中国における情報セキュリティの新たな免疫システムの作り方 by WooYun -...
Transcript of 中国における情報セキュリティの新たな免疫システムの作り方 by WooYun -...
WooYun
如何建设互联网安全免疫系统インターネットの免疫システムの作り
方
关于我 私について
• 80sec 安全团队创始人 80sec セキュリティチームの創設者
• 前百度安全架构师
Baidu のセキュリティチームの元リーダー
• 乌云安全社区创始人
Wooyun セキュリティコミュニティの創設者
关于我 私について
• 黑客理想主义者 思考においては理想主義者
• 黑客实用主义者
ハッキングにおいては現実主義者
关于今天的议题本日の議題
• 没有关于专业 APT 的分享 共有する APT はない
• 没有关于最新技术的分享
共有する有名なハッキングスキルはない
当我们讨论安全时我们在讨论什么セキュリティを語るときに何を語る
か
• 以破坏的方式创建一个更好更安全的世界• 安全な世界を作るためのハッキング
当我们讨论安全时我们在讨论什么セキュリティを語るときに何を語るか
• 我们可以破解世界上最安全的汽车 世界で最も安全な自動車をハッキングすることは
出来る
• 但是我们却无法让人们不用弱口令
しかし、人々が弱いパスワードを使うことを止めることは出来ない
我们面对的互联网环境私達が直面しているインターネット
環境
• 数以亿计的用户 10 億人のユーザ
• 巨大的用户基础导致同样巨大的黑色产业
膨大なユーザによる巨大な黒い産業
我们面对的互联网环境私達が直面しているインターネット環境
• 短时间爆发增长的企业和应用 超短期間での企業とアプリケーションの
爆発的増加
• 先生存再考虑安全
セキュリティを考える前に生き残ることを考えなくてはならない
• 相对不完善的规范和机制 規格とメカニズムが相対的に不足
• 安全的合规性大于实际应用
本当に安全なることよりもコンプライアンスに注目
我们面对的互联网环境私達が直面しているインターネット環境
• 快速发展的云和新型技术 クラウドの急速な発展と新技術
• 现在包括家里的锁都已经开始联网
家の鍵でさえネットワークとつながる
我们面对的互联网环境私達が直面しているインターネット環境
如果你是一名白帽子もしあなたがホワイトハットなら
• 你不能获得较高的薪水和较好的职业发展 より良い給料とキャリア開発が得られない
• 企业并不重视安全因为用户并不了解安全
企業の顧客はセキュリティを理解していないため企業はあなたに注目しない
如果你是一名白帽子もしあなたがホワイトハットな
ら• 因为商业安全社区缺乏分享和讨论 民間のセキュリティコミュニティでの
共有や議論の不足
• 你的伙伴会越来越少但是敌人会越来越多
敵は多くなり仲間は少なくなる
如果你是一名白帽子もしあなたがホワイトハットなら
• 你企业的安全状况不会因为你努力而变得更好 あなたが努力しても企業の状況は良くならない
• 因为网络环境变得更糟你的敌人更多
インターネット環境が悪くなることで敵が増える
失控的互联网インターネットの制御外
• 糟糕的生态 生態システム(生態系)
银弹在哪里どこに万全の解決策があるか
• 我们能用更好的安全技术来解决这些安全问题么 より良いセキュリティ技術を通じてセキュリ
ティ問題を解決することは出来るか?
• 问题的核心在哪里 問題の核心は何か?
银弹在哪里どこに万全の解決策があるか
为什么 なぜか
封闭 閉鎖的な環境
– 用户(封闭导致看不到真实的问题)ユーザ(閉鎖的で本当のリスクに気づかない)– 企业(用户看不到问题可以不投入)企業(ユーザが気づかない領域に投資しない)– 行业(信息的不对称可以获得利润)業界 (情報の非対称性によって利益を得る )
传统漏洞披露过程脆弱性公表の従来のプロセス
• 漏洞第一时间提交给厂商最初に脆弱性が企業に伝えられる• 厂商和修复确认及补丁推送企業は確認および修正し始める• 对外不主动披露任何信息いかなる情報も自発的に公表しない• 可能的商业合作和奖励致谢可能な限りの民間の協力と謝礼をする
负责任漏洞披露过程脆弱性公開の責任あるプロセス
• 符合企业自身利益诉求 企業の関心度合いの確認
• 符合早期信息安全环境情報セキュリティ環境の早めの確認
变化変化• MS/Adobe/Apple– 封闭体系閉鎖的なシステム– 终端安全端末のセキュリティ
• Google/Amazon/Apple– 开放体系 オープンシステム– 云端安全 クラウドセキュリティ
我们希望 私達の希望
开放 開放的– 用户(通过安全信息的公开披露能够了解安全)ユーザ (情報公開によってセキュリティをよく知る ) – 企业(用户对安全的关注和了解将使得企业提高在
安全的投入)– 企業 ( ユーザの要求を満たすためにセキュリティ投資を改善する )
– 行业(透明的环境使得产品和技术价值提升)– 業界 (透明性の高い環境は製品と技術の価値を上げる )
负责任漏洞披露过程(乌云版) 脆弱性公開のプロセス –Wooyunバージョン
• 漏洞第一时间提交给厂商最初に脆弱性が企業に伝えられる• 厂商修复确认及补丁推送企業は確認および修正し始める• 对外公开全部漏洞细节脆弱性の詳細が公開される• 重要漏洞会被预警和讨论高いリスクの脆弱性は早い段階で警告および検討される
负责任漏洞披露过程(乌云版) 脆弱性公開プロセス –Wooyunバージョン
• 符合现有环境下行业对安全的诉求現在の環境下での業界のセキュリティ訴求に従う
• 符合现在以及未来情况下安全环境現状および将来の安全な環境と合致する
乌云生态的核心价值体系システムの本質的な価値 –Wooyun 環境• 所有企业可以第一时间修复自己安全问题和了解互联网风险• 全ての企業が脆弱性の修正が出来て
インターネットリスクを知ることが出来る
• 社区和企业可以学习公开的问题细节从而避免更多问题出现
• 企業は共有された脆弱性から学ぶことでより多くの潜在的な問題を回避できる
• 用户通过公开的问题可以了解到自己数据是否存在潜在风险
• ユーザは公開情報をもとに潜在的なリスクを見つけるかもしれない
Github but in security
Bug bounty but Free
WhiteHat School but no teacher
我们做到的私達は何をしてきたか :
• 10 , 000+ 白帽子为互联网报告了100,000+ 漏洞
10,000 人以上のホワイトハットが 100,000個の脆弱性をインターネット業界のために報告した
我们做到的私達は何をしてきたか :
• 重要安全漏洞发现和修复周期缩短为周甚至更短• 重要なセキュリティ脆弱性の公表や修正サイク
ルが数週間もしくはそれ以下に短縮されてきた
我们做到的 私たちは何をしてきたか :
• 重要的安全风险用户都会了解并且敦促企业进行处理高いリスクを負うユーザは、そのリスクを理解し、
企業に修正を促すだろう
我们做到的私たちは何をしてきたか :
• 企业更好的认识安全后社区白帽子有更好的发展• 企業がセキュリティについてより理解することで
コミュニティのホワイトハットがより良いキャリア開発を得る
我们做到的私達は何をしてきたか :
• 白帽子 + 用户 + 企业 + 政府形成一个良好的安全免疫机制健全なセキュリティ免疫メカニズムを確立した
:
ホワイトハット + ユーザ + 企業 + 政府
Q&A
• :)