2022年8月6日至11日,BlackHatUSA2022在拉斯维加斯拉开帷幕。作为全球信息安全行业的最高盛会,黑帽大会及其姊妹大会DEFCON久负盛名。每年,他们都会持续向外界传递最新的安全研究成果、创新技术和软硬件漏洞。它被公认为“黑客社区”。“奥斯卡”已经成为展示网络安全能力的最佳窗口之一。众所周知,BlackHat始于1997年,至今已连续举办了25届。在今年的黑帽大会上,来自世界各地的安全厂商、企业安全领袖、安全专家、政府研究人员齐聚一堂,着眼于当前的实际安全形势,分享前沿的安全研究成果、安全产品和解决方案。其中,BlackHat主论坛于8月10日开幕,各分论坛演讲80多场,涵盖硬件/固件黑客攻击、零日恶意软件发现、前沿技术等广泛领域。重量级APT研究。BlackHat向来拥有多元化的演讲者和编委会阵容,因此其演讲内容也更加多元和广泛。与去年的黑帽大会一样,一些反复出现的网络安全主题在今年引起了浓厚的兴趣,其中网络战、供应链安全、开源风险、云安全、资产漏洞管理等成为大会的焦点。与会嘉宾就以上话题展开了热烈的讨论,并给出了多种解决方案供大家参考。安全供应商还展示了当今最热门的网络安全产品,包括零信任、扩展检测和响应(XDR)以及威胁和漏洞管理。此外,对网络安全的思考也很热闹:“要跟上攻击者的步伐,企业急需现代化”;“网络攻击正在成为地缘政治的新武器”;“DevSecOps开发模式越来越Key”等论调引起了大批安全人员的关注。此外,我们还观察到一些有趣的趋势。一、数字战场安全形势日趋严峻。2022年6月,拜登政府发布了备受关注的《改善国家网络安全行政令》,可能会产生深远而复杂的影响。随着政府机构开始对其安全工作做出重大改变,该行政命令旨在制定“改善国家网络安全和保护联邦政府网络的新路线”。“网络安全已成为现代战争的新武器”无疑是黑帽大会及其他领域的热门话题。与实体战相比,网络战执行起来成本更低,也更难归因。有安全专家指出,网络战将彻底改变战争模式。黑帽会议参与者一致认为,网络战、虚假信息和政治干预是齐头并进的。这需要政府部门采取更全面的网络安全措施,不仅要部署更多现代安全产品和工具,还要全面贯彻零信任理念,尽量减少敏感数据的泄露。在这个过程中,身份验证和访问管理将发挥至关重要的作用。Yubico解决方案架构总监DavidTreece在演讲中指出,反钓鱼多因素身份验证(MFA)的强制性要求均来自政府部门。因此,缺乏MFA系统和流程的组织更容易受到攻击,如果政府部门不重视,将面临巨大的威胁。SentinelOne的首席威胁研究员JuanAndresGuerrero-Saade和高级威胁研究员TomHegel强调,网络战无处不在,并且在俄罗斯和乌克兰之间的冲突中正在24/7上演。自2022年初以来,乌克兰一直受到严重的恶意软件攻击,其中许多针对卫星调制解调器和其他关键基础设施。这也让人们担心这些威胁,网络战很容易发展成全球性的灾难。2、人是AppSec的核心影响因素。虽然自动化和集成可以消除企业中大量的人工安全工作,尤其是使用DevSecOps等高效开发模式时,但无论技术如何发展,它永远无法取代深思熟虑、直觉和良好的思考。判断。随着网络安全专业人员的压力不断增加,AppSec的人为因素也在增加。网络安全技能差距会增加不必要的风险,甚至导致安全人员处于“倦怠”状态。在会议中,Shostack&Associates总裁AdamShostack解释了AppSec培训的主题以及如何让开发人员更好地准备应对安全问题。这是网络安全行业长期存在的问题,超过400万个网络安全工作岗位的短缺加剧了这一问题。在他的分享中,Shostack讨论了开发人员安全培训的时间和成本,以及它给企业组织带来的压力。他提出了一种结构化的学习方法,带有一定的同理心,添加了一些工具来减轻DevSecOps开发人员的压力。Copado副总裁兼安全和IT负责人KyleTobener在会议中也强调,将“人为因素”视为安全风险需要同理心和同情心,而不是工具。托本纳认为,富有同情心的做法远比各种禁止性规则更有效,可以显着减少人为因素的影响。毕竟,无论企业有多少安全协议,“点击钓鱼邮件中的危险链接”等高风险行为都会发生,只要有人参与,类似的风险就无法避免。有趣的是,更严格的安全禁令措施实际上会增加此类风险。因此,企业在实施过程中应给予更周到的指导,共同努力降低人为因素的比重。3.REC漏洞呈显着增长趋势资深架构师DanMurphy以“远程代码执行(RCE)的兴起以及企业如何加强对攻击的防御”为题发表了演讲。他强调,REC漏洞呈明显上升趋势,同比增长18%。由于RCE是一个直接影响漏洞,如果不加以检查,可能会导致更危险的攻击,因此生产环境中的单个RCE漏洞也会使整个组织面临系统受损的风险。虽然RCE在软件开发领域并不是一个新问题,但它有时也会带来一些相当大的风险,比如Log4Shell漏洞就曾经让无数安全人员夜不能寐,也让无数企业付出了惨重的代价。这也意味着,如果企业不抓紧时间补救,那么RCE将成为系统中的一颗定时炸弹,爆炸只是时间问题。但在实践中,我们也发现安全测试的频率与修复代码执行漏洞所需的时间之间存在很强的相关性。Murphy指出,在定期扫描中包含动态应用程序安全测试(DAST)以使用真实的攻击有效载荷探测您的应用程序并快速显示哪些系统最容易受到代码执行攻击是至关重要的。参考来源:https://securityboulevard.com/2022/08/black-hat-2022-from-cyberwarfare-to-the-rise-of-rce/
