未來世界安全嗎？第二屆TSec入圍議題直指大熱領域安全隱患

分析機構Canalys最新報告預測，到2018年底，使用智能音箱的人數將達到1億人，而在2017年，這個數字還沒有超過4000萬。未來世界每人都擁有一台「善解人意」的智能音箱變得觸手可及。與此同時，數字鑰匙、區塊鏈……等技術的快速發展也讓人類進一步觸摸到未來世界的輪廓。

但安全行業卻在從另一個角度看待這個現象。在即將舉辦的CSS 2018騰訊安全探索論壇（TSec）上，來自清華大學、中科院、騰訊安全聯合實驗室等頂尖研究機構的的安全專家將帶來九大前沿議題分享，揭示時下大熱領域的安全隱患。如果處理不好這些問題，未來世界的美好暢想將無異於空中樓閣。大會同時還將持續挖掘過往大家已有共識的議題，打破常規認知，為萬物互聯時代的新機遇和新思路提供重要參考。

直指未來世界安全，揭示智能音箱、區塊鏈安全隱患

「大智雲移」等前沿技術催生了大量解構人類生活方式的產物，但這些「新物種」的安全性卻沒得到相應的重視。以最近兩年最新流行的物聯網設備之一——智能音箱為例，廠商們一直致力於利用人工智慧技術使其能像人類一樣和用戶聊天。然而，隨著智能音箱功能的強大與普及，其安全性也受到了很多人的質疑，用戶很擔心智能音箱會被不法黑客攻擊以泄露他們的隱私。在即將到來的TSec上，來自騰訊安全平台部的伍惠宇將揭示這種攻擊存在的影響。

而在時下大熱的區塊鏈上，發生的多起重大安全事件也反映出這個「去中心化」的新技術並不安全。以太坊是著名的區塊鏈公鏈，其上發行的虛擬貨幣「以太幣」是當前全球第二大市值的加密貨幣。截至目前，其總市值超過了4800 億美元，但巨額的財富吸引了越來越的攻擊者的興趣。來自騰訊安全湛瀘實驗室的王凱就將從攻擊和防禦角度分析以太坊RPC漏洞攻擊。

自動化攻擊在未來世界中毫無疑問將備受關注，這種通過自動化地利用系統中存在的大量安全漏洞，發起攻擊的技術能顯著改變網路攻防局面。曾在美國國防部發起的CGC競賽中獲得優異成績的清華大學張超與中科院的王琰將在TSec現場，帶來他們在自動化攻擊領域的最新成果，這或許是該領域研究的一小步，但無疑深刻著未來世界的網路攻防對抗形勢。

打破常規認知，持續探索「0」「1」世界奧秘

年初CPU晶元級漏洞爆發之前，沒有人會認為這裡也潛藏著安全風險。事實上，大量白帽黑客的研究早已證明了網路世界不存在絕對的安全，而打破業界認為是共識的研究逐漸也成為了以TSec代表的安全峰會上的保留節目。

本屆TSec上，多位安全專家將瞄準巨頭廠商——微軟旗下的產品，打破常規認知。緩解措施是Windows防禦體系中的重要環節，通過阻斷漏洞利用技術來增加攻擊的難度與成本。正常情況下，這些補充和完善能夠阻斷已知的繞過技術，進一步減小攻擊面，提供更全面的防禦。然而，來自綠盟科技的張雲海認為，由於設計上的疏漏，新的緩解措施也可能會影響已有的緩解措施，反而被用來突破整個防禦體系。

在微軟另一個重要的防禦措施——沙盒模式上，騰訊安全湛瀘實驗室的陳楠和Rancho Han，將在微軟Edge瀏覽器啟用win32k filter之後，首度公開從Edge瀏覽器攻破系統內核的方案。

多維化探索，推動信息安全產業發展

在信息安全研究驅動網路安全生態更加成熟的同時，其自身也正在衍生成一門極具潛力的產業。Gartner數據顯示，2017 年全球網路安全產業規模達到 989.86 億美元，較 2016 年增長 7.9%，2018 年預計增長至 1060 億美元。

入圍本屆TSec的議題之一《易偽造的數字鑰匙——智能門鎖Token安全性分析與保護》進一步證明了這種趨勢。來自上海交通大學蜚語軟體安全研究組（GoSSIP）的金宣成、宋瑩燕將基於從密碼學安全和身份認證的角度對數字鑰匙的應用協議的調查，展示如何設計一套具有高安全性的數字鑰匙-智能門鎖認證協議，這對當下應用廣泛的數字鑰匙市場價值巨大。

而來自騰訊安全雲鼎實驗室的劉少東將從當前主流WAF在攻防上面臨的實際困境出發，探索商業化WAF應用機器學習檢測Web攻擊的技術要點及研發創新，並以對比實測Demo來演示AI WAF落地應用的實際效果。

8月28日，第四屆互聯網安全領袖峰會（CSS）騰訊安全探索論壇（TSec）將在北京望京酒店正式開幕，目前售票通道已全面開啟，廣大用戶可至官網限時搶購免費票。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！