關于2014黑帽大會的幾點觀感
責編:admin |2014-08-12 19:00:47上周我參加了在拉斯維加斯舉辦的黑帽2014大會,本屆大會真可謂熱鬧非常,所以我也想就此寫篇博文,以下是我的主要觀點:
1. 黑帽=激情。也是在這同一個會場,我還參加過多屆的Interop展會,但我感覺,Interop已變得越來越乏味而且沉悶。與之相對照的,則是黑帽大會的生氣勃勃,它的觀眾是一群很有激情的安全人士。這里充滿著能量,有很棒的演講,還有充分的知識溝通。當然,這里也有賭城特有的商業化,但是總的說來,與乏味的貿易展覽不同的是,黑帽是一個集聚人氣的社區,可以說它的活力與上個世紀90年代末期的Interop很相似。
2. 黑帽 vs RSA。上世紀80年代末,當時我還在EMC作銷售,我們的口頭禪是:“知道如何做的人,要服務于知道為何做的人。”這就是“解決方案銷售”金律,也就是要讓銷售團隊專注于那些熟悉自身的業務流程、財務狀況和預算的客戶,也就是懂得“為何做”的人,而不是只懂得處理比特和字節的客戶,也就是只知道“如何做”的人。依此類推,RSA就是一個“為何做”的會議,而黑帽大會(某種程度上DEFCON也是)則是一個“如何做”的會議。雖然有了這樣的解釋,但還是有一個差別,因為網絡安全是一個固執地想“如何做”的行業,所涉及的人群也都是那些知道如何處理比特和字節的人,或者是能探查到別人以某種惡意方式處理比特和字節的人。在我看來,這兩者是可以相互補充的。的確,我們需要既懂業務,又懂IT和安全技術的CIO[注],但我們同樣需要有著深厚技術功底、有著奉獻精神的安全實踐者。RSA關注前者,而黑帽/DEFCON則主要面向后者。
3. 安全廠商應參加黑帽大會。很多領先的安全廠商都對黑帽大會不屑一顧,一般會將其展會預算花在RSA和其他貿易展會上,這一點VMware就很不一樣。我理解廠商們的理由,但我還是要建議他們將部分預算投入到黑帽2015大會上去。為什么呢?因為黑帽大會的與會者盡管不是預算開支的決策者,但他們確實會影響到企業的技術決策,而且他們一般也都是網絡安全社區的成員。這些人知道如何選擇能夠滿足其技術要求的安全技術。而有創新能力的安全廠商也可以參加黑帽大會,將其作為一個招聘人才的渠道,而不能僅將其視為一個銷售和營銷的展會。
4. 盡管大會結束了,但我對網絡安全的擔憂卻更深了。我多年來從事安全行業,所以聽到的關于搗亂分子的戰術、技術和實踐(TTP)的事情也要比大多數人多得多。即便如此,在參加黑帽的一周里,我還是聽到了更多可怕的故事。舉例說,藍外套實驗室(Blue Coat labs)的報告稱,有6.6億部主機被感染,且只有24小時的受控壽命,也就是所謂的“一日奇跡”。你可以想象,這些主機中有很大一部分都是惡意主機,而其上短暫的壽命文件都是基于安全工具和威脅智能軟件簽名的雷達發現不了的。我還得知了很多關于“操作干酪”的事情(+本站微信networkworldweixin),它能夠改變DNS設置,并在客戶端上安裝SSL證書,攔截合法的一次性口令(OTP),從網上銀行的賬戶里盜取大量金錢。黑帽子們還喋喋不休地告訴與會者,我們的對手們不但技術高超,而且比人們能想象到的更有組織。
5. 端點安全已成為“重頭戲”。幾年前,端點安全就只意味著防病毒軟件(AV),也只是一個被少數寡頭(McAfee、賽門鐵克、趨勢科技,某種程度上還可以算上卡巴斯基和Sophos)所壟斷的市場。但是如果套用賭城的行話,那么如今,所有的賭注都押在了端點安全上。由于過去幾年間,有針對性的攻擊和數據泄露頻頻發生,企業和組織開始質疑AV的價值,并尋求可分層的端點防護。于是這個市場開始被攪亂,而黑帽大會也成了很多后進入者的端點安全演武場,這些后來者包括Bromium、思科、Crowdstrike、Digital Guardian、Druva、FireEye、Guidance Software、IBM、Invincea、Palo Alto Networks、Raytheon Cyber Products、RSA和 Webroot等,它們都在談論所謂“下一代”端點安全的需求及其產品。盡管之前的壟斷廠商還有一定的先入優勢,但端點安全正在變成一個更加開放的市場,黑帽大會上擁擠的額人群就是一個明證。
黑帽大會可以說是賭城作派、黑客風格以及嚴肅的網絡安全話題的奇妙混合體。黑帽/DEFCON雖然只是一個展會,但卻有著一股嚴肅的暗流在涌動,而這樣的暗流卻正在從其他大多數展會上消失著。
下一篇:物聯網帶來的安全威脅