2019黑帽大會四大看點

Karen Epper Hoffman

專家們發現了威脅新趨勢，對新出現并不斷增長的威脅發出了警告，包括安全對軟件開發的影響以及社交媒體造成的越來越多的威脅。

“黑帽大會”不僅揭示了當前困擾企業的IT安全問題，而且也揭示了即將影響人員和企業的新問題。今年8月在拉斯維加斯曼德勒灣舉行的最新一次“黑帽”活動中，業界專家就網絡犯罪分子越來越大的野心，IT安全專業人員怎樣應對沒完沒了、猖狂的攻擊浪潮發表了自己的見解。本文介紹演講人員和與會者討論的一些趨勢：

1.安全開發是軟件開發

在黑帽主題演講中，Square公司的移動安全主管Dino Dai Zovi介紹了安全開發怎樣融入到軟件開發中。Dai Zovi認為，在增強企業內部安全影響方面，可以遵循三個變革原則：

1. 從要完成的工作開始倒排工作流程。

2. 尋求并應用杠桿作用，建立反饋循環，提高軟件自動化程度。

3. 要知道，文化總是勝過戰略和戰術。

他在主題演講中說：“安全工作涉及的范圍可能不大，但我們要解決的問題可能很重要。我們必須通過更好的軟件和更好的自動化功能，更聰明地工作，而不僅僅是埋頭苦干。”關于自動反饋循環的重要性，Dai Zovi說：“我們一定要建立這方面的機制，只有更緊密的反饋循環才能讓我們獲勝。我們必須提供可觀測的安全服務，這樣你就能知道保護是否起作用了，而且還可以執行異常檢測。當攻擊者進行探測、學習、攻擊，最終成功時，我們必須能發現他們。”

同樣，安全部門應明確開展什么工作——與內部部門交流，理解他們的工作，他們打算做什么，什么會導致矛盾，什么讓工作輕松了。他們什么時候以及為什么與安全部門交互？在提供安全解決方案時，要理解他們的“雇傭”標準是什么（以及解雇標準），對此，可以為當前的需求建立敏捷方法，而不是花時間覆蓋可用可不用甚至不實用的安全原則。

Dai Zovi說：“這就形成了一種文化變革。人們工作起來就會合作的更好，更加相互理解。軟件工程部門會編寫安全特性，然后主動與安全部門討論并尋求建議。我們希望發展風險共擔的共生文化。這涉及到每個人。如果你在每一部門中都樹立起安全責任，那么相對于安全只是安全人員的責任而言，就會更容易開展工作。”

2.生物特征識別身份驗證并非絕對可靠

在一次頗受歡迎的黑帽會議上，中國騰訊安全玄武實驗室的科學家們展示了他們可以用一副商店購買的普通眼鏡來騙過生物特征識別身份驗證。生物特征識別身份驗證是安全行業發展最快的領域之一，使用面部識別、指紋識別、手寫驗證、手部幾何形狀、視網膜和虹膜掃描技術來識別用戶。它被認為是對雙重身份驗證的改進，后者容易受到暴力攻擊、網絡釣魚或者第三方登錄過程的攻擊。

計算機科學家們創造了一種他們稱之為“活力檢測”的技術，實際上用來確定用戶是活著的，而不是一副照片。該算法綜合了人類身體特征的幾種組合，共同決定了出現的個體是否是活著的，從而對抗那些試圖通過向系統注入大量偽造生物特征來繞過防御系統的冒名頂替者。玄武實驗室主持人研究員HC Ma介紹說：“以前的研究主要集中在怎樣生成假音頻和假視頻，但是對于真正的攻擊而言，非常有必要研究怎樣繞過活力檢測算法。”

玄武實驗室研究員HC Ma在他的黑帽演示中，向全神貫注的觀眾們展示了他和他的團隊怎樣使用一副經過改裝的廉價眼鏡來欺騙智能手機上的面部識別軟件，并將其解鎖。Ma和他的團隊使用黑白膠帶來處理用戶眼睛圖像的照片，然后將其貼到一副“普通”的老花鏡上，放在一個熟睡的受害者的臉上，從而繞過FaceID識別。Ma預計，這種針對高科技安全的“低技術”解決方案還會不斷出現。

3.社交媒體是傳播惡意軟件、收集受害者信息的平臺

無論是Facebook、Twitter、Instagram還是LinkedIn，社交媒體已經成為很多人日常工作和家庭生活的一部分。對此，網絡犯罪分子愈發把社交媒體平臺視為傳播網絡釣魚攻擊和惡意軟件的一種手段，視為是收集有關高知名度受害者（例如，公司高管）信息的地方，這些信息可用于網絡欺詐、網絡釣魚或者其他定制的攻擊。

社交媒體作為操縱、信息收集和自動發起攻擊的手段，是黑帽至少兩次會議的焦點。據網絡安全公司Bromium稱，僅社交媒體平臺每年就造成了價值超過32億美元的網絡犯罪。事實上，政客和民族國家已經通過社交網絡控制了輿論。

社交媒體不僅會持續影響選舉和政治活動，還會影響企業的身份和聲譽。根據薩里大學犯罪學高級講師Mike McGuire為期六個月的研究，Bromium的《社交媒體平臺和網絡犯罪經濟》報告預測，社交媒體是一個理想的“全球惡意軟件分發中心”，20%的企業是通過社交媒體網站被感染的。

在美國，社交媒體造成的網絡犯罪的報告從2015年到2017年翻了三倍多，而在英國，社交媒體犯罪率從2013年到2018年翻了兩番。4/10的惡意軟件感染與惡意廣告有關，而3/10來自惡意插件和應用程序。挖礦劫持是另一種流行的社交媒體網絡威脅，2017年至2018年，被密碼挖掘惡意軟件感染的企業數量翻了一番。

問題在于：幾乎不可能禁止員工使用社交媒體——看看自己的Facebook、登錄LinkedIn、看看孩子們在Instagram上發布了什么，尤其是當他們在工作中使用個人移動設備時。此外，社交媒體可以是實用而且重要的商業平臺，特別是對于銷售、營銷和人力資源。因此，禁止使用社交媒體是行不通的。

4.黑客技術既能行善也能作惡

大多數人聽到“黑客”就想到了“壞人”。正如大多數網絡安全專業人士所知道的，不僅有白帽黑客利用他們的專長來查出壞人和犯罪瀆職行為，還有人利用他們的黑客技術為社會甚至企業謀利益。

在最近的黑帽會議上，哈佛大學伯克曼克萊恩互聯網與社會中心的資深安全專家、作家、博主、顧問、研究員兼講師Bruce Schneier提出了“為善的黑客”這一觀點，即為了公眾利益而從事黑客活動。

Schneier與電子前沿基金會（ETF，Electronic Frontier Foundation）網絡安全主管Eva Galperin和Graphika研究與分析主管Camille Francois一起參加了一個名為“為更善而黑客：技術人員讓數字社會更美好”的研討小組。這三位發言者都就他們的企業以及網絡安全生態系統中的其他參與方怎樣促進正面的黑客攻擊，鼓勵網絡安全專業人員將其才能用于公共利益發表了意見。

Galperin說：“隨著時間的推移，EFF的積極作用逐漸展現出來。我們現在對形勢有了更細致的看法。”EFF在跟蹤軟件、網絡對家庭暴力的影響，以及政府和企業怎樣利用互聯網收集信息和宣傳營銷方面發揮著主導作用。Schneier說：“我們習慣于對抗性研究這一概念。從事公共利益活動深深植根于文化之中。我們希望它能更廣泛的傳播到技術領域。”

原文網址

https：//www.csoonline.com/article/3433558/4-takeaways-from-black-hat-2019.html