对各个国家产生影响。网络分两种：受了攻击能看见的网络和受了攻击看不见的网络。在今年早些时候 Black Lotus 发布的报告显示，64%的平台提供商受到 DDoS 攻击影响，66%的托管解决方案提供商和66%的 VoIP 服务提供商受到影响。愈演愈烈的 DDoS 和 APT 攻击使得今天的网络安全状况变得越来越复杂，安全不再是单一终端面临的问题，而是需要快速的反应能力和安全力量间的相互协作，也许这正是周鸿祎在今年的互联网安全大会上不断强调「看见」的原因。

周鸿祎：打破未知威胁，建立看见的能力

360公司董事长兼CEO周鸿祎发表了题为“看得见的安全”的主题演讲，演讲开始时，他首先解释了在西雅图中美互联网论坛上被人吐糟的着装，原因不过是西裤被撑破了，不得已临时换了条不搭的裤子。演讲中周鸿祎首次提出了“网络安全新法则”，指出今天大多数已知的威胁和攻击都可以防御，但企业和机构面临更多的是未知的威胁和漏洞，所以传统的防火墙产品和防病毒技术已经力不从心，需要通过大数据技术的应用才能防御新的安全威胁。

周鸿祎表示，利用大数据能力和数据技术建立看见威胁的能力，将成为安全行业最重要的能力，也是保证国家网络安全和企业安全的核心能力。为此360已经建立了国内首个威胁情报中心。

周鸿祎称，360威胁情报中心利用安全大数据与亚马逊、Facebook、Twitter、汇丰银行、英国电讯全球上百家企业、大学和机构合作，分享数据和安全威胁情报，包括美国和英国在内的几十个国家的Cert都已经申请使用360的数据。

“被发现，总有一方被消灭。”在演讲结束时，周鸿祎引用了《三体》中的黑暗森林法则，它的意思是在宇宙里有许多不同的文明，每一个文明都不希望被更高等级的文明看见，因为被发现就可能被消灭。“在网络安全的攻防世界里，这个规则也适用，我们需要做到的是如何能看见更多的威胁。”周鸿祎最后说道。

APT与新威胁论坛（FreeBuf承办）亮点回顾

FreeBuf和漏洞盒子作为ISC的战略合作伙伴，独家承办了此次大会的“APT与新威胁论坛”。作为近年来的热门话题，“APT与新威胁论坛”从筹备之初便引起很多人的兴趣，FreeBuf更邀请到数位业界大牛，从产业安全、攻击实力、技术解密等各个角度与大家一起分享了全球范围内新兴安全威胁之态势。

Palo Alto在恶意软件研究领域的总工程师Vicky Ray（新加坡）:《Tales of an InfoStealer》

Intrusion Kill Chain模型又称为Cyber Kill Chain模型，这个模型将攻击者的攻击过程分解为如下七个步骤:

Reconnaissance（踩点）
Weaponization（组装）
Delivery（投送）
Exploitation（攻击）
Installation（植入）
C2（控制）
Actions on Objectives（收割）

Palo Alto Networks安全专家于此议题中用Cyber Kill Chain模型向大家论述各行业中组织机构是如何受到恶意软件影响的，议题中阐述的恶意软件、攻击方法将对全球主要行业数千家组织机构产生影响。

赛门铁克全球信任服务技术总监、总工程师Hari Veladanda：《从心脏滴血到贵宾犬：如何防御各种新兴威胁》

在近几年中，大量的网络安全威胁和漏洞被发现，Hari此次具体讲解这些威胁的根原因和如何运用最佳技术手段保护您和您的公司免于遭受这些攻击。

奇虎360核心安全事业部资深安全专家胡星儒：《歌者之眼：国内APT事例揭秘》

在反APT的工作中主要核心是发现，从初始攻击的发现、回溯历史攻击的发现到持续跟踪发现后续攻击行为，最终发现幕后相关攻击组织并揭露出组织或行动之间的关系。本议题分为概述、事例揭秘、组织分析和经验想法四大部分，演讲者用鱼叉式钓鱼攻击、针对性恶意邮件、高级针对性攻击、网络间谍等一系列关键词来阐述什么是APT，并列举出一些APT相关的数据统计。 议题中主要以海莲花等针对中国的APT攻击实例展开，介绍目前APT的现状，进一步揭示如何发现攻击事件，从样本、事件和组织特性等层面进行关联分析，还原出尽可能完整的攻击行动，分析攻击意图并量化组织能力。胡星儒认为：面对新的安全威胁，我们应该保持开放、合作的态度。

安天实验室副总工李柏松《网络安全威胁中的商业军火》

网络空间是没有硝烟的战场，网络军火商HackingTeam开发的软件可以监听几乎所有的桌面计算机和智能手机：包括Windows、Linux、Mac OS、iOS 、Android、Blackberry、Symbian等等，HackingTeam被黑、资料泄露意味着潘多拉魔盒被开启，泄露的资料在很大程度上把整个灰色产业链的技术水平提高一个档次。Speaker从传统PC平台和新兴移动平台两个方面，结合具体案例，介绍商业化攻击平台的应用现状，最后综合考虑实施成本、实施效果等多方面因素，讨论如何应对商业化攻击平台带来的网络安全威胁。

杭州安恒安全研究院负责人吴卓群:《0day动态检测之通过插桩检测ROP》

随着近几年来APT越来越火，那么针对APT攻击中很重要的一块：0day攻击的检测方法也不能落下，我们知道：相对于传统的静态检测，动态检测更具准确性，更加具备捕获0day的能力。本议题讲述了0day动态检测方法之一通过二进制插桩的方式实现ROP检测。

上海交通大学特别研究教授郁昱：《3G/4G SIM卡安全分析与防护》

近年来，移动通信网络发展迅速，目前已经大踏步迈入4G时代，在二代SIM卡安全问题频发的现状下，3G和4G USIM卡安全问题也成为大众关注的焦点。在此次议题中上海交大教授郁昱和在BlackHat大会上一样演示了3G/4G SIM卡的克隆，并用原卡和克隆卡分别拨打电话，虽然此次ISC大会上与BlackHat大会的演示方式不一样（BlackHat大会上为现场演示，此次ISC为视频演示），但给大家视觉、内心造成的震撼效果是同样的。

除了APT与新威胁论坛，2015 ISC还开设了网络空间安全战略论坛、智能移动终端攻防论坛、数据篡改与物联网安全论坛以及数据驱动安全之威胁情报论坛等十三个分论坛，威胁情报作为新兴的安全热点话题，此次的威胁情报论坛也吸引了大批听众，威胁情报论坛以“掌控现在，把握未来”为主题，讲述国内外最为先进的威胁情报学信息。

主办方请来了idelis公司高级威胁分析师John Bambenek、360网络安全研究院院长宫一鸣、IBM全球首席安全架构师Ron Williams等几位在威胁情报领域的重量嘉宾，

360网络安全研究院院长宫一鸣

安全缺失“看见”的能力

什么是安全？

360安全专家宫一鸣认为任何一个具体的产品（比如一开始的密码到后来IDS、防火墙、扫描器等这些产品）其实都不能代表安全本身，但其实漏洞只是安全里面一个很小的一块，因为实际上大家可能会有感触：现在漏洞越来越多，出问题的东西越来越多，漏洞是永远不会消亡的，而且跟上线的设备的数量是保持相对平衡。

宫一鸣指出：去年，很多著名的公司都被搞，如果Twitter、Facebook这样的公司都被搞的话，搞一般的公司太容易了。因此安全的重点在某种意义上变成怎么能及时、更快更准确地发现有人搞我。这是一个理念上的转变，我承认我系统会被搞，但我要把精力放在第一时间发现它。

观点：安全是一种能力，安全不是一个具体的东西，这里面最缺失的就是“看到”这个能力。

威胁情报论坛上，知道创宇技术VP余弦给大家带来的是《发现网络空间里的“暗物质”情报》

在这里余弦分享了利用Zoomeye探索网络空间的一些心得，以及磊科路由器后门的一些数据统计和威胁分析，同时也带来了工控领域安全威胁的一些干货，在此次演讲中余弦也给大家解答了之前shodan和ZoomEye关于全球MongoDB泄露的数据统计差异的原因。

谭晓生：国内安全秩序待提升

在2015 ISC闭幕论坛上，360公司副总裁谭晓生作了名为《零和博弈还是纳什平衡—— 网络空间安全产业秩序展望》的闭幕演讲，作为压轴，谭晓生以2010年轰动安全圈的于兵案为开场案例，细数近年来互联网安全产业的官司不断，乱象频出，而当国内安全产业还在斗的热火朝天的时候，国外的网络安全公司如赛门铁克、Palo Alto、FireEye等却在营收上远超中国前三大网络安全公司近十倍，而在网络空间安全全球500强分布中，中国公司也仅有三家入围，究其原因，谭晓生给出的答案是——过度的低价血拼和无秩序的市场规则。

而说到中美中美网络空间产业秩序的差异时，他列举了如下不同：

•聚焦 vs 一揽子解决方案
•百花齐放 vs 寡头垄断
•安服的定位差异
•政府与企业的分工差异
•威胁情报服务的差异

从产业角度来看，国内的网络安全产业已经远远落后于美国，而且内部秩序不规范，低价竞争，甚至“订单换土地”的现象时有发生，作为360这家号称国内最大的安全企业的副总裁，谭晓生依旧从产业良性发展的角度，说出了他的解决之道。

联合防御成为业界主流

•安全产品品类增多，没有大厂商能够通杀
•中小安全企业依靠细分市场特色产品生存
•安全服务穿针引线
•威胁情报服务提供指引

•安全服务价值凸显
•政府与企业更紧密合作
•政府对网络空间安全企业的依赖加深
•政府的资金投入对网络空间安全企业的持续发展支持较大
•高等院校在网络空间安全人才培养上取得长足进步
•合作共赢逐渐达成共识

这些看似复杂的解决办法，我们却很容易从中看出，其关键点在“合作”与“政府”上。

安全公司合作共赢，中小公司依靠特色细分市场，相信这也是很多业内人士的愿景，但为什么说了这么多年合作，现状依旧是风波官司不断，内斗依然激烈？安全市场的蛋糕每家企业都想独占一份，而为了迅速占领市场，不顾宏观产业的健康发展与否，大打价格战。

中国古训说：风景长宜放眼量。懂得人多，愿意做的人少，在当下的安全行业，更是如此。

而政府方面，民营公司现阶段很难获得国企，军工等敏感行业的订单，这就流失了一大块市场。而在美国，则是恰恰相反，政府不断在寻求与企业的合作。目前国内这种现状短时间内是否可以有所转变？最新的一条消息或许可以看出些许端倪：近日，360董事长周鸿祎在接受媒体采访时称，360启动私有化“是国家对我们的期望。未来在企业安全、国家安全甚至军事网络安全的基础设施都由360提供，我们就变成一个内网了。”

如果周总的愿景属实，那么，刚刚跟随习大大访美归来的他，或许真的给行业传递了一个积极的信号。