- “黑帽2023”大会关注美国政府及其在应对新出现的网络威胁,尤其是那些可能影响国家安全的网络威胁方面所做出的努力。
- 在“黑帽2023”召开之际,AI工具正在风靡消费者世界,在各行业领域得到广泛应用。
- MOVEit漏洞迄今已经影响全球637家组织以及3680万到4160万人。
广受欢迎的网络安全会议活动之一“黑帽2023”于8月10日闭幕。在过去的几年,发生的新冠疫情,导致这个信息安全会议采用的是远程的网络会议的形式,包括去年的25周年纪念活动,今年的信息安全会议是现场活动的形式,为与会者提供了网络安全的基本要素:协作。
研讨会主要在“黑帽2023”大会的最后两天举办,主要内容是支持AI的网络安全产品和运营。此次大会关注美国政府在应对新出现的网络威胁方面所做出的努力,尤其是那些可能影响美国国家安全的网络威胁,例如最近曝光的网络间谍活动。
“黑帽2023”大会恰逢AI工具风靡消费者世界之际,并在各行业领域得到广泛应用。此次大会在发现MOVEit漏洞后不久举办,该漏洞到目前为止已经影响了全球637家组织以及3680万到4160万人。
在为期6天的会议活动中,前4天的内容主要集中在APT威胁、漏洞研究、云计算和网络安全、威胁建模、安全自动化等方面的培训和课程。成千上万的网络安全专业人士聆听了这些培训课程。
在黑帽2023大会的最后两天,将培训与有趣的活动融为一体。行业媒体从这次声誉卓著的网络安全会议中得出了四个关键结论。
1、主题演讲
Azeria Labs公司的创始人Maria Markstedter对AI持乐观态度,但在演讲中建议企业谨慎行事。
Maria Markstedter是ARM漏洞开发、逆向工程、漏洞研究和网络安全培训服务商Azeria Labs公司的创始人,她第一个在会上发表了主题演讲,其演讲主题是AI(特别是AIGC)在业务中的应用。
Markstedter强调,任何新技术的变革效应都会在各个行业产生反响,人们应该期待AI也能如此。除了消费类AI工具,她认为具有不确定性行为的自主AI代理可以成为企业运营的支柱。人们必须进入一个真正自主的AI系统可以访问的应用程序的世界里,并重新思考身份访问管理概念。
Markstedter补充说,市场主导地位的激烈竞争可能会阻碍正常发展。由于大型科技公司已经投入了数十亿美元,人们除了分析AI等技术带来的不断变化的威胁模型并相应地引领产品进化之外,别无选择。
美国国家网络总监办公室的总监Kemba Walden做了第二个主题演讲,他有些许担忧地指出,政府部门最容易受到开源漏洞的威胁,他对开发人员没有接受过设计方面的安全培训感到震惊。
在8月10日举办的“国家网络安全战略和劳动力努力”会议上,Walden告诉哥伦比亚大学国际与公共事务学院高级研究学者Jason Healey,美国政府95%的技术堆栈都是开源的。
Walden在参与了美国网络安全审查委员会关于Log4Shell漏洞的报告后表示:“我惊讶地发现,开发者社区并不一定接受过设计安全原则的培训。”Log4Shell漏洞被编号为CVE-2021-44228,是在2021年和2022年被利用最多的漏洞之一。
2022年7月,美国网络安全审查委员会宣布Log4Shell驻留在ApacheLog4中,这是一个基于java的开源错误日志记录框架,被大量的组织使用,使其成为互联网基础设施的一个组成部分。Walden在会上演讲时表示:“似乎在原子级别上,我们应该通过设计来实现安全性。”他补充说,像Microsoft Patch Tuesdays这样的例行补丁不应该成为常态。
为了补充美国白宫开源软件安全倡议,Walden宣布美国国家网络总监办公室、美国网络安全基础设施安全局,美国国家科学基金会、美国国防高级研究计划局和美国管理和预算办公室正在发起一项信息请求,征求关于如何加强开源软件安全的想法。
这个信息请求将向公共和私营部门寻求建议,以长期关注和优先考虑商业、政府和军事平台上流行的开源软件的安全性。
2、从俄乌冲突中得到的教训
俄乌冲突为战争打开了一个新的、虚拟的维度。黑客行动主义的兴起,即威胁行为者、独立的APT组织以及为各自国家利益行事的网络攻击组织,与俄乌冲突的爆发不谋而合。
威胁行为者利用网络工具从事政治或社会活动,通过以网络资产为目标对国际对手(个人、企业、政府)造成损害。他们的行动包括虚假信息和错误信息活动,针对关键基础设施进行攻击,造成运营中断等。
美国网络安全基础设施安全局主任Jen Easterly与乌克兰国家特别通信与信息保护局副主席Victor Zhora讨论了俄乌冲突中的网络战争所带来的的教训。
在主题为“可以从俄乌冲突的网络防御者那里学到什么,如何建设更有弹性的未来”的讨论中,Easterly建议美国公众做好应对类似于针对乌克兰的网络攻击的准备。
Easterly告诉Zhora,“我们知道,考虑到当今的网络状态,连通性、相互依赖性,以及由于技术设计不安全而持续存在的漏洞。我们很可能会看到造成巨大破坏的网络攻击,所以我们一直在学习网络及其运营的弹性。”
Easterly表示,美国人需要预测到威胁和破坏,并呼吁网络安全机构之间加强协调和合作。
在谈美国政府于2022年7月发起的“Shields Up”运动时,她说:“我们付出了巨大的努力来提升网络安全。”
不过,Easterly补充说:“就我们如何应对潜在威胁而言,我没有看到那种程度的恢复能力。”面对这些非常严重的威胁,我们应该团结起来。”
3、DARPA的AI网络挑战赛
在黑帽2023大会上,美国国防高级研究计划局(DARPA)发起了AI网络安全挑战,这是一场AI网络安全竞赛,旨在确保美国关键基础设施的安全。该竞赛要求计算机科学家、AI专家、软件开发人员和网络安全专家开发AI驱动的网络安全工具。
AI网络安全挑战包含以下两个方面:
- 开放轨道(Open Track):任何符合资格标准的人都可以参加比赛,参加比赛的选手将自筹资金。
- 资助轨道(Funded Track):向中小企业创新研究提交提案的七家小企业将分别获得100万美元的资助。
美国国防高级研究计划局项目经理Perri Adams透露,该竞赛将持续两年的时间,奖金为1850万美元。OpenAI、OpenSSF、Anthropic、谷歌和微软都将为AI网络安全挑战提供支持。
AI网络安全挑战的半决赛将在召开DEFCON 2024大会时举行,决赛将在召开DEFCON 2025大会时举行。
参加半决赛的选手将获得200万美元的奖金,获得第一、第二和第三名的选手将分别获得400万美元、300万美元和150万美元的奖金。