您位于: 首页 OWASP活动 ASC 2016 议题简介

议题简介

大会介绍 ······大会议程······参会报名 ······议题简介

 

10月25日上午 移动物联网安全论坛议题简介

演讲议题: 5G安全

嘉宾介绍: 陶小峰,移动互联网安全技术国家工程实验室主任。北京邮电大学教授,博士生导师。斯坦福大学访问学者。中国科协联合国信息咨商专业委员会委员。IEEE Trans. On VT、IEEE CommunicationMagazine、《电子学报》、《中国科学》等审稿人;IEEE Globecom SPC及ICC SPC委员会委员。

 

演讲议题: 在云计算时代中安全专家如何取胜?

议题简介:云计算能为我们实现基于按需付费的灵活、可靠的服务交付模式,但这种模式已在大型机运算时代中使用了数十载。我们可以这样认为:云计算是对集中化管理的一种回归。

随着网络攻击的持续增长以及新名词的不断涌现(如:IoT, BYOD, AI等),公司高管们正在寻求新的业务模式,从而更好地确保公司成功。因而,很多组织正在使用云计算,将其纳入企业风险管理的框架中,并制定了清晰的指南、程序和流程。这无疑是正确的做法。不论你是否愿意,云计算技术都将伴随我们。作为安全专业人员,我们必须适应并取胜。

本次演讲将阐述以下话题:理解云计算的模式和环境;学习云的全面风险框架及相关的安全策略;洞察云计算和大数据带来的机会点;了解董事会讨论的话题,洞察信息安全职业的新方向;给安全专业人员做出在云计算时代取胜的建议——战略及工具。

嘉宾介绍:Frank Yam教授(FHKIoD、FHKCS、FFA、FIPA、FHKITJC、CISA、CIA、CFE、CFSA),ISACA国际副主席(2004-2009),ISACA国际组织主管(2014-2015)。

Yam教授1984年开始从事国际性审计和信息安全方面的工作。曾任香港特别行政区政府首席信息官办公室信息安全圆桌会议的主席和仲裁人。现任Focus Strategic集团股份有限公司的主席和首席执行官。

Yam教授在专业组织和政府机构的专题研讨会和会议上广受欢迎,这其中包括了国际刑警组织和亚洲开发银行。Yam教授在他所贡献的行业中获得了无数奖项,包括:ISACA 国际组织的国际最佳演讲者奖、滑铁卢大学数学系的顶尖校友荣誉和校友成就奖章。

 

演讲议题: 车载网络安全问题研究

议题简介:演讲内容从“架构层”阐述车载网络安全问题来源、资产及漏洞、威胁及风险评估、最后介绍入侵检测在车载网络安全领域的应用。

嘉宾介绍:王建,高级讲师,清华大学汽车工程系(机械工程)博士。曾任211工程大学助教、讲师;启明-清华车载电子电器研发中心工程师;现任车载安全高级讲师。参研国家“863”、“973”、军队(部)及院校级科研项目数项;共发表科研论文(含EI)近20篇。研究方向为智能飞行器、车辆电子电气架构、车载网络信息安全等。

 

演讲议题: 云与虚拟化安全的新挑战与防御

议题简介:目前云与虚拟化技术具有相当大的优势与普及,但一直在安全方面存在容易受到DDOS攻击以及“东西、南北向”安全问题的困扰。该议题从理论及实践上对云及虚拟化平台与的威胁及防御手段进行剖析,提出了一个较为贴合当前企业信息化安全防御的综合的解决方案与技术实践措施,可有效缓解云与虚拟化环境下面临的安全威胁。

嘉宾介绍:杨谦,铱迅信息CEO,安全社区t00ls创始人之一,南京大学硕士学位,国家计算机网络应急技术处理协调中心江苏分中心网络安全专家,南京321人才。曾主持设计了铱迅Web应用防护系统、铱迅漏洞扫描系统、铱迅下一代防火墙、铱迅抗拒绝服务系统等网络安全产品。曾经发现过多个安全漏洞,如:

l   Foxmail邮件客户端mailto缓冲区溢出漏洞(BUGTRAQ  ID: 31294、 CVE(CAN) ID:CVE-2008-5839)

l   IE7.0异常CSS导致内存破坏漏洞

l   阿里旺旺ActiveX控件导致淘宝旺旺拒绝服务漏洞(SSV ID:12422)

l   超星浏览器4.0 Loadpage任意代码执行缓冲区溢出漏洞

10月25日下午 移动物联网安全论坛议题简介

演讲议题: MobSF简化移动应用安全评估

议题简介:移动应用程序市场在不断增长,移动安全行业亦是如此。随着许多常见应用程序的发布和更新,进行完整的移动应用程序的安全分析变得耗时和繁琐。在这次演讲中,将介绍MobSF安全框架,一个可用于移动应用程序安全分析的可扩展Web框架。

移动安全框架是一个集全功能于一身的开源移动应用程序(Android版/ iOS版),自动渗透测试框架,能够执行静态、动态分析和Web API的测试。它支持Android 和 iOS 二进制以及压缩的源代码。

嘉宾介绍: Ajin Abraham 是IMMUNIO的一名产品安全咨询师,他曾参与过多个OWASP项目:OWASP Xenotix XSS Exploit Framework、 MobileSecurity Framework (MobSF)、 Xenotix xBOT、 NodeJsScan 等。他是X0RC0NF的联合创始人,并且在Kerala组织举办年度安全会议;曾受邀在多个安全会议发表演讲,包括:ClubHack、 NULLCON、 OWASP AppSec AsiaPac、 BlackHat Europe、 Hackmiami、 Confidence、 BlackHat US、 BlackHat Asia、 ToorCon、 Ground Zero Summit、 Hack In the Box 和 c0c0n。

 

演讲议题:系统安全设计中的硬件因素

议题简介:此次演讲将主要介绍硬件/固件作为系统安全设计中被忽略了的攻击入口,和软件安全的能力限制以及硬件安全功能,并强调软硬件安全协同设计。

嘉宾介绍:朱江,现就职于华为公司网络安全能力中心,任高级安全工程师,致力于消费类电子产品开发和安全技术研究十余年,历任产品开发、DRM安全认证等职位;在嵌入式产品的安全设计和安全解决方案方面有丰富的工作经验;就职华为公司以来参与了终端产品安全方案设计和安全设计能力提升。目前主要关注硬件级安全技术研究。

 

演讲议题:换个视角攻击Android App

议题简介:随着Android App攻防对抗的升级,常规的安全问题在大型App中相对很少了,而越来越多是第三方库及framework组件引入的安全漏洞。本议题将介绍常用的第三方库(包括zxing、ffmpeg、sqlite、chromium、stagefright等)及framework组件存在的漏洞,包括远程代码执行漏洞、缓冲区溢出漏洞、信息泄露漏洞等,并讲述漏洞挖掘方法,最后给开发者相应的检测和防范措施。

嘉宾介绍:曲和,支付宝钱包对抗组负责人,客户端技术专家,主要从事终端安全相关工作,在协议分析、脱壳、漏洞挖掘等方面有丰富经验,曾发现国内外多个知名厂商安全漏洞。目前主要负责支付宝钱包安全。

 

演讲议题:移动应用安全新技术

议题简介:随着移动互联网和物联网的快速发展,移动金融、智能家居等模式迅速蹿红,而移动互联技术在为生活带来无限机遇与可能的同时,随之而来的巨大挑战与威胁也不容小觑。近几年,多个移动金融、网贷平台频繁遭受黑客的攻击,自动驾驶系统、智能家居系统等也多次被曝出可被黑客劫持和远控,其根本原因就是移动平台和物联网平台的安全技术不够牢靠,缺乏发现威胁和自动防御的能力;万物互联时代,传统的安全技术已经逐渐失去作用,只有践行创新求变的技术本质,才能找到行之有效的安全解决方案、才能构建完备的移动应用安防系统。通付盾移动安全实验室主任华保健博士在介绍移动应用安全发展趋势的同时,将重点分享通付盾研发的最新的技术和实践心得。

嘉宾介绍:中国科学技术大学计算机软件理论专业博士,美国Clemson大学计算机系访问学者。先后就职于中国科学技术大学、微软从事研发工作,主要研究方向为软件安全、程序设计语言理论与实现技术等。先后参与国家自然科学基金、中国科学院基金、Intel中国研究中心基金等数项科研课题,发表研究论文十余篇。目前在通付盾带领移动安全实验室研发最新的移动安全技术并应用于产品。

 

10月26日上午 应急响应分论坛议题简介

演讲议题:如何应对及预防IoT风险

议题简介:我们生活在一个物联网的时代。每天都有越来越多的产品与互联网连接,这极大地影响了我们的生活。与此同时,信息技术安全也随之变得越来越重要。许多顶尖的国际化IT公司因为安全事件而频频曝光,对安全事件的处理不当也会带来严重后果。对国际化IT公司而言,响应安全事件并不容易,因为他们是在不同的地方生产不同的产品和服务,而且产品开发计划的节奏也相当快。特别值得一提的是,应对消费者硬件产品(如智能手机和IoT设备)相关的安全事件对他们而言更是难上加难,因为打补丁的流程相当复杂。

本次演讲将为制造消费者硬件产品的领先国际化IT公司介绍一个清晰的方法论,用于打造和管理一个优秀的PSIRT(产品安全事件响应团队)组织。

嘉宾介绍: Issac Kim的职业生涯是从一名网络安全工程师开始的。曾在美国 AFNOC和DISA工作。在此之后,他为美国空军、波音公司和财富 1000 强公司工作。他曾在三星移动安全研发中心带领开展 PSIRT 和安全评估工作。目前,他在Universal Weather and Aviation公司运行一个软件安全项目。

Issac的专业领域包括产品安全问题的评估、分析和响应,并带领和执行应用程序、 网络、 web 和移动平台的安全评估和渗透性测试。他拥有GSE (GIAC安全专家)、CISSP及其他7项GIAC证书。Issac拥有纽约州立大学信息系统工程学学位。

 

演讲议题:当今组织的企业安全——典型案例研究

议题简介:这次演讲将探讨某个组织应对安全问题的具体操作案例,并提供董事会、管理层和监管机构所关注的安全报告。

此次演讲将包含:

l   安全风险评估: 实施安全框架策略--跨三个技术塔(主机、终端和服务器)和电信(包括物联网和移动)

l   安全策略(框架)的实施过程中面临的挑战:

l   组织内部阻力(文化)

l   组织以外阻力(黑客)

l   已知未知信息(信息资产)

l   第三方承包商风险

l   安全成果输出

与会者将了解:如何进行安全风险评估;如何制定安全策略;如何应对实现安全框架时面临的挑战;安全成果输出。

嘉宾介绍:Ken Doughty(CISA、CRISC、CBCP、CRMA、CPRM),就职于澳大利亚某大银行,是一位拥有丰富经验的企业风险管理专业人士。他在众多专业领域拥有超过 30 年的风险管理经验。

Ken在Macquarie大学担任兼职讲师。他是各项研讨会和大会的国际知名演讲者,并获得了多个奖项:2002年ISACA 国际组织最佳演讲者和会议贡献奖;2004年 itSMF 最佳 ITIL 项目澳大利亚总统奖章;2006 年ISACA国际组织的HaroldWeiss奖;2015 年澳大利亚风险管理机构最佳志愿者。

 

演讲议题:新形式下如何做好网际安全防范

议题简介:本次演讲主要包括:

1.展望安全领域的未来

结合科技发展趋势,展望现有安全规则将如何演变

2.回到当下,现阶段最大的挑战

对如今网络空间中常见的攻击种类做分析

3.下一步应该怎么做

结合传统的纵深安全防御模型 和SSDLC(安全软件研发生命周期)对主流安全防护技术的优劣势做总结。其中,涉及到主要的传统与前瞻性创新安全防护技术集成分析 - 包括传统的周边安全防御体系 至 最新的应用安全自我防御体系RASP, 安全大数据与 安全行为监控体系的集成协作分析与分享等。

嘉宾介绍:Dixon Ho曾任微软大中华区信息安全总监、ISSA(信息系统安全协会) 香港分会主席、ISACA(国际信息系统审计师协会) 北京委员会主席、香港警署防犯罪技术部(TPCU)防止犯罪技术和安全咨询顾问、世界贸易组织(WTO )第六次部长会议首席安全咨询师、第29届北京奥运会 - 奥运城市运行指挥平台安全顾问;现任北京蓝海讯通科技股份有限公司ONEASP - 首席安全 (前瞻性创新安全技术) 总顾问。

 

演讲议题:大数据环境下的黑产对抗研究

议题简介:在大数据时代,基于数据的精准诈骗逐渐成为黑产的主要操作手法,对网民的上网安全造成严重威胁。每天百度索引的数据中1-2%的url包含不同程度的恶意信息,会影响到0.5%的点击流量。演讲将介绍大数据环境下的安全形势,以及如何利用大数据分析技术对海量数据进行安全检测和分析,与黑产进行对抗。

嘉宾介绍:耿志峰,现任百度商业安全部威胁情报资深专家,从事大数据安全方面的工作,是百度商业安全部威胁情报专家,同时任网址安全中心和云扫描中心负责人;在将大数据技术应用在打击黑产、网址安全扫描、网络反欺诈等方面,具有丰富的经验。

 

10月26日下午 S-SDLC分论坛议题简介

演讲议题:在敏捷快速部署环境,成功建入安全

议题简介:许多组织难以将安全融入敏捷环境中。但是使用适当的技术和方法是可以实现一个安全、灵活、快速发展和集成的SDLC。在这次演讲中,我们将讨论如何使用动态和静态评估工具将安全成功地建入到敏捷快速部署环境中;这种方法可以在部署之前,最有效地识别安全漏洞。

嘉宾介绍: Steve Kosten 是Cypress Data Defense的安全顾问和“SANS DEV541Secure Coding in Java/JEE: Developing DefensibleApplications”课程的导师;曾在国防和金融部门从事网络安全工作,并担任某金融服务公司安全部门负责人;现任OWASP美国丹佛分部负责人,是 OWASP AppSec US会议组织者之一。他曾在众多大会上发表了有关安全的演讲,在安全代码审核、漏洞评估、渗透测试和风险管理方面经验丰富;拥有宾夕法尼亚州立大学的航空航天工程学学士学位和詹姆斯麦迪逊大学的信息安全硕士学位;目前持有GSSP-JAVA、GWAPT、CISSP、CISM认证证书。

 

演讲议题:XSS自动检测新方法:不使用静态网络数据载荷的动态XSS测试

议题简介:在过去的15年中,所有主流的自动化XSS检测方法都依赖于网络数据载荷。网络数据载荷是静态挖掘已知攻击字符串和挖掘语法变化。在此演讲中将举例说明不依赖于网络数据载荷,发现XSS漏洞存在的动态方法。而且这些方法也是第一次可以扩展到提供并准确存储XSS检测和生成动态定制XSS攻击。并将演示当前知名的自动化XSS检测方法和使用一个静态网络数据载荷方法的缺点。然后,将描述用于提供动态XSS分析的一系列方法和技术。最后,将展示基于前面描述的动态检测XSS方法,如何创建动态定制XSS攻击。

嘉宾介绍:Kenneth F. Belva现任财富 500强企业的网络安全顾问;曾为全球性金融机构运营网络安全项目;是一位以结果为导向的信息安全专家,拥有近 20 年在综合性国际金融机构领域有关治理、策略、应用程序、 数据库和网络安全体系架构方面的经验。

Belva先生曾是ISSA纽约大都市分部的董事会成员,曾主持过联合国、高盛、OWASP AppSec USA 2015会议,并发表演讲。他是纽约州立大学商务计算机系统系客座教授。Belva先生还因发现微软和 IBM软件产品中的漏洞而受到两家公司的赞誉;最近,他获得了XSS攻击自动发现新技术的美国专利。

 

演讲议题:ZigBee—设计带来的不安全因素

议题简介:ZigBee是在物联网中,特别是在智能家居领域,最广泛使用的一种通信标准。

作为家庭自动化网络和智能家居应用通信,ZigBee是否足够安全的?答案是否定的。由于互动操作性和兼容性要求,以及遗留的应用程序安全问题,导致非授权用户可以控制ZigBee网络并接管对所有连接设备的控制。

本次演讲将概述ZigBee实用应用安全方法,重点介绍ZigBee的缺陷,并演示实际存在的产品漏洞,以及介绍最近针对ZigBee开发的安全测试框架工具。

嘉宾介绍:Florian( GCFA、GCIH、CDRP、ITIL、Cobit)自2011年起,担任Cognosec公司信息安全审计人员。Florian可以通过人工和自动相结合的方式,执行Web应用和Web服务的渗透测试、源代码分析和网络渗透扫描,来评估并确保信息技术的安全性,以最大化这类安全评估的效率。

Florian的专业领域还涉及到法证分析和恶意软件分析技能,以调查网络犯罪案件和及其成因。他的恶意软件分析技能帮助理解恶意软件内部是怎样工作的,并调查了解当前和未来可能发生的威胁。

 

演讲议题:如何安全地做敏捷开发?

议题简介:敏捷开发越来越流行,它对于快速发布产品确实有好处。但是,同时也会带来问题。很多产品在发布之后被曝出有安全问题。如何通过敏捷开发快速地发布新产品和新特性的同时尽量避免安全问题的引入是一个挑战。尽管业界已经有一些安全开发流程,例如微软和OWASP,但是,这些安全流程只是一个指导文档,没有具体的实施细则和经验,往往不能直接拿来使用。

在本次演讲中,将会介绍在敏捷开发流程中的每一个阶段如何提高产品安全,包括:培训、识别威胁、构建自动化扫描,改进编译过程和制定发布标准等。

嘉宾介绍:李建蒙(CISSP),毕业于2001年。毕业之后,先后加入过科大恒星、华为、思科和惠普;并出版过关于Web应用安全的书籍,曾在OWASP亚洲峰会(2011,北京)和思科全球安全大会(2015,圣何塞)上做过演讲。目前主要从事安全标准和策略的制定,研究产品中出现的安全问题和提供解决方案,以及安全开发流程的跟踪与改进。