未知攻焉知防,在攻防双方对垒的过程中,可以考验出防守方在安全防护能力以及安全事件的检测发现和应急能力,同样在实网演练的场景下,也可有效的检验攻击方的工具效果,扩充攻击实战场景,优化攻击链条。
11月24日,第八期安全范儿「甲方安全攻防建设」冬季技术沙龙如期而至。诚意满满,献上满满干货,本次沙龙邀请京东蓝军、小米蓝军及字节安全的攻防专家,分享攻防实战建设思路,突破技巧,盘点最新攻防策略“套路”,助力大家不断完善攻防建设能力,提升企业安全水位。
本场沙龙围绕当下热门的攻防建设话题“攻防演练、漏洞挖掘技术、企业安全、K8s攻防、流量分析、API安全等”展开,议题均来自行业实战案例、一线实战技术专家沉淀。一览四个议题的具体内容。
1、京东蓝军视角下的逻辑漏洞利用和治理
议题介绍:
随着自动化漏洞发现能力的提升,常规漏洞类型呈现大幅降低趋势。但与此同时,逻辑漏洞呈现大幅上升趋势,占比超过50%。零元购、越权漏洞大量产生,给电商企业带来巨大经济损失、以及敏感信息泄露风险隐患。本次议题结合实际的案例从蓝军的视角总结逻辑漏洞挖掘思路,并利用逻辑漏洞实现攻击战略目标,触达业务痛点。
讲师介绍:
黄嘉隆,京东蓝军团队安全研究员,主要负责Web安全研究、代码审计、漏洞挖掘等方面的工作,独立挖掘国内知名OA系统多个RCE 0DAY漏洞。曾长时间参与集团逻辑漏洞治理专项工作,对逻辑漏洞成因、挖掘、治理有深刻的见解,并开展数次针对开发、测试工程师的培训工作。
黄嘉隆,京东蓝军团队安全研究员,主要负责Web安全研究、代码审计、漏洞挖掘等方面的工作,独立挖掘国内知名OA系统多个RCE 0DAY漏洞。曾长时间参与集团逻辑漏洞治理专项工作,对逻辑漏洞成因、挖掘、治理有深刻的见解,并开展数次针对开发、测试工程师的培训工作。
2、基于流量分析的漏洞检测及API安全实践
议题介绍:
API安全问题是当前企业面临的重要安全风险之一,对API接口进行安全风险发现和预警是构建企业防御能力的重点环节;本议题将从字节跳动对于产品流量的安全分析实践出发,分享如何从流量分析视角检测常见安全漏洞及API安全风险,并协助内部开展安全风险治理,提升产品安全水位。
讲师介绍:
邵凯强,字节跳动安全工程师,硕士毕业于复旦大学,加入字节跳动后参与流量安全分析方向能力建设,持续参与字节跳动产品安全风险发现与治理,API安全检测工作。
3、小米企业蓝军与安全建设
议题介绍:
2018年以来,小米企业内部每一年都会组织多次蓝军行动,通过攻击者的视角去检验安全体系的薄弱面。面对众多的业务线以及不同的技术体系,如何确定内部蓝军的行动目标,面对复杂的业务结构,如何化繁为简,获取身份权限,面对严格的网络环境,如何实现数据外带;以及小米蓝军行动如何将风险与安全建设相结合,持续推进企业安全建设。
讲师讲师:
张冠廷,小米集团高级安全工程师,先后在恒安嘉欣和青藤云安全担任安全专家、安全研究工程师;自加入小米后,在企业内部参与零信任体系建设,主要负责安全代理网关构建以及推进、WAF安全防护、蓝军行动。
张冠廷,小米集团高级安全工程师,先后在恒安嘉欣和青藤云安全担任安全专家、安全研究工程师;自加入小米后,在企业内部参与零信任体系建设,主要负责安全代理网关构建以及推进、WAF安全防护、蓝军行动。
4、生产网中Kubernetes 攻击与防护
议题介绍:
以 Kubernetes 为代表的容器编排技术,已经成为许多厂商软件研发体系中不可或缺的基础设施。它在为我们提升资源利用率,提供服务发现与负载均衡、自动上线和回滚、自动伸缩等云原生能力的同时,也给云上用户和基础架构引入了新的攻击面。本议题结合我们在生产网中的 Kubernetes 攻击与防护实践,分享在不同场景里由其引入的攻击面和安全威胁,以及为了应对这些威胁,可以通过哪些措施来进行防护。
讲师讲师:
韦伟,字节跳动云安全研究员,毕业于北京理工大学,曾在腾讯从事漏洞挖掘与利用研究工作。20年加入字节后从事虚拟化安全&容器安全的相关工作,长期研究容器&Kubernetes 攻防技术,并主导或参与相关防护能力的设计和实现。
观看方式:
11月24日14点,火山直播,扫码预约直播,预约即可参与抽奖。
关于安全范儿沙龙
观看方式:
11月24日14点,火山直播,扫码预约直播,预约即可参与抽奖。
关于安全范儿沙龙
「安全范儿」沙龙,由字节跳动安全与风控发起,用活动的形式搭建行业交流桥梁,与安全从业人员进行技术交流分享,拓展彼此的视野,吸引更多的人才加入,帮助安全人才成长,共同完善生态,促进安全行业的有序运营和蓬勃发展。拓宽安全技术视野,亦是丰富美好生活。Empower Security ,Enrich Life!