2023年2月25日，第三届SSRC HACKING PARTY在深圳蛇口圆满举办！SSRC白帽英雄们集结湾区深圳蛇口May Town梦工厂，一起开FUN话攻防。大会议题分为【前沿攻防】、【端的攻防】和【行业攻防】三个板块，共邀请了5位来自业界的资深安全技术讲师来进行分享。

活动特别邀请了深蓝攻防实验室攻防渗透专家、《域渗透攻防指南》作者谢公子作为技术主播，在B站上同步直播。

来到现场的有知名企业安全技术负责人、攻防负责人，还有来自民间各大身怀绝技的白帽团队，现场处处充满对不同领域安全技术的热烈讨论。

议题分享 

赛博昆仑研究员 BGT

《iOS系统攻防——从经典漏洞剖析深入理解Mach IPC》

“学习别人的漏洞，最重要是总结。”

BGT分享了过去一年多，在研究苹果内核中IPC机制的发现，以及其发现漏洞的经验。

BGT用两个经典漏洞——谷歌P0和MOSEC 2021年的漏洞，展开后续十多个漏洞的发现思路和规律总结。

“我分享的东西可能比较抽象，但我更想传达我在研究XNU时候的思路，以及沿着这个思路找到的一些漏洞，从这些漏洞中又能够学习到一些新知识。”

顺丰科技红队 Kara4search

《无感潜伏之EDR内核层对抗》

“实战中不一定是把EDR干掉最好。”

作为知名企业红队，Kara4search深知EDR在实战中的重要位置，从EDR的组成，到进入内核，到攻击内核，重点分享了针对EDR内核层的攻防。

“众所周知，企业的安全离不开EDR，从杀软到EDR数十年的攻击方式和手段都在不断进化，针对EDR的攻防迭代也在不断演变，我的个人见解是实战中不一定是把EDR干掉最好，最理想的情况是了解一整套架构，干掉内核监控，保留AGENT。”

深信服深蓝攻防实验室 Su1Xu3

《无感攻防之EDR核心检测引擎ETW》

“世上没有绝对的安全，不过是成本的对抗。”

来自打过多场实战攻防演练、拿过多次冠军的深蓝攻防实验室，Su1Xu3从一个攻防小故事切入，引入用了EDR中核心检测引擎ETW的价值，先是剖析了架构：ETW有三个组件，分别是提供者、控制者和消费者，再从中分析它所面临的安全问题及攻击者的攻击方式。

最后，Su1Xu3分享了一个EDR几个常用的检测引擎的总结表格，常用的有用户HOOK、内核回调、内核过滤器、ETW系列。

“所以在我看来，一个好的检测引擎，一个好的EDR必定是这四种检测方法都有，包括国内的厂商也跟进了，深信服EDR也用到了这些。

我有一句很喜欢的话送给大家，‘世上没有绝对的安全，不过是成本的对抗’，终归是你强我弱，我变强你变弱，就像猫抓老鼠一样，是永远都结束不了的。”

2022年教育系统网络安全攻防演练红队TOP1 远海

《教育行业安全风险与攻防对抗实践》

“安全不仅仅只是高校单位一家的责任，高校在建立体系化防守的同时，厂商也应该去完善自身的产品安全。”

远海在2022年教育系统网络安全攻防演习中扮演攻击队的角色取得了第一的成绩，并且在教育行业漏洞报告平台连续三年获得年度漏洞提交榜第一名，结合自己的实战经验，远海从教育行业安全风险、攻防对抗实践和高校网络安全防御方案，三个方面做了分享。

“从目前攻击手段上可以很明显地看出，其大部分问题都出在第三方厂商开发的应用系统上，甚至可以不用过度关注目标高校单位的资产信息，只需要从一些软件开发商入手就能实现贯穿。

高校在建立体系化防守的同时，厂商也应该去完善自身的产品安全，如开启众测借助外力完善产品安全，明确开发规范等措施。”

深信服深瞻情报实验室 Barry

《MICTIC网络攻击溯源模型与案例分析》

“溯源本质上是一个了解攻击者的过程，对攻击者了解的越多，防御就越容易做，细节决定成败。”

来自深瞻情报实验室，专门研究高级威胁的威胁猎捕和取证调查的Barry带领我们从一个事件调查员的角度，分享当企业面对真实网络攻击事件，尤其是疑似定向网络攻击的事件时，如何进行溯源。

从网络攻击溯源的概念，到当前国际上比较主流的 MICTIC 溯源模型和它的扩展介绍，最后通过一定的案例分析，Barry为我们全面展示了思考溯源的思路和框架。

“溯源不是一个 100%的确认，而是一个有前提，有高中低置信度的推断。MICTIC 模型及扩展提供了一个多角度思考攻击溯源的基础框架，让大家在之后遇到溯源问题或者溯源报告的时候，知道有哪些角度可以去思考。” 

湾区SRC

五四青年节众测启航计划

本届SSRC HACKING PARTY安全技术大会在深圳举办，深信服也邀请到了湾区知名SRC——包括货拉拉、OPPO、顺丰科技、腾讯、微众SRC——代表来到现场，与他们联合发起五四青年节众测启航计划，希望有越来越多的技术新生力量加入SRC，壮大湾区SRC的队伍，据悉未来，湾区SRC也会联手举办更多有意义、高质量的活动，放送更多福利回馈粉丝。