2015安全夏令营:黑帽、DEF CON和BSidesLV三大主题

分析师:斯科特·克劳福德



宝贝，你可以开我的车:汽车曝光和“事物”的安全性

在本周之前，最大的噪音制造者之一是展示侵入汽车控制系统的能力。在黑帽事件发生前的几周，研究人员查理·米勒和克里斯·瓦拉塞克对《连线》杂志记者安迪·格林伯格驾驶的一辆切诺基吉普车的各种控制系统进行了无线攻击，并引起了不小的轰动。

这一举动(在一些安全专家看来，这是一种特技)引起了主流媒体的注意，并在会议前预览了两个类似的演示:萨米·卡姆卡尔的OwnStar，一个拦截通用汽车OnStar RemoteLink应用程序通信的小设备，允许未经授权的用户定位、解锁或启动通用汽车的车辆;以及马克·罗杰斯和凯文·马哈菲对特斯拉Model S漏洞的演示，这些漏洞导致了类似程度的控制。所有这些演示都是为拉斯维加斯的安全会议准备的:米勒和瓦拉塞克为黑帽做的演示;这些演示是在今年早些时候克里斯·罗伯茨(Chris Roberts)利用商业航空公司的机上娱乐系统进行的，据称在一个案例中，他控制了飞机引擎，使飞机短暂地“侧飞”。

这并不是说“事物”的妥协以前没有被证明过。米勒和瓦拉塞克此前曾向《连线》记者展示过对福特Escape和丰田普锐斯系统的攻击，而对胰岛素泵和心脏起搏器的攻击至少从2011年开始就在之前的黑帽大会上展示过，此外还有“智能电表”系统和其他环境控制系统的漏洞。众所周知，针对plc(可编程逻辑控制器)的Stuxnet攻击至少可以追溯到2010年。

今年演示的不同之处在于，在吉普和安吉星的案例中，他们利用了大规模无线控制系统的漏洞，这些漏洞可能会使整条线路的车辆瘫痪。问题中的“大规模无线”平台可能不是制造商有意连接到汽车控制系统的，但事实上，研究人员能够从克莱斯勒的Uconnect或通用的OnStar的漏洞转向汽车的车载控制功能，这有效地使这种区分变得没有意义。在某些情况下，研究人员还暗示移动应用程序可以访问无线控制功能，从而引入另一种威胁载体。

由于这类漏洞具有广泛的潜力，今年的演示可能标志着人们对日益增长的“智能”系统所面临的安全挑战的认识出现了转折点，这些系统构成了日常生活的多个方面。在另一份焦点报告中，451 Research高级信息安全分析师A188宝金博网址是多少drian Sanabria讨论了这些漏洞的影响，以及它们对传统上不以it为中心的行业意味着什么，但这些行业现在必须应对信息安全专业人士长期熟悉的挑战。

我们是政府，我们是来帮忙的

在拉斯维加斯安全周之前的几个月里，有一个话题引起了不少讨论，那就是寻求分享工具和发现的调查人员与政府在这方面的作用之间的关系。

在威胁情报共享方面，政府在很大程度上是支持者。今年2月，美国政府推出了一个新的网络威胁情报集成中心，旨在为政府和私营企业提供威胁情报的集中存储库，并签署了一项行政命令，鼓励私营部门组织之间以及私营部门与政府之间共享威胁情报。然而，许多安全专家多年来一直认为，Äì继续争论， Äì指出，虽然政府大力倡导私营部门内部以及私营部门组织与公共部门组织之间的情报共享，但政府与私营企业之间的实际情报共享仍然不够。

在共享研究工具的问题上，政府和相关机构最近在安全专家中引发了争议。《瓦森纳协定》(Wassenaar Arrangement, WA)是一个由41个国家组成的多边出口管制组织，它对安全研究的影响是今年黑帽大会和DEF CON上讨论的一个话题，随后将继续进行全行业的讨论五月声明美国工业和安全局(BIS)表示，该机构打算采用2013年西澳协议，对西澳所谓的“入侵软件”实施出口管制。从独立的安全研究人员到谷歌即使是黑帽组织他们谴责了这一举动，指出WA对入侵软件的定义含糊不清，以及对旨在加强信息安全的研究的潜在影响。451 Research信息安全分析师Dan Raywood在今年DEF CON的188宝金博网址是多少专题报道中详细介绍了上周在拉斯维加斯举行的讨论。

证券市场性质的变化

比任何特定主题更普遍的是拉斯维加斯会议反映安全日益商业化的方式。黑帽和DEF CON最初都是为安全研究人员组织的活动，特别是那些专业知识在于教育防御者如何打破防御的人。如今，商业供应商的数量已经增长到许多人将拉斯维加斯周称为“夏季RSA”的程度。近年来，黑帽供应商博览会的地板已经大幅增长，现在几乎与任何其他主要的面向供应商的会议没有区别。如今，在证券市场，初创公司的融资规模已经达到了九位数，这并不奇怪。

这也表明防御者在这些会议上的影响力越来越大，Äì或者至少，承认对威胁场景的反应与攻击演示一样重要(如果不是更重要的话)。这种认识在一定程度上也可能源于证券市场基调的另一种变化。在过去的几年里，合规性是许多证券购买者的主要目标。他们可能使用遵从性作为杠杆来获得他们想要做的事情所需的预算，但是遵从性作为支出的主要驱动因素现在已经很大程度上让位于组织确实需要更安全的认识。近年来，安全支出和成功入侵都有所增长。尽管安全具有游戏技巧的本质，即对手不断地寻求绕过防御，防御者响应以加强对策，但组织希望从他们的安全投资中获益。持续的违约提高了这一预期的门槛。

具有安全专业知识的人员日益短缺，这加剧了组织在提高自身安全性方面面临的挑战。供应商和企业现在都在争夺一个罕见的、不断缩小的人才库。技术供应商将他们自己视为这个问题的解决方案的贡献者，他们使用自动化操作任务和扩展分析能力的技术。近几个月来，安全分析普遍成为市场上一个更加活跃的方面，利用数据分析的兴起，通过机器学习、异常检测和行为建模等先进技术，为安全意识和更有效的防御打开了新的大门。

然而，与此同时，这些技术也带来了一种风险，即它们可能会使人才短缺变得更加痛苦。组织已经被数据淹没，经常发现他们需要防御非常真实的威胁的证据被淹没在他们既不能分析也不能足够快地采取有效行动的信息中。为了在帮助组织应对人员短缺和数据过载方面产生真正的影响，新兴技术必须:

-通过指导安全专业人员获得快速有效响应所需的最有意义的见解，帮助开发技能。

-同时，保留数据体，使更熟练的调查人员能够在条件允许时搜索尚未发现的证据。

-最重要的是，这些技术必须产生结果。分析只会在没有实际行动的情况下产生噪音。因此，那些指出具体应对措施、决策支持或具体结果的方法，应该有望从买家那里得到更有利的听取。

事实上，这正是诸如此类的安全会议本身应该指向的方向。希望这些市场变化的指标也表明了安全行业的日益成熟，正如在拉斯维加斯安全夏令营中看到的趋势所反映的那样，这给了防御者他们需要有效的东西，而不是简单地展示技术是如何被破坏的。

----
Scott Crawford是451 Research信息安全实践的研究总监，负责信息安全市场的新兴趋势、创新和颠覆。188宝金博网址是多少在加入451之前，Scott是一名知名的信息安全行业分析师，他的背景包括作为供应商和信息安全从业者的经验。在IBM, Scott指导产品战略和开发，主要关注IBM security Services的安全智能。188bet金博宝是什么他是奥地利维也纳全面禁止核试验条约组织(CTBTO)国际数据中心的前首席信息安全官，在那里他为一个服务于150多个国家的非政府组织(NGO)率先实施了安全政策和架构。他的经验包括为私营和公共部门的领先组织提供系统和安全管理，从艾默生到科罗拉多州博尔德大学大气研究公司的一个部门，专注于地球物理和气象数据的收集、管理和分析。