Karen Epper Hoffman

專家們發(fā)現(xiàn)了威脅新趨勢(shì)，對(duì)新出現(xiàn)并不斷增長(zhǎng)的威脅發(fā)出了警告，包括安全對(duì)軟件開發(fā)的影響以及社交媒體造成的越來越多的威脅。

“黑帽大會(huì)”不僅揭示了當(dāng)前困擾企業(yè)的IT安全問題，而且也揭示了即將影響人員和企業(yè)的新問題。今年8月在拉斯維加斯曼德勒灣舉行的最新一次“黑帽”活動(dòng)中，業(yè)界專家就網(wǎng)絡(luò)犯罪分子越來越大的野心，IT安全專業(yè)人員怎樣應(yīng)對(duì)沒完沒了、猖狂的攻擊浪潮發(fā)表了自己的見解。本文介紹演講人員和與會(huì)者討論的一些趨勢(shì)：

1.安全開發(fā)是軟件開發(fā)

在黑帽主題演講中，Square公司的移動(dòng)安全主管Dino Dai Zovi介紹了安全開發(fā)怎樣融入到軟件開發(fā)中。Dai Zovi認(rèn)為，在增強(qiáng)企業(yè)內(nèi)部安全影響方面，可以遵循三個(gè)變革原則：

1. 從要完成的工作開始倒排工作流程。

2. 尋求并應(yīng)用杠桿作用，建立反饋循環(huán)，提高軟件自動(dòng)化程度。

3. 要知道，文化總是勝過戰(zhàn)略和戰(zhàn)術(shù)。

他在主題演講中說：“安全工作涉及的范圍可能不大，但我們要解決的問題可能很重要。我們必須通過更好的軟件和更好的自動(dòng)化功能，更聰明地工作，而不僅僅是埋頭苦干?！标P(guān)于自動(dòng)反饋循環(huán)的重要性，Dai Zovi說：“我們一定要建立這方面的機(jī)制，只有更緊密的反饋循環(huán)才能讓我們獲勝。我們必須提供可觀測(cè)的安全服務(wù)，這樣你就能知道保護(hù)是否起作用了，而且還可以執(zhí)行異常檢測(cè)。當(dāng)攻擊者進(jìn)行探測(cè)、學(xué)習(xí)、攻擊，最終成功時(shí)，我們必須能發(fā)現(xiàn)他們?！?/p>

同樣，安全部門應(yīng)明確開展什么工作——與內(nèi)部部門交流，理解他們的工作，他們打算做什么，什么會(huì)導(dǎo)致矛盾，什么讓工作輕松了。他們什么時(shí)候以及為什么與安全部門交互？在提供安全解決方案時(shí)，要理解他們的“雇傭”標(biāo)準(zhǔn)是什么（以及解雇標(biāo)準(zhǔn)），對(duì)此，可以為當(dāng)前的需求建立敏捷方法，而不是花時(shí)間覆蓋可用可不用甚至不實(shí)用的安全原則。

Dai Zovi說：“這就形成了一種文化變革。人們工作起來就會(huì)合作的更好，更加相互理解。軟件工程部門會(huì)編寫安全特性，然后主動(dòng)與安全部門討論并尋求建議。我們希望發(fā)展風(fēng)險(xiǎn)共擔(dān)的共生文化。這涉及到每個(gè)人。如果你在每一部門中都樹立起安全責(zé)任，那么相對(duì)于安全只是安全人員的責(zé)任而言，就會(huì)更容易開展工作?！?/p>

2.生物特征識(shí)別身份驗(yàn)證并非絕對(duì)可靠

在一次頗受歡迎的黑帽會(huì)議上，中國(guó)騰訊安全玄武實(shí)驗(yàn)室的科學(xué)家們展示了他們可以用一副商店購買的普通眼鏡來騙過生物特征識(shí)別身份驗(yàn)證。生物特征識(shí)別身份驗(yàn)證是安全行業(yè)發(fā)展最快的領(lǐng)域之一，使用面部識(shí)別、指紋識(shí)別、手寫驗(yàn)證、手部幾何形狀、視網(wǎng)膜和虹膜掃描技術(shù)來識(shí)別用戶。它被認(rèn)為是對(duì)雙重身份驗(yàn)證的改進(jìn)，后者容易受到暴力攻擊、網(wǎng)絡(luò)釣魚或者第三方登錄過程的攻擊。

計(jì)算機(jī)科學(xué)家們創(chuàng)造了一種他們稱之為“活力檢測(cè)”的技術(shù)，實(shí)際上用來確定用戶是活著的，而不是一副照片。該算法綜合了人類身體特征的幾種組合，共同決定了出現(xiàn)的個(gè)體是否是活著的，從而對(duì)抗那些試圖通過向系統(tǒng)注入大量偽造生物特征來繞過防御系統(tǒng)的冒名頂替者。玄武實(shí)驗(yàn)室主持人研究員HC Ma介紹說：“以前的研究主要集中在怎樣生成假音頻和假視頻，但是對(duì)于真正的攻擊而言，非常有必要研究怎樣繞過活力檢測(cè)算法?！?/p>

玄武實(shí)驗(yàn)室研究員HC Ma在他的黑帽演示中，向全神貫注的觀眾們展示了他和他的團(tuán)隊(duì)怎樣使用一副經(jīng)過改裝的廉價(jià)眼鏡來欺騙智能手機(jī)上的面部識(shí)別軟件，并將其解鎖。Ma和他的團(tuán)隊(duì)使用黑白膠帶來處理用戶眼睛圖像的照片，然后將其貼到一副“普通”的老花鏡上，放在一個(gè)熟睡的受害者的臉上，從而繞過FaceID識(shí)別。Ma預(yù)計(jì)，這種針對(duì)高科技安全的“低技術(shù)”解決方案還會(huì)不斷出現(xiàn)。

3.社交媒體是傳播惡意軟件、收集受害者信息的平臺(tái)

無論是Facebook、Twitter、Instagram還是LinkedIn，社交媒體已經(jīng)成為很多人日常工作和家庭生活的一部分。對(duì)此，網(wǎng)絡(luò)犯罪分子愈發(fā)把社交媒體平臺(tái)視為傳播網(wǎng)絡(luò)釣魚攻擊和惡意軟件的一種手段，視為是收集有關(guān)高知名度受害者（例如，公司高管）信息的地方，這些信息可用于網(wǎng)絡(luò)欺詐、網(wǎng)絡(luò)釣魚或者其他定制的攻擊。

社交媒體作為操縱、信息收集和自動(dòng)發(fā)起攻擊的手段，是黑帽至少兩次會(huì)議的焦點(diǎn)。據(jù)網(wǎng)絡(luò)安全公司Bromium稱，僅社交媒體平臺(tái)每年就造成了價(jià)值超過32億美元的網(wǎng)絡(luò)犯罪。事實(shí)上，政客和民族國(guó)家已經(jīng)通過社交網(wǎng)絡(luò)控制了輿論。

社交媒體不僅會(huì)持續(xù)影響選舉和政治活動(dòng)，還會(huì)影響企業(yè)的身份和聲譽(yù)。根據(jù)薩里大學(xué)犯罪學(xué)高級(jí)講師Mike McGuire為期六個(gè)月的研究，Bromium的《社交媒體平臺(tái)和網(wǎng)絡(luò)犯罪經(jīng)濟(jì)》報(bào)告預(yù)測(cè)，社交媒體是一個(gè)理想的“全球惡意軟件分發(fā)中心”，20%的企業(yè)是通過社交媒體網(wǎng)站被感染的。

在美國(guó)，社交媒體造成的網(wǎng)絡(luò)犯罪的報(bào)告從2015年到2017年翻了三倍多，而在英國(guó)，社交媒體犯罪率從2013年到2018年翻了兩番。4/10的惡意軟件感染與惡意廣告有關(guān)，而3/10來自惡意插件和應(yīng)用程序。挖礦劫持是另一種流行的社交媒體網(wǎng)絡(luò)威脅，2017年至2018年，被密碼挖掘惡意軟件感染的企業(yè)數(shù)量翻了一番。

問題在于：幾乎不可能禁止員工使用社交媒體——看看自己的Facebook、登錄LinkedIn、看看孩子們?cè)贗nstagram上發(fā)布了什么，尤其是當(dāng)他們?cè)诠ぷ髦惺褂脗€(gè)人移動(dòng)設(shè)備時(shí)。此外，社交媒體可以是實(shí)用而且重要的商業(yè)平臺(tái)，特別是對(duì)于銷售、營(yíng)銷和人力資源。因此，禁止使用社交媒體是行不通的。

4.黑客技術(shù)既能行善也能作惡

大多數(shù)人聽到“黑客”就想到了“壞人”。正如大多數(shù)網(wǎng)絡(luò)安全專業(yè)人士所知道的，不僅有白帽黑客利用他們的專長(zhǎng)來查出壞人和犯罪瀆職行為，還有人利用他們的黑客技術(shù)為社會(huì)甚至企業(yè)謀利益。

在最近的黑帽會(huì)議上，哈佛大學(xué)伯克曼克萊恩互聯(lián)網(wǎng)與社會(huì)中心的資深安全專家、作家、博主、顧問、研究員兼講師Bruce Schneier提出了“為善的黑客”這一觀點(diǎn)，即為了公眾利益而從事黑客活動(dòng)。

Schneier與電子前沿基金會(huì)（ETF，Electronic Frontier Foundation）網(wǎng)絡(luò)安全主管Eva Galperin和Graphika研究與分析主管Camille Francois一起參加了一個(gè)名為“為更善而黑客：技術(shù)人員讓數(shù)字社會(huì)更美好”的研討小組。這三位發(fā)言者都就他們的企業(yè)以及網(wǎng)絡(luò)安全生態(tài)系統(tǒng)中的其他參與方怎樣促進(jìn)正面的黑客攻擊，鼓勵(lì)網(wǎng)絡(luò)安全專業(yè)人員將其才能用于公共利益發(fā)表了意見。

Galperin說：“隨著時(shí)間的推移，EFF的積極作用逐漸展現(xiàn)出來。我們現(xiàn)在對(duì)形勢(shì)有了更細(xì)致的看法?！盓FF在跟蹤軟件、網(wǎng)絡(luò)對(duì)家庭暴力的影響，以及政府和企業(yè)怎樣利用互聯(lián)網(wǎng)收集信息和宣傳營(yíng)銷方面發(fā)揮著主導(dǎo)作用。Schneier說：“我們習(xí)慣于對(duì)抗性研究這一概念。從事公共利益活動(dòng)深深植根于文化之中。我們希望它能更廣泛的傳播到技術(shù)領(lǐng)域?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3433558/4-takeaways-from-black-hat-2019.html