ASRC2017生态大会，收获与启程

2017年4月1日，好雨时节艳阳斜，诗画西溪聚英杰，阿里安全响应中心主办的ASRC 2017 生态大会于杭州西溪宾馆隆重召开。

从去年ASRC2016白帽大会到现在的生态大会，ASRC过去一年收获了许多新的伙伴，包括多位低调的白帽、新生的SRC力量和专业务实的三方团队与企业，感谢一路有你们！

 

在3.31下午举办的白帽沙龙上，阿里巴巴首席风险官CRO刘振飞先生发表致辞感谢长久以来ASRC白帽伙伴们对阿里安全的大力支持。

阿里巴巴正努力建设未来的世界第五大经济体，阿里安全覆盖的业务除了自身拥有上亿用户的众多业务及收购业务，还有覆盖千万商家与合作伙伴的生态。白帽子们帮助解决的每一个问题都可能助力数亿用户的安全。

阿里安全也拥有国内顶尖的红蓝军队伍，在攻防领域有很深沉淀，他们许多人从前也是白帽群体，如今来到阿里安全与公司一起成长壮大，不变的是技术上的认真与执着。

振飞最后再次对白帽及合作伙伴们表示感谢，并为年度前六白帽及情报之星颁发了荣誉证书，恭喜羊小弟、Z、Mosuan、jjboom、Sven、Jutaz、单行！

 

让我们将视线转回4.1大会现场，大会举办地西溪宾馆风景如画，早晨前来签到的小伙伴们络绎不绝。

 

 

 

 

 

 

早上9时15分大会正式开启，首先登场分享的是阿里巴巴集团技术副总裁杜跃进博士（花名：今亮），他带来了《构建适应新形势的安全响应体系》。

杜博士从99年开始参与整理国家层面事件应急响应所需要的技术能力、平台和应急响应体系，02年主导CNCERT/CC初步建立了全国的合作体系。他指出，在自己的技术能力不断提升之后，响应速度会更快，范围快，但是在事件的协调处置层面完全需要合作，靠自己是不行的。

SRC已成为甲方的一个必备组织，如今的新形势下生态庞大，各方之间的关系非常复杂，一个环节出错就可能导致整个生态链的安全发生重大危机。蓝军演练了一千次就安全了吗？还有许多不同手法不同能力不同角度的蓝军，而且如今攻击很多都是跨域的多重跳转，唯有组织合作可以更快速的、更大范围地进行高效响应，所有的甲方都应该成立一个自己的SRC来做这样的事情。

我们在新形势下有可能构建一个和以前不一样的SRC生态圈，把生态扩充到更加丰富物种的闭环的生态，促成各种联合，就有可能让我们整个生态的安全响应能力得到一个本质的提升。

 

激动人心的第二个环节开启，白帽及生态合作伙伴颁奖！恭喜羊小弟、Z、Mosuan分别获得了年度前三名十万、八万、五万元的大奖！我们请到颁奖嘉宾杜博士为他们颁发现金支票！

恭喜网络尖刀荣获1个月度钻石、2个月度黄金、多个月度白银及青铜团队称号奖励！他们的奖励总数惊人，为阿里安全生态做出了卓越贡献！恭喜SaintSec、魔方安全、233SEC、湖南金盾、北斗团队、单行网络分别获得白银及青铜团队称号！我们请到颁奖嘉宾阿里巴巴资深安全专家侯客为他们颁发荣誉证书及奖杯！

 

恭喜网络尖刀团队获得年度卓越生态合作伙伴团队称号！恭喜魔方安全、四叶草安全、PKAV、pax.mac、MS509、安全脉搏、T-safe、SaintSec、湖南金盾、单行网络和北斗获得年度优秀生态合作伙伴团队称号！我们请到颁奖嘉宾阿里巴巴高级安全专家汇丰为他们颁发荣誉证书！

恭喜长亭科技、硬土壳安全、安恒研究院、永信至诚、君立华域和江南天安获得年度优秀合作伙伴称号！我们请到颁奖嘉宾阿里巴巴高级安全专家永良为他们颁发荣誉证书！

 

奖励缤纷，ASRC新年又将有什么计划呢？贤唐接下来带来了《2017 ASRC工作计划》。从2013年10月平台上线到如今，ASRC已经走过了3个半年头，平台奖励从月度定额小礼品回馈、线上商城自由兑换实物、漏洞奖励翻6倍、天猫卡兑换推出到现在的自由现金兑换，每一步都是一个新的里程碑。

2017财年（2016.4-2017.3）ASRC的有效提交白帽比去年多了33%，有许多优秀的个人、团队和公司与我们展开了合作尝试一起解决阿里生态安全的问题，生态合作伙伴众测就是专注于发现阿里巴巴集团生态合作伙伴高危风险的专项活动。

会上ASRC还发布阿里巴巴开源软件漏洞收集计划，收集github上阿里巴巴项目组下的重要开源软件的漏洞，包括Weex、RocketMQ、Atlas、Tengine、Dubbo、ALiSQL、Oceanbase、Egg、FastJson、Jstorn、Freeline、AndFix的各类安全问题，发现此类开源软件漏洞危害较大的漏洞极易获得额外奖励！

新财年我们会发布新的漏洞奖励标准、新的威胁情报收集标准，继续雷峰互联网安全沙龙全国行及高校行，另外ASRC已发力开启国际化进程，建立国际安全生态圈，解决业务全球化风险，并殷切希望有国际化意向的同仁精诚合作、携手向前。

 

接下来是黑科技环节，阿里巴巴资深安全专家-IOT安全研究负责人侯客为大家现场演示远程破解智能摄像头，展示了只要网络可达的情况下可以远程任意替换智能摄像头画面的效果，相关技术实际上已经远程控制了摄像头可以实现任意操作。侯客在随后的访谈中表示，守护物联网安全对广大安全人士来说义不容辞，今天发现的问题只是为了能引起大家对这个领域的重视。我们希望能联合更多安全研究力量，站在更高的高度用体系化的方案解决物联网安全隐患，在未来IOT安全领域撑起一片蓝天打造一片净土。

 

在展示了物联网安全面临的风险后，安恒信息高级副总裁袁明坤先生为我们带来了《RSA2017-遇见物联网安全的初音未来》。

前几日刚出的一份报告预测，到2030年将形成7万亿美金规模的物联网芯片市场，相当于70个谷歌的2016年营收，前景惊人。今年RSA中对物联网的关注度呈爆发性增长，物联网安全是今年RSA大会上的热点，这和去年发生的整垮大半个美国互联网的DDOS攻击有关。当前受到业界最关注的三个物联网安全领域分别是车联网、智慧医疗和智能家居，而这几个行业都极易受到攻击，包括来自供应商合作伙伴的安全风险、勒索软件的严重危害、旧凭证的滥用、信道传输劫持、后门利用窃听等，有多家厂商如ZingBox等提出了针对性的资产管理方案、安全加密方案、安全评价体系等，安恒信息也建设了一套物联网态势感知平台。

大会上安恒信息正式发布物联网漏洞库（IOTSRC），地址暂时为http://iot.thorsrc.cn，恭喜一个新的SRC又诞生了！IOTSRC的目标是搜集物联网行业漏洞，建立漏洞库，提炼出专注于物联网行业的威胁情报，汇聚技术资源建立安全规范形成测试工具。目前IOTSRC还处在尝试性洽谈阶段，已有十几家物联网厂商初步达成意向。

 

威胁情报热度已久，但是真正将其有效落地的不多，最后出场的是来自烽火台威胁情报联盟、天际友盟CEO杨大路先生为我们带来《烽火台威胁情报联盟安全情报共享机制》。

从国际上来看，安全情报共享已上升到国家比较高的高度。在 RSA上我们看到美国厂商也发起了CTA情报联盟，主要是厂商间的数据交换。大家认为和安全不太相关的像因特尔之类的厂商都在这个联盟里面，他们交换的数据涵盖的比较多，比较有特点的是把金融交易的风险数据也进行了共享和交换，包括黑卡，黑信用卡的信息等等。

在国内，我们发起并联系了国内12家公司形成烽火台威胁情报联盟，在情报的基础数据以及情报本身做了交换和尝试。我们一般共享的情报包括资产情报、漏洞情报、威胁情报、事件情报，还有一些安全措施、安全需求甚至业务战略方面的情报共享。情报共享必然涉及标准，国际上有STIX和 TAX2都可以参考。

烽火台威胁情报联盟的每一个成员都需要提供数据或者情报，通过联盟运营的情报平台进行成员数据或者情报的交换和共享，并把联盟成员之间的产品、技术以情报的方式做一些打通，联盟也已输出整体解决方案1.0版本来梳理从情报的生产、共享、交换、分析、整合到输出的过程，指导客户和用户如何使用威胁情报。

联盟的核心就是把情报从各个地方数据汇集起来，产生情报，然后再共享给需要情报的伙伴，包括IBM、启明等都在用，通过联盟的平台，用户能更好地看见、看懂、应对相关的威胁情报信息。

 

ASRC2017生态大会傍晚，华东论剑-暨华东网络安全节专场小聚在西溪湿地一处幽静的小屋-“好久不见”-进行，二十多位来自天南海北的安全圈资深大咖们齐聚一堂，畅聊人生与理想、生活与事业，这是一次“听说观想轻挥扇、有诗有茶有精酿”的好友聚会，众人畅谈到深夜12点仍意犹未尽，在月光中迎着西溪湿地的晚风悄然落幕，ASRC2017生态大会正式结束。

美好的时光总是特别短暂，我们收获过去，并已准备好迎接未来，2017年ASRC愿有更多的合作伙伴与我们携手向前，也感谢所有一直支持我们的伙伴们，我们明年再聚！