老周的安全帝國飛速發展，而ISC 2020就是今年的第一份答卷。

雖然因爲疫情的原因，ISC 2020移至雲端，但萬人在線的規模、永不閉幕的創舉，讓今年的大會再度成爲網安人的一場狂歡。

從“萬物皆變，人是安全的尺度”到“安全從0開始”，再到“應對網絡戰，共建大生態，同築大安全”，ISC的主題始終圍繞着大安全、安全生態等方向。或許站得更高一些，才能一覽正在攀登山峯的攻擊者，規劃更具洞察性的安全戰略。而今年的主題“數字孿生時代下的新安全”，同樣沿襲了“保持前瞻”的視角，關注網絡安全行業如何在變化下求變，適應數字化背景快速調整方向飛速發展。

數字孿生高樓起，裹挾着核彈的網絡攻擊、無數風險正虎視眈眈。

這會是一場數字克隆世界裏的遊戲，也是屬於網絡安全從業者的重要使命。而ISC 2020的技術日，決意拋開虛頭八腦，酣暢淋漓地聊一場技術。持續4天的狂歡、多達12個的論壇，對於很多極客來說，可謂痛快。

漏洞無可避免，這是一個殘酷的現實。

一個很有趣的說法是，寫代碼的過程就是造漏洞的過程。而在數據化背景下，越來越多的企業選擇全站上雲或關鍵業務上雲，這也導致防護環境發生變化，傳統安全邊界消失，企業面臨的攻擊面和漏洞威脅劇增。

如果你看到了360 VulcanTeam漏洞挖掘與利用高級專家、虛擬化安全研究員肖偉分享的《Qemu-kvm和ESXi虛擬機逃逸實例分享》，或許也同他一起，看到了雲環境下漏洞威力的冰山一角。

360 VulcanTeam漏洞挖掘與利用高級專家、虛擬化安全研究員：肖偉

雲環境裏的一大核心技術就是虛擬化，它具備將單一的硬件資源抽象成可細粒度調配的虛擬硬件資源池的魔法，但這個魔法在遇到漏洞時，卻會被擊潰乃至反噬。

Qemu-kvm和ESXi作爲目前雲計算領域廣泛使用的系統框架，面對虛擬化逃逸，依然不能倖免。演講裏，肖偉談到了Qemu-kvm的越界讀寫漏洞和ESXi的堆溢出漏洞，還有這兩個漏洞的利用方法。有趣的是，在去年“天府杯”國際網絡安全大賽中，360 Vulcan Team戰隊就是13秒極速攻破Ubuntu+qemu-kvm，一戰登上榜首，也讓衆多網安人對於其中的漏洞好奇不已。此次從漏洞成因到漏洞利用和Demo的公開，可以說是驚喜滿滿。

鑑於虛擬機與宿主機之間的依存環境,攻擊者利用漏洞完成虛擬機逃逸後，可以通過共享內存的方式完成通信,從而實現在虛擬機中對宿主機的控制。

數年來，僅Qemu中虛擬設備的漏洞數量就達到了數百個，以虛擬機逃逸爲代表的雲端威脅成爲了攻防對抗的重要戰場，肖偉的分享應該也給相關廠商再次敲響了警鐘。

既然談到了漏洞，那不得不想到去年Google的史上最高獎金，正是被“梯雲縱”漏洞收入囊中，而幕後的功臣則是龔廣負責的360 Alpha Lab。

儘管移動安全頻頻暴雷，但Google親自操刀的Pixel手機一直以來都被公認爲“最難被攻破”的手機，不僅擁有最新的緩解措施以及補丁，甚至於在Mobile Pwn2Own上也數年未被破解。然而，360 Alpha Lab在Pixel手機裏發現的一組具有持久性的全鏈遠程代碼執行漏洞，宣告了Pixel 3的失陷。

360 Alpha Lab負責人：龔廣

值得關注的是，龔廣在今天的技術日上首次公開了梯雲縱技術細節（必須看個視頻回放）。

一直以來，移動設備所具有的開放性、結構複雜性等特點使其面臨更多的安全威脅，而設備往往又處於IT/安全人員不可控的環境中運行，衆多因素都導致移動設備淪爲攻擊的靶子。當Pixel也被攻破，我們對於其他移動設備的安全問題的擔憂進一步提升。

不過，對於龔廣來說，Root更像是一場精妙的密室逃脫。他曾六次攻破安全設備，現場更是直接演示遠程Root Pixel手機，同時，也分享了他對安卓設備的遠程攻擊的看法：即移動設備面臨的相鄰網絡攻擊和“零點擊”相鄰網絡攻擊的發展和危害。

都說十年Android，十年漏洞史，關於移動/安卓設備的安全話題還將繼續……

隨着越來越多大玩家入局，高級持續性威脅APT已然從一個“生僻詞”轉變爲媒體筆下常客。

不管是挑戰美國種族歧視的匿名者黑客組織，還是三年間入侵570家電商網站的Keeper、疫情期間對我國醫療機構趁火打劫的印度APT，都在挑戰企業乃至國家的安全底線。而在複雜的地緣政治背景下，有着國家背景的APT組織，也在瞄準我國關鍵基礎設施進行隱蔽的攻擊活動。

在ISC 2020戰略日的演講上，周鴻禕提到“數字孿生時代，整個世界的基礎都架構在軟件之上，一旦發生網絡攻擊，其影響力更甚核彈。”而網絡戰攻擊的主力軍就是——APT組織。

在資深網絡安全專家、360高級威脅研究院副院長宋申雷的分享裏，我們也能感受，數字時代下，“看不見”威脅全貌、缺乏應對威脅之良策、還有APT攻擊者無所不用其極的攻擊戰術，都會是網絡安全致命的威脅。

資深網絡安全專家、360高級威脅研究院副院長：宋申雷

事實上，江湖人稱“茄子”的宋申雷，直面強大的有組織性的APT對手已久。幾年來，多次對APT組織進行關聯、溯源、定性，形成追蹤、報告，最後實現全貌挖掘的經歷，讓他不僅知防也能知“攻”。

一方面，藉助海量安全數據、人工智能分析和專家團隊產生的高級威脅情報進行威脅狩獵、發現APT攻擊，從而全面瞭解對手。另一方面，由於APT組織的行動往往少不了武器庫的加持，因此0day漏洞等高級威脅漏洞的發現也至關重要。最後，宋申雷還分享了“威脅情報金字塔的奧祕 ”——TTPS和IOCS形成映射，成爲真正的威脅情報。

和大玩家相比，“幕後玩家”帶來的威脅同樣隱蔽且危害性高。

我在明，敵在暗，攻防不對等的觀點由來已久。隨着網絡空間和現實物理空間的逐步融合，威脅不斷加劇且攻擊成本降低，與之相對的是防禦的難度上升、成本越來越高。簡單來說：防守方需要守住面（多達百億的聯網設備），而攻擊者只需要攻擊點（一個薄弱點）。甚至於一般情況下，60％的防守方要等到幾個月後才能偵測到對手入侵的痕跡。

因此，在360政企安全集團諾亞實驗室總經理洪宇看來，“攻擊一定會發生，且攻擊一定會成功！”

360政企安全集團諾亞實驗室總經理：洪宇

面對難以追蹤的對手，不斷進化的威脅，需要“攻方視角下的實網攻防來彌補先天條件下的攻防不對等。洪宇表示，實網攻防是一種逆向思維，更注重驗證結果。當嘗試從結論逆推方案，從發現問題切入，可以給出更合適的解決方案，持續提升能力，從而持續提高企業安全建設能力。

由於文章篇幅有限，只簡單地和大家聊這幾個議題，但安全很大，仍需要更多的關注。

就像老周說的，數字孿生時代，沒有安全的頂層設計和方法論，我們面臨的將是數字裸奔。而買了產品就可以保證網絡高枕無憂，無疑是一個老舊的謊言，企業必須構建安全能力的框架體系，建立自己的運營體系，才能根本上解決安全的問題。

不管是雲環境下的漏洞管理與研究，還是移動設備面臨的重重威脅，抑或是攻防對抗與威脅狩獵，這些議題都是數字孿生下的一個個縮影，只有將它們聯結起來，依靠頂層的安全邏輯進行框架設計、落地，纔是真正的對抗達網絡攻擊摩克利斯之劍的安全之盾。

八年前的老周說：“我有一個夢想，要辦屬於中國人自己的網絡安全大會。”

八年後的ISC在實現夢想基礎上升級爲“永不閉幕”，這場大會還會向外界傳遞和輸出什麼？

ISC 2020的活動仍在繼續，會議內容和反響會告訴我們答案。

相關文章