2022年8月6日—11日，Black Hat USA 2022在拉斯維加斯拉開(kāi)帷幕。作為世界信息安全行業(yè)的最高盛會(huì)，Black Hat和其姊妹會(huì)議DEF CON久負(fù)盛名，每年都會(huì)向外界持續(xù)輸送出最新的安全研究成果、創(chuàng)新技術(shù)以及軟硬件方面的漏洞等前沿資訊，被公認(rèn)為“黑客界的奧斯卡”，成為展現(xiàn)網(wǎng)絡(luò)安全能力的最佳窗口之一。

眾所周知，Black Hat創(chuàng)辦于1997年，至今已經(jīng)連續(xù)舉辦25屆。在今年的Black Hat大會(huì)上，來(lái)自全球的安全廠商、企業(yè)安全負(fù)責(zé)人、安全專(zhuān)家、政府研究人員等匯聚一堂，著眼于當(dāng)下實(shí)際的安全態(tài)勢(shì)，分享前沿的安全研究、安全產(chǎn)品和解決方案。

其中，Black Hat主論壇從8月10日開(kāi)始，各分論壇演講總計(jì)超過(guò)80場(chǎng)，主題涉及硬件/固件黑客攻擊、零日惡意軟件發(fā)現(xiàn)，以及重量級(jí)APT前沿研究等廣泛領(lǐng)域。一直以來(lái)，Black Hat都有著多元化的演講者陣容和編輯委員會(huì)，因此其演講內(nèi)容也更加多元且寬泛。

如同去年的Black Hat大會(huì)一樣，今年一些反復(fù)出現(xiàn)的網(wǎng)絡(luò)安全主題引發(fā)了人們的濃烈的興趣，包括網(wǎng)絡(luò)戰(zhàn)、供應(yīng)鏈安全、開(kāi)源風(fēng)險(xiǎn)、云安全與資產(chǎn)漏洞管理成為焦點(diǎn)等成為大會(huì)的熱門(mén)話題。參會(huì)嘉賓們就以上話題展開(kāi)了熱烈的討論，并給出了多種解決方案供大家參考。安全廠商們也展示了零信任、擴(kuò)展檢測(cè)和響應(yīng) (XDR) 以及威脅和漏洞管理等時(shí)下極為熱門(mén)的網(wǎng)絡(luò)安全產(chǎn)品。

此外，對(duì)于網(wǎng)絡(luò)安全的思考也十分熱鬧：“想要跟上攻擊者的步伐，企業(yè)迫切需要現(xiàn)代化”；“網(wǎng)絡(luò)攻擊正在成為地緣政治中的新武器”；“DevSecOps開(kāi)發(fā)模式正在變的越來(lái)越關(guān)鍵”等論調(diào)吸引了大量安全人員的關(guān)注。除此之外，我們還觀察到一些比較有意思的趨勢(shì)。

一、數(shù)字戰(zhàn)場(chǎng)安全態(tài)勢(shì)日益嚴(yán)峻

2022年6月，拜登政府發(fā)布了備受關(guān)注的《改善國(guó)家網(wǎng)絡(luò)安全行政令》，或產(chǎn)生深遠(yuǎn)而復(fù)雜的影響。該行政令旨在描繪“改善國(guó)家網(wǎng)絡(luò)安全和保護(hù)聯(lián)邦政府網(wǎng)絡(luò)的新路線”，政府機(jī)構(gòu)開(kāi)始對(duì)其安全工作做出重大改變。

“網(wǎng)絡(luò)安全已經(jīng)成為現(xiàn)代戰(zhàn)爭(zhēng)的新武器”無(wú)疑是Black Hat 及其他組織的熱門(mén)話題。與物理戰(zhàn)相比，網(wǎng)絡(luò)戰(zhàn)的執(zhí)行成本更低且更難歸因，有安全專(zhuān)家指出，網(wǎng)絡(luò)戰(zhàn)將會(huì)徹底改變戰(zhàn)爭(zhēng)的模式。

Black Hat 參與者一致認(rèn)為，網(wǎng)絡(luò)戰(zhàn)、虛假信息和政治干擾呈現(xiàn)齊頭并進(jìn)的趨勢(shì)。這要求政府部門(mén)必須采取更加完善的網(wǎng)絡(luò)安全實(shí)踐，不僅要部署更現(xiàn)代化的安全產(chǎn)品和工具，還需要全面實(shí)施零信任概念，盡可能減少敏感數(shù)據(jù)的暴露。

在這個(gè)過(guò)程中，身份驗(yàn)證和訪問(wèn)管理將會(huì)發(fā)揮至關(guān)重要的作用。Yubico 解決方案架構(gòu)總監(jiān) David Treece在一場(chǎng)演講中指出，關(guān)于抗釣魚(yú)多因素認(rèn)證(MFA)的強(qiáng)制要求全都來(lái)自政府部門(mén)。因此缺乏MFA系統(tǒng)和流程的組織更容易遭受攻擊，如果政府部門(mén)不認(rèn)真對(duì)待，那么將面臨巨大威脅。

SentinelOne 的首席威脅研究員 Juan Andres Guerrero-Saade 和高級(jí)威脅研究員 Tom Hegel 強(qiáng)調(diào)了網(wǎng)絡(luò)戰(zhàn)就在我們身邊，在俄羅斯和烏克蘭沖突中每時(shí)每刻都在上演網(wǎng)絡(luò)斗爭(zhēng)。自2022年初以來(lái)，烏克蘭一直遭受?chē)?yán)重的惡意軟件攻擊，其中許多是針對(duì)衛(wèi)星調(diào)制解調(diào)器和其他關(guān)鍵基礎(chǔ)設(shè)施。這也讓人對(duì)這些威脅感到擔(dān)憂(yōu)，網(wǎng)絡(luò)戰(zhàn)很容易發(fā)展全球性的災(zāi)難。

二、人是AppSec的核心影響因素

雖然自動(dòng)化和集成可以消除大量企業(yè)安全手動(dòng)性工作內(nèi)容，尤其是使用了DevSecOps等高效的開(kāi)發(fā)模式，但是無(wú)論技術(shù)如何發(fā)展，永遠(yuǎn)也無(wú)法代替深思熟慮、直覺(jué)以及良好的判斷力。隨著網(wǎng)絡(luò)安全專(zhuān)業(yè)人員面臨的壓力與日俱增，AppSec人為因素所占的比重也在不斷增加。

網(wǎng)絡(luò)安全技能差距會(huì)增加不必要的風(fēng)險(xiǎn)，甚至導(dǎo)致安全工作陷入“倦怠”的狀態(tài)之中。Shostack & Associates 總裁 Adam Shostack 在會(huì)議中闡述了AppSec 的培訓(xùn)主題，以及如何更好地為開(kāi)發(fā)人員處理安全問(wèn)題做準(zhǔn)備。

這也是網(wǎng)絡(luò)安全行業(yè)長(zhǎng)期存在的問(wèn)題，而超過(guò)400 萬(wàn)個(gè)網(wǎng)絡(luò)安全工作崗位的缺口進(jìn)一步加劇了這一問(wèn)題。Shostack在分享中討論了開(kāi)發(fā)人員安全培訓(xùn)的時(shí)間和成本，以及給企業(yè)組織帶來(lái)的壓力。他提出了一種結(jié)構(gòu)化的學(xué)習(xí)方法，具備一定的同理心，增加了相應(yīng)的工具以減少DevSecOps開(kāi)發(fā)人員的壓力。

Copado 副總裁兼安全與 IT 主管 Kyle Tobener 也在會(huì)議中強(qiáng)調(diào)，將“人為因素”視為安全風(fēng)險(xiǎn)時(shí)，應(yīng)具備同理心和同情心，而不是像對(duì)待工具那樣。Tobener認(rèn)為富有同情心的方法遠(yuǎn)比各種禁止規(guī)則更加有效，可明顯降低人為因素所帶來(lái)的影響。

畢竟哪怕企業(yè)擁有再多的安全協(xié)議，諸如“點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)電子郵件中的危險(xiǎn)鏈接”等高風(fēng)險(xiǎn)行為都會(huì)發(fā)生，只要有人參與其中，類(lèi)似的風(fēng)險(xiǎn)就無(wú)法避免。有意思的是，越是嚴(yán)格的安全禁止措施實(shí)際上反而會(huì)增加此類(lèi)風(fēng)險(xiǎn)，因此企業(yè)在落地過(guò)程中應(yīng)提供更深思熟慮的指導(dǎo)方案，一起致力于降低人為影響因素所占的比重。

三、REC漏洞呈現(xiàn)明顯增加的趨勢(shì)

資深架構(gòu)師 Dan Murphy以“遠(yuǎn)程代碼執(zhí)行 (RCE) 的興起，以及企業(yè)如何加強(qiáng)防御免受攻擊”為主題進(jìn)行演講。他強(qiáng)調(diào)，REC漏洞呈現(xiàn)明顯增加的趨勢(shì)，同比增加18%。由于RCE 是一個(gè)直接影響的漏洞，如果不加以控制，可能會(huì)導(dǎo)致更具危險(xiǎn)性的攻擊，因此生產(chǎn)環(huán)境中的單個(gè) RCE 漏洞也導(dǎo)致整個(gè)組織面臨系統(tǒng)受損的風(fēng)險(xiǎn)。

盡管 RCE 在軟件開(kāi)發(fā)領(lǐng)域并不是一個(gè)新問(wèn)題，但它有時(shí)候會(huì)引發(fā)一些相當(dāng)大的風(fēng)險(xiǎn)，例如曾經(jīng)令無(wú)數(shù)安全人徹夜難眠的Log4Shell漏洞，讓無(wú)數(shù)公司付出了高昂的代價(jià)。這也就意味著，如果企業(yè)不抓緊時(shí)間補(bǔ)救，那么RCE將會(huì)成為系統(tǒng)中的一個(gè)定時(shí)炸彈，爆炸僅僅是時(shí)間問(wèn)題。

但在實(shí)際情況中，我們也會(huì)發(fā)現(xiàn)，安全測(cè)試的頻率與修復(fù)代碼執(zhí)行漏洞的時(shí)間之間存在很強(qiáng)的相關(guān)性。Murphy 指出，在定期掃描中包括動(dòng)態(tài)應(yīng)用程序安全測(cè)試 (DAST)，以使用真實(shí)的攻擊負(fù)載探測(cè)您的應(yīng)用程序，并快速顯示哪些系統(tǒng)最容易受到代碼執(zhí)行攻擊，是非常關(guān)鍵的。

參考來(lái)源：https://securityboulevard.com/2022/08/black-hat-2022-from-cyberwarfare-to-the-rise-of-rce/