2019黑帽大会四大看点

Karen Epper Hoffman

专家们发现了威胁新趋势，对新出现并不断增长的威胁发出了警告，包括安全对软件开发的影响以及社交媒体造成的越来越多的威胁。

“黑帽大会”不仅揭示了当前困扰企业的IT安全问题，而且也揭示了即将影响人员和企业的新问题。今年8月在拉斯维加斯曼德勒湾举行的最新一次“黑帽”活动中，业界专家就网络犯罪分子越来越大的野心，IT安全专业人员怎样应对没完没了、猖狂的攻击浪潮发表了自己的见解。本文介绍演讲人员和与会者讨论的一些趋势：

1.安全开发是软件开发

在黑帽主题演讲中，Square公司的移动安全主管Dino Dai Zovi介绍了安全开发怎样融入到软件开发中。Dai Zovi认为，在增强企业内部安全影响方面，可以遵循三个变革原则：

1. 从要完成的工作开始倒排工作流程。

2. 寻求并应用杠杆作用，建立反馈循环，提高软件自动化程度。

3. 要知道，文化总是胜过战略和战术。

他在主题演讲中说：“安全工作涉及的范围可能不大，但我们要解决的问题可能很重要。我们必须通过更好的软件和更好的自动化功能，更聪明地工作，而不仅仅是埋头苦干。”关于自动反馈循环的重要性，Dai Zovi说：“我们一定要建立这方面的机制，只有更紧密的反馈循环才能让我们获胜。我们必须提供可观测的安全服务，这样你就能知道保护是否起作用了，而且还可以执行异常检测。当攻击者进行探测、学习、攻击，最终成功时，我们必须能发现他们。”

同样，安全部门应明确开展什么工作——与内部部门交流，理解他们的工作，他们打算做什么，什么会导致矛盾，什么让工作轻松了。他们什么时候以及为什么与安全部门交互？在提供安全解决方案时，要理解他们的“雇佣”标准是什么（以及解雇标准），对此，可以为当前的需求建立敏捷方法，而不是花时间覆盖可用可不用甚至不实用的安全原则。

Dai Zovi说：“这就形成了一种文化变革。人们工作起来就会合作的更好，更加相互理解。软件工程部门会编写安全特性，然后主动与安全部门讨论并寻求建议。我们希望发展风险共担的共生文化。这涉及到每个人。如果你在每一部门中都树立起安全责任，那么相对于安全只是安全人员的责任而言，就会更容易开展工作。”

2.生物特征识别身份验证并非绝对可靠

在一次颇受欢迎的黑帽会议上，中国腾讯安全玄武实验室的科学家们展示了他们可以用一副商店购买的普通眼镜来骗过生物特征识别身份验证。生物特征识别身份验证是安全行业发展最快的领域之一，使用面部识别、指纹识别、手写验证、手部几何形状、视网膜和虹膜扫描技术来识别用户。它被认为是对双重身份验证的改进，后者容易受到暴力攻击、网络钓鱼或者第三方登录过程的攻击。

计算机科学家们创造了一种他们称之为“活力检测”的技术，实际上用来确定用户是活着的，而不是一副照片。该算法综合了人类身体特征的几种组合，共同决定了出现的个体是否是活着的，从而对抗那些试图通过向系统注入大量伪造生物特征来绕过防御系统的冒名顶替者。玄武实验室主持人研究员HC Ma介绍说：“以前的研究主要集中在怎样生成假音频和假视频，但是对于真正的攻击而言，非常有必要研究怎样绕过活力检测算法。”

玄武实验室研究员HC Ma在他的黑帽演示中，向全神贯注的观众们展示了他和他的团队怎样使用一副经过改装的廉价眼镜来欺骗智能手机上的面部识别软件，并将其解锁。Ma和他的团队使用黑白胶带来处理用户眼睛图像的照片，然后将其贴到一副“普通”的老花镜上，放在一个熟睡的受害者的脸上，从而绕过FaceID识别。Ma预计，这种针对高科技安全的“低技术”解决方案还会不断出现。

3.社交媒体是传播恶意软件、收集受害者信息的平台

无论是Facebook、Twitter、Instagram还是LinkedIn，社交媒体已经成为很多人日常工作和家庭生活的一部分。對此，网络犯罪分子愈发把社交媒体平台视为传播网络钓鱼攻击和恶意软件的一种手段，视为是收集有关高知名度受害者（例如，公司高管）信息的地方，这些信息可用于网络欺诈、网络钓鱼或者其他定制的攻击。

社交媒体作为操纵、信息收集和自动发起攻击的手段，是黑帽至少两次会议的焦点。据网络安全公司Bromium称，仅社交媒体平台每年就造成了价值超过32亿美元的网络犯罪。事实上，政客和民族国家已经通过社交网络控制了舆论。

社交媒体不仅会持续影响选举和政治活动，还会影响企业的身份和声誉。根据萨里大学犯罪学高级讲师Mike McGuire为期六个月的研究，Bromium的《社交媒体平台和网络犯罪经济》报告预测，社交媒体是一个理想的“全球恶意软件分发中心”，20%的企业是通过社交媒体网站被感染的。

在美国，社交媒体造成的网络犯罪的报告从2015年到2017年翻了三倍多，而在英国，社交媒体犯罪率从2013年到2018年翻了两番。4/10的恶意软件感染与恶意广告有关，而3/10来自恶意插件和应用程序。挖矿劫持是另一种流行的社交媒体网络威胁，2017年至2018年，被密码挖掘恶意软件感染的企业数量翻了一番。

问题在于：几乎不可能禁止员工使用社交媒体——看看自己的Facebook、登录LinkedIn、看看孩子们在Instagram上发布了什么，尤其是当他们在工作中使用个人移动设备时。此外，社交媒体可以是实用而且重要的商业平台，特别是对于销售、营销和人力资源。因此，禁止使用社交媒体是行不通的。

4.黑客技术既能行善也能作恶

大多数人听到“黑客”就想到了“坏人”。正如大多数网络安全专业人士所知道的，不仅有白帽黑客利用他们的专长来查出坏人和犯罪渎职行为，还有人利用他们的黑客技术为社会甚至企业谋利益。

在最近的黑帽会议上，哈佛大学伯克曼克莱恩互联网与社会中心的资深安全专家、作家、博主、顾问、研究员兼讲师Bruce Schneier提出了“为善的黑客”这一观点，即为了公众利益而从事黑客活动。

Schneier与电子前沿基金会（ETF，Electronic Frontier Foundation）网络安全主管Eva Galperin和Graphika研究与分析主管Camille Francois一起参加了一个名为“为更善而黑客：技术人员让数字社会更美好”的研讨小组。这三位发言者都就他们的企业以及网络安全生态系统中的其他参与方怎样促进正面的黑客攻击，鼓励网络安全专业人员将其才能用于公共利益发表了意见。

Galperin说：“随着时间的推移，EFF的积极作用逐渐展现出来。我们现在对形势有了更细致的看法。”EFF在跟踪软件、网络对家庭暴力的影响，以及政府和企业怎样利用互联网收集信息和宣传营销方面发挥着主导作用。Schneier说：“我们习惯于对抗性研究这一概念。从事公共利益活动深深植根于文化之中。我们希望它能更广泛的传播到技术领域。”

原文网址

https：//www.csoonline.com/article/3433558/4-takeaways-from-black-hat-2019.html