【BlackHat2016】 黑帽大会上人人都在谈论的网络安全术语

E安全 / 专题 / 

俗话说,知识就是力量。当谈及网络安全知识,每年有成千上万人前往拉斯维加斯参加Black Hat 黑帽大会,在这里,他们尽可能地增长安全知识。对于有些人而言,他们有机会分享研究并演示计算机系统的脆弱性。而另一些人可以在此展示防御威胁的新工具和技术。

但对于我们大多数人而言,黑帽大会是恶补网络安全知识的好机会。技术进步使得威胁格局不断发生变化。不断学习的人得以生存,而不思进取、不学习的人则被甩出一条街。

在如此短的时间内,面对这么大的信息量,如何了解大会和技术会谈的深度专业化知识?如何关注并从中提取价值?一个人又怎么能参加成千上万的展示活动呢?

以下是大多数会谈中提取的四大网络安全术语:

行为基线

我们一次又一次地目睹攻击者数月、甚至数年潜伏在组织机构的网络上不被发现。就在去年10月,与中国政府有关的网络攻击者数月来攻破三星旗下的公司 LoopPay。这样的事件提醒我们,将攻击影响最小化的最佳方法就是区分正常和异常活动。

行为基线的核心概念是理解正常行为,这样就可以察觉异常。大多数组织机构通过聘用人才和使用数据科学和自动分析机器学习的技术实现。它们将其结合并快速访问取证数据,快速识别异常互动模式并在组织机构被攻击之前检测网络攻击。



主动响应

随着组织机构在检测威胁方面更加得心应手,系统的警报数量也在攀升。这将导致安全运维中心(security operations center,SOC)经理所说的“警告疲劳”(alert fatigue)。警报太多以致没有足够的时间响应。想象一下,了解某个地区的所有森林大火,但却没有优先处理的机制以及利用有限的资源灭火。由于缺乏响应的能力,攻击往往会持续很长一段时间。就在今年夏天,美国民主党国家委员会(DNC)揭露俄罗斯黑客在它的服务器上逗留长达超过一年时,媒体与业界轰动一时。

主动响应是在组织机构环境内部一旦发现攻击便主动响应的能力。主动响应包括与二次系统通信,比如ticket系统,或包括生成ticket或收集额外的数据。此外,它还可能是配置变更,比如修改防火墙阻止与攻击者通信。主动响应可以完全自动化,也可以人工介入。主动响应的目标是使组织机构通过自动化技术充分利用人力、工艺和技术。


安全分析

识别组织机构的趋势和模式是缓解系统性问题、识别威胁的良好起点。安全分析就是多个数据源的数据分析结果。安全分析的目的在于为安全分析人员和安全经理提供可操作的知识。

攻击者通常以过时或未打补丁的系统为目标。许多工业控制系统和基础设施系统近期成为攻击者的目标,原因在于这些系统的防御无效且过时。在这种情况下,安全分析能识别易受攻击与能通过互联网访问的系统数量。这种分析推动相关组织机构采取漏洞管理办法。

另外,安全分析还包括分析数据,根据先前已知的模式发现攻击者,根据基于对等组的分析在相似的个人活动和联系内部发现异常。安全和IT团队明显需要分析帮助拓宽安全和操作见解。


公钥加密技术

对许多人而言,加密这个词让我们想到詹姆斯·邦德中的电影情节,通过令人难以置信的数学天赋破解核弹头的密码。但如今,我们每天使用成百上千次的公钥加密技术—无论是在网上购买产品、获得文件的数字签字,还是通过多因素认证系统登陆设备或网站。在受压制的国家,公钥加密技术可能是公民和异见分子交换信息的唯一方法,保护他们免受政府操纵危及安全。在很多情况下,加密技术已经成为一个备受争议的话题。

OpenSS 中的HeartBleed漏洞以及在网络安全设备中发现的多个后门让人们对大量制造商失去信任。加密技术嵌入许多软件和硬件系统,构成金融系统和医疗系统的核心。在某些情况下,加密技术已被攻击者利用,尤其,攻击者利用勒索软件对医疗服务提供商实施攻击,在此期间,攻击者加密关键数据并要求支付赎金。商业硬件和软件存在加密漏洞,甚至,恶意软件也存在加密漏洞。

所有安全从业人员了解加密技术至关重要。了解最关键的应用程序在何处,如何利用加密技术,谁负责管理密钥,你将如何在业务环境中管理下一个与加密相关的漏洞。


底线

如何组织机构与安全专业人士无法沟通,安全风险会随之提高。由于具有快速变化的特性,网络安全成为移动的目标。寄希望于组织机构的每个人与外部各方、比如合作伙伴、客户和专家是不切实际的,但理解风险能帮助组织机构在提升安全方面走得更远。

E句话:技术进步使得威胁格局不断发生变化!