2022年8月6日—11日,Black Hat USA 2022在拉斯维加斯拉开帷幕。作为世界信息安全行业的最高盛会,Black Hat和其姊妹会议DEF CON久负盛名,每年都会向外界持续输送出最新的安全研究成果、创新技术以及软硬件方面的漏洞等前沿资讯,被公认为“黑客界的奥斯卡”,成为展现网络安全能力的最佳窗口之一。
众所周知,Black Hat创办于1997年,至今已经连续举办25届。在今年的Black Hat大会上,来自全球的安全厂商、企业安全负责人、安全专家、政府研究人员等汇聚一堂,着眼于当下实际的安全态势,分享前沿的安全研究、安全产品和解决方案。
其中,Black Hat主论坛从8月10日开始,各分论坛演讲总计超过80场,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。一直以来,Black Hat都有着多元化的演讲者阵容和编辑委员会,因此其演讲内容也更加多元且宽泛。
如同去年的Black Hat大会一样,今年一些反复出现的网络安全主题引发了人们的浓烈的兴趣,包括网络战、供应链安全、开源风险、云安全与资产漏洞管理成为焦点等成为大会的热门话题。参会嘉宾们就以上话题展开了热烈的讨论,并给出了多种解决方案供大家参考。安全厂商们也展示了零信任、扩展检测和响应 (XDR) 以及威胁和漏洞管理等时下极为热门的网络安全产品。
此外,对于网络安全的思考也十分热闹:“想要跟上攻击者的步伐,企业迫切需要现代化”;“网络攻击正在成为地缘政治中的新武器”;“DevSecOps开发模式正在变的越来越关键”等论调吸引了大量安全人员的关注。除此之外,我们还观察到一些比较有意思的趋势。
一、数字战场安全态势日益严峻
2022年6月,拜登政府发布了备受关注的《改善国家网络安全行政令》,或产生深远而复杂的影响。该行政令旨在描绘“改善国家网络安全和保护联邦政府网络的新路线”,政府机构开始对其安全工作做出重大改变。
“网络安全已经成为现代战争的新武器”无疑是Black Hat 及其他组织的热门话题。与物理战相比,网络战的执行成本更低且更难归因,有安全专家指出,网络战将会彻底改变战争的模式。
Black Hat 参与者一致认为,网络战、虚假信息和政治干扰呈现齐头并进的趋势。这要求政府部门必须采取更加完善的网络安全实践,不仅要部署更现代化的安全产品和工具,还需要全面实施零信任概念,尽可能减少敏感数据的暴露。
在这个过程中,身份验证和访问管理将会发挥至关重要的作用。Yubico 解决方案架构总监 David Treece在一场演讲中指出,关于抗钓鱼多因素认证(MFA)的强制要求全都来自政府部门。因此缺乏MFA系统和流程的组织更容易遭受攻击,如果政府部门不认真对待,那么将面临巨大威胁。
SentinelOne 的首席威胁研究员 Juan Andres Guerrero-Saade 和高级威胁研究员 Tom Hegel 强调了网络战就在我们身边,在俄罗斯和乌克兰冲突中每时每刻都在上演网络斗争。自2022年初以来,乌克兰一直遭受严重的恶意软件攻击,其中许多是针对卫星调制解调器和其他关键基础设施。这也让人对这些威胁感到担忧,网络战很容易发展全球性的灾难。
二、人是AppSec的核心影响因素
虽然自动化和集成可以消除大量企业安全手动性工作内容,尤其是使用了DevSecOps等高效的开发模式,但是无论技术如何发展,永远也无法代替深思熟虑、直觉以及良好的判断力。随着网络安全专业人员面临的压力与日俱增,AppSec人为因素所占的比重也在不断增加。
网络安全技能差距会增加不必要的风险,甚至导致安全工作陷入“倦怠”的状态之中。Shostack & Associates 总裁 Adam Shostack 在会议中阐述了AppSec 的培训主题,以及如何更好地为开发人员处理安全问题做准备。
这也是网络安全行业长期存在的问题,而超过400 万个网络安全工作岗位的缺口进一步加剧了这一问题。Shostack在分享中讨论了开发人员安全培训的时间和成本,以及给企业组织带来的压力。他提出了一种结构化的学习方法,具备一定的同理心,增加了相应的工具以减少DevSecOps开发人员的压力。
Copado 副总裁兼安全与 IT 主管 Kyle Tobener 也在会议中强调,将“人为因素”视为安全风险时,应具备同理心和同情心,而不是像对待工具那样。Tobener认为富有同情心的方法远比各种禁止规则更加有效,可明显降低人为因素所带来的影响。
毕竟哪怕企业拥有再多的安全协议,诸如“点击网络钓鱼电子邮件中的危险链接”等高风险行为都会发生,只要有人参与其中,类似的风险就无法避免。有意思的是,越是严格的安全禁止措施实际上反而会增加此类风险,因此企业在落地过程中应提供更深思熟虑的指导方案,一起致力于降低人为影响因素所占的比重。
三、REC漏洞呈现明显增加的趋势
资深架构师 Dan Murphy以“远程代码执行 (RCE) 的兴起,以及企业如何加强防御免受攻击”为主题进行演讲。他强调,REC漏洞呈现明显增加的趋势,同比增加18%。由于RCE 是一个直接影响的漏洞,如果不加以控制,可能会导致更具危险性的攻击,因此生产环境中的单个 RCE 漏洞也导致整个组织面临系统受损的风险。
尽管 RCE 在软件开发领域并不是一个新问题,但它有时候会引发一些相当大的风险,例如曾经令无数安全人彻夜难眠的Log4Shell漏洞,让无数公司付出了高昂的代价。这也就意味着,如果企业不抓紧时间补救,那么RCE将会成为系统中的一个定时炸弹,爆炸仅仅是时间问题。
但在实际情况中,我们也会发现,安全测试的频率与修复代码执行漏洞的时间之间存在很强的相关性。Murphy 指出,在定期扫描中包括动态应用程序安全测试 (DAST),以使用真实的攻击负载探测您的应用程序,并快速显示哪些系统最容易受到代码执行攻击,是非常关键的。
参考来源:https://securityboulevard.com/2022/08/black-hat-2022-from-cyberwarfare-to-the-rise-of-rce/