• “黑帽2023”大會(huì)關(guān)注美國(guó)政府及其在應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)威脅，尤其是那些可能影響國(guó)家安全的網(wǎng)絡(luò)威脅方面所做出的努力。
• 在“黑帽2023”召開(kāi)之際，AI工具正在風(fēng)靡消費(fèi)者世界，在各行業(yè)領(lǐng)域得到廣泛應(yīng)用。
• MOVEit漏洞迄今已經(jīng)影響全球637家組織以及3680萬(wàn)到4160萬(wàn)人。

廣受歡迎的網(wǎng)絡(luò)安全會(huì)議活動(dòng)之一“黑帽2023”于8月10日閉幕。在過(guò)去的幾年，發(fā)生的新冠疫情，導(dǎo)致這個(gè)信息安全會(huì)議采用的是遠(yuǎn)程的網(wǎng)絡(luò)會(huì)議的形式，包括去年的25周年紀(jì)念活動(dòng)，今年的信息安全會(huì)議是現(xiàn)場(chǎng)活動(dòng)的形式，為與會(huì)者提供了網(wǎng)絡(luò)安全的基本要素：協(xié)作。

研討會(huì)主要在“黑帽2023”大會(huì)的最后兩天舉辦，主要內(nèi)容是支持AI的網(wǎng)絡(luò)安全產(chǎn)品和運(yùn)營(yíng)。此次大會(huì)關(guān)注美國(guó)政府在應(yīng)對(duì)新出現(xiàn)的網(wǎng)絡(luò)威脅方面所做出的努力，尤其是那些可能影響美國(guó)國(guó)家安全的網(wǎng)絡(luò)威脅，例如最近曝光的網(wǎng)絡(luò)間諜活動(dòng)。

“黑帽2023”大會(huì)恰逢AI工具風(fēng)靡消費(fèi)者世界之際，并在各行業(yè)領(lǐng)域得到廣泛應(yīng)用。此次大會(huì)在發(fā)現(xiàn)MOVEit漏洞后不久舉辦，該漏洞到目前為止已經(jīng)影響了全球637家組織以及3680萬(wàn)到4160萬(wàn)人。

在為期6天的會(huì)議活動(dòng)中，前4天的內(nèi)容主要集中在APT威脅、漏洞研究、云計(jì)算和網(wǎng)絡(luò)安全、威脅建模、安全自動(dòng)化等方面的培訓(xùn)和課程。成千上萬(wàn)的網(wǎng)絡(luò)安全專業(yè)人士聆聽(tīng)了這些培訓(xùn)課程。

在黑帽2023大會(huì)的最后兩天，將培訓(xùn)與有趣的活動(dòng)融為一體。行業(yè)媒體從這次聲譽(yù)卓著的網(wǎng)絡(luò)安全會(huì)議中得出了四個(gè)關(guān)鍵結(jié)論。

1、主題演講

Azeria Labs公司的創(chuàng)始人Maria Markstedter對(duì)AI持樂(lè)觀態(tài)度，但在演講中建議企業(yè)謹(jǐn)慎行事。

Maria Markstedter是ARM漏洞開(kāi)發(fā)、逆向工程、漏洞研究和網(wǎng)絡(luò)安全培訓(xùn)服務(wù)商Azeria Labs公司的創(chuàng)始人，她第一個(gè)在會(huì)上發(fā)表了主題演講，其演講主題是AI(特別是AIGC)在業(yè)務(wù)中的應(yīng)用。

Markstedter強(qiáng)調(diào)，任何新技術(shù)的變革效應(yīng)都會(huì)在各個(gè)行業(yè)產(chǎn)生反響，人們應(yīng)該期待AI也能如此。除了消費(fèi)類AI工具，她認(rèn)為具有不確定性行為的自主AI代理可以成為企業(yè)運(yùn)營(yíng)的支柱。人們必須進(jìn)入一個(gè)真正自主的AI系統(tǒng)可以訪問(wèn)的應(yīng)用程序的世界里，并重新思考身份訪問(wèn)管理概念。

Markstedter補(bǔ)充說(shuō)，市場(chǎng)主導(dǎo)地位的激烈競(jìng)爭(zhēng)可能會(huì)阻礙正常發(fā)展。由于大型科技公司已經(jīng)投入了數(shù)十億美元，人們除了分析AI等技術(shù)帶來(lái)的不斷變化的威脅模型并相應(yīng)地引領(lǐng)產(chǎn)品進(jìn)化之外，別無(wú)選擇。

美國(guó)國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室的總監(jiān)Kemba Walden做了第二個(gè)主題演講，他有些許擔(dān)憂地指出，政府部門最容易受到開(kāi)源漏洞的威脅，他對(duì)開(kāi)發(fā)人員沒(méi)有接受過(guò)設(shè)計(jì)方面的安全培訓(xùn)感到震驚。

在8月10日舉辦的“國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略和勞動(dòng)力努力”會(huì)議上，Walden告訴哥倫比亞大學(xué)國(guó)際與公共事務(wù)學(xué)院高級(jí)研究學(xué)者Jason Healey，美國(guó)政府95%的技術(shù)堆棧都是開(kāi)源的。

Walden在參與了美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)關(guān)于Log4Shell漏洞的報(bào)告后表示:“我驚訝地發(fā)現(xiàn)，開(kāi)發(fā)者社區(qū)并不一定接受過(guò)設(shè)計(jì)安全原則的培訓(xùn)?！盠og4Shell漏洞被編號(hào)為CVE-2021-44228，是在2021年和2022年被利用最多的漏洞之一。

2022年7月，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)宣布Log4Shell駐留在ApacheLog4中，這是一個(gè)基于java的開(kāi)源錯(cuò)誤日志記錄框架，被大量的組織使用，使其成為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一個(gè)組成部分。Walden在會(huì)上演講時(shí)表示:“似乎在原子級(jí)別上，我們應(yīng)該通過(guò)設(shè)計(jì)來(lái)實(shí)現(xiàn)安全性?！彼a(bǔ)充說(shuō)，像Microsoft Patch Tuesdays這樣的例行補(bǔ)丁不應(yīng)該成為常態(tài)。

為了補(bǔ)充美國(guó)白宮開(kāi)源軟件安全倡議，Walden宣布美國(guó)國(guó)家網(wǎng)絡(luò)總監(jiān)辦公室、美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局，美國(guó)國(guó)家科學(xué)基金會(huì)、美國(guó)國(guó)防高級(jí)研究計(jì)劃局和美國(guó)管理和預(yù)算辦公室正在發(fā)起一項(xiàng)信息請(qǐng)求，征求關(guān)于如何加強(qiáng)開(kāi)源軟件安全的想法。

這個(gè)信息請(qǐng)求將向公共和私營(yíng)部門尋求建議，以長(zhǎng)期關(guān)注和優(yōu)先考慮商業(yè)、政府和軍事平臺(tái)上流行的開(kāi)源軟件的安全性。

2、從俄烏沖突中得到的教訓(xùn)

俄烏沖突為戰(zhàn)爭(zhēng)打開(kāi)了一個(gè)新的、虛擬的維度。黑客行動(dòng)主義的興起，即威脅行為者、獨(dú)立的APT組織以及為各自國(guó)家利益行事的網(wǎng)絡(luò)攻擊組織，與俄烏沖突的爆發(fā)不謀而合。

威脅行為者利用網(wǎng)絡(luò)工具從事政治或社會(huì)活動(dòng)，通過(guò)以網(wǎng)絡(luò)資產(chǎn)為目標(biāo)對(duì)國(guó)際對(duì)手(個(gè)人、企業(yè)、政府)造成損害。他們的行動(dòng)包括虛假信息和錯(cuò)誤信息活動(dòng)，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊，造成運(yùn)營(yíng)中斷等。

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局主任Jen Easterly與烏克蘭國(guó)家特別通信與信息保護(hù)局副主席Victor Zhora討論了俄烏沖突中的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)所帶來(lái)的的教訓(xùn)。

在主題為“可以從俄烏沖突的網(wǎng)絡(luò)防御者那里學(xué)到什么，如何建設(shè)更有彈性的未來(lái)”的討論中，Easterly建議美國(guó)公眾做好應(yīng)對(duì)類似于針對(duì)烏克蘭的網(wǎng)絡(luò)攻擊的準(zhǔn)備。

Easterly告訴Zhora，“我們知道，考慮到當(dāng)今的網(wǎng)絡(luò)狀態(tài)，連通性、相互依賴性，以及由于技術(shù)設(shè)計(jì)不安全而持續(xù)存在的漏洞。我們很可能會(huì)看到造成巨大破壞的網(wǎng)絡(luò)攻擊，所以我們一直在學(xué)習(xí)網(wǎng)絡(luò)及其運(yùn)營(yíng)的彈性?！?/p>

Easterly表示，美國(guó)人需要預(yù)測(cè)到威脅和破壞，并呼吁網(wǎng)絡(luò)安全機(jī)構(gòu)之間加強(qiáng)協(xié)調(diào)和合作。

在談美國(guó)政府于2022年7月發(fā)起的“Shields Up”運(yùn)動(dòng)時(shí)，她說(shuō):“我們付出了巨大的努力來(lái)提升網(wǎng)絡(luò)安全?！?/p>

不過(guò)，Easterly補(bǔ)充說(shuō):“就我們?nèi)绾螒?yīng)對(duì)潛在威脅而言，我沒(méi)有看到那種程度的恢復(fù)能力。”面對(duì)這些非常嚴(yán)重的威脅，我們應(yīng)該團(tuán)結(jié)起來(lái)。”

3、DARPA的AI網(wǎng)絡(luò)挑戰(zhàn)賽

在黑帽2023大會(huì)上，美國(guó)國(guó)防高級(jí)研究計(jì)劃局(DARPA)發(fā)起了AI網(wǎng)絡(luò)安全挑戰(zhàn)，這是一場(chǎng)AI網(wǎng)絡(luò)安全競(jìng)賽，旨在確保美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的安全。該競(jìng)賽要求計(jì)算機(jī)科學(xué)家、AI專家、軟件開(kāi)發(fā)人員和網(wǎng)絡(luò)安全專家開(kāi)發(fā)AI驅(qū)動(dòng)的網(wǎng)絡(luò)安全工具。

AI網(wǎng)絡(luò)安全挑戰(zhàn)包含以下兩個(gè)方面:

• 開(kāi)放軌道(Open Track)：任何符合資格標(biāo)準(zhǔn)的人都可以參加比賽，參加比賽的選手將自籌資金。
• 資助軌道(Funded Track)：向中小企業(yè)創(chuàng)新研究提交提案的七家小企業(yè)將分別獲得100萬(wàn)美元的資助。

美國(guó)國(guó)防高級(jí)研究計(jì)劃局項(xiàng)目經(jīng)理Perri Adams透露，該競(jìng)賽將持續(xù)兩年的時(shí)間，獎(jiǎng)金為1850萬(wàn)美元。OpenAI、OpenSSF、Anthropic、谷歌和微軟都將為AI網(wǎng)絡(luò)安全挑戰(zhàn)提供支持。

AI網(wǎng)絡(luò)安全挑戰(zhàn)的半決賽將在召開(kāi)DEFCON 2024大會(huì)時(shí)舉行，決賽將在召開(kāi)DEFCON 2025大會(huì)時(shí)舉行。

參加半決賽的選手將獲得200萬(wàn)美元的獎(jiǎng)金，獲得第一、第二和第三名的選手將分別獲得400萬(wàn)美元、300萬(wàn)美元和150萬(wàn)美元的獎(jiǎng)金。