2020字节跳动「安全范儿」攻防论坛于12月13日在字节跳动公司圆满落幕。本次论坛是字节跳动安全与风控团队首次举办的线下论坛,邀请阿里资深安全专家、滴滴高级安全专家以及安全界从业者齐聚一堂,分享各自安全建设的心路历程及经验。会上字节跳动无恒实验室正式成立,展示攻防研究成果。ByteDance首场线下论坛,共话安全建设本次论坛中,字节跳动安全与风控团队负责人桑立锋带来《字节跳动的安全与风控》的主题分享,首次对外公开字节跳动安全与风控整体情况,解读团队能力全景图并对安全与风控重点能力进行介绍。截止目前,字节跳的安全与风控能力已经接入了300多个业务场景,覆盖了4000多个不同的风险场景,在平台上日均拦截违规的行为超过了10亿。来自阿里巴巴基础技术研究负责人杭特的议题:《甲方企业安全研究的基本问题》,为现场的观众分析了阿里的安全研究团队的定位、价值、核心目标和思路方向。每个公司对于风险判断是不一样的,希望通过方法论的内容,为大家提供借鉴参考,找到适合自身需求的技术和路线。信息安全的攻守话题一直被关注着,ATT&CK的出现让进攻有序可寻,然而如何做到全面防守且实时防护仍在探索中。滴滴安全围绕主机安全LCA,建立了实时数据安全、反入侵攻击等防护系统,滴滴高级安全专家刘敬良通过议题《实时反入侵攻击防护系统》,层层递进的介绍威胁发现模型,并对实时威胁防护体系进行整体思考,并从四个方面来更规范流程,推动解决方案的落地。字节跳动旗下全线产品总月活超过15亿,各类产品在服务用户的同时,背后隐藏的安全问题令安全团队时刻警惕。刘志带来议题《揭秘字节跳动15亿月活背后的安全攻防团队》,介绍了字节跳动攻防实验室的核心四件事情:攻防演练、漏洞挖掘、应急响应和SDLC。解答了如何通过一系列的渗透服务和入侵演练来提升整体安全防御水位,如何通过前沿科技主动发现并降低0day漏洞的影响等一系列问题。ByteDance字节跳动无恒实验室正式成立无恒实验室是由字节跳动资深安全研究人员组成的专业攻防研究实验室,实验室成员具备极强的实战攻防能力,研究领域覆盖渗透测试、APP安全、隐私保护、IoT安全、无线安全、漏洞挖掘等多个方向。实验室成员为字节跳动各项业务保驾护航的同时,不断钻研攻防技术与思路,发表多篇高质量论文和演讲,发现大量影响面广的0day漏洞。无恒实验室希望以最为稳妥和负责的方式降低网络安全问题对企业的影响,同时,通过实验室的技术沉淀、产品研发,致力于保障字节跳动旗下业务与产品的用户安全,让世界更加美好更加安全!活动当天的现场,来自无恒实验室的同学通过4个演示:企业Wi-Fi破解、个人手机安全、自研白盒工具、自研App漏洞检测工具,展示了攻防实验室目前的部分成果。值得一提的是,在实验室命名之初,在团队内部征集命名,来自清华大学的实习生同学的提供的“无恒”名字,最终中标。该同学也是第一届ByteCTF参赛选手后入职实习。ByteDance字节跳动安全范儿高校挑战赛正式落幕为期2天的字节跳动高校挑战赛暨第二届ByteCTF决赛,于13日上午11点圆满落下帷幕。本次大赛,面向全日制在读同学,提供30w专项基金和20+实习offer、复试直通卡等奖励。历时3个月,共有472所高校、783支战队和3000多位同学老师参与其中。最终来自清华大学的Redbud战队获得2020年度ByteCTF第一名,字节跳动技术副总裁洪定坤为他们颁发获奖证书及奖金。来自复旦大学的Whitzard战队,获得2020年度ByteCTF第二名,北京邮电大学的天枢战队、联合高校战队HuaShuiTeam、华中科技大学的L3H-sec战队,分别获得3-5名。2020年度ByteCTF最佳指导老师由清华大学Redbud战队指导老师诸葛建伟、华中科技大学L3h-sec战队指导老师韩兰胜、北京邮电大学天枢战队指导老师崔宝江三位老师获得。在高校挑战赛的ByteHACK赛道,个人组的前三名为:四川大学的王丛双、武汉工程大学的吴佳睿、杭州电子科技大学的阳辉,团队组的前三名为:HACK平头大队、HACK御攻、Day1安全团队。获奖老师及同学赋能安全,丰富生活,字节跳动安全与风控团队将秉持该理念,继续摸索钻研,不断积淀技术能力、分享安全经验、持续加大安全人才的挖掘培养。安全之路,道阻且长,字节跳动「安全范儿」系列活动期待与各位生态伙伴一同探索更为稳妥的解决方案和最佳实践,共建良好安全生态。