Black Hat USA 2019 | 網絡安全的七大關注熱點
Black Hat USA 2019大會將于美國當地時間8月3日開幕,作為全球領先的信息安全大會,Black Hat已經步入了第22個年頭,每年大會上都會針對當下熱點網絡安全趨勢進行研討,而在大會上出現的主題和技術也常常成為引領和推動未來網絡安全發展的抓手和助力。
在這一屆大會上,與會者將關注和討論那些熱點問題與趨勢?
交通工具安全
今年,波音737 Max軟件質量缺陷事件跌宕起伏,幾經反轉之后發生了戲劇性的變化,這讓網絡安全從業人員對航空航天軟件安全性有了全新的看法和審視的思路。
今年的大會上,來自IOActive研究團隊的Ruben Santamarta將提出一個關于波音787機型軟件的漏洞研究議題,該演講將解構787核心網絡的運作原理并揭示其中的未知漏洞。這次演講無疑將成為交通工具安全議題集中的亮點。
除此之外,關于交通工具的議題還有寶馬的互聯汽車以及關鍵模塊使用的的電動機問題。
嵌入式設備安全
對于交通工具安全的研討與嵌入式設備及其固件有關,不過這兩個領域還只是本次大會上的冰山一角,屆時安全專家還會帶來更多關于嵌入式設備中軟/硬件安全的議題。
比如,來自Atredis Partners團隊的的Nathan Keltner和Dionysus Blazakis將深入揭示尚未公開的服務器組件漏洞,這些漏洞會使現代服務器面臨嚴重的網絡攻擊風險。
此外,一個獨立的二人組團隊還將詳細介紹他們如何應用藍牙LE攻擊技術接管小型物聯網(IoT)設備,最終完全取得大型連鎖酒店電話密鑰系統的權限。 關于嵌入式設備的議題是本屆大會的熱點,數量有17次之多,可重點關注。
DevSecOps和現代應用開發
經過多年的發展,現代應用程序開發的開發流程已經發生了巨變,這些變化也影響了針對性的安全研究和相關防御技術。
在本屆大會上,將會有多位安全專家深入探討安全如何跟上DevOps的推進,如何增加開源組件的使用量并增強軟件供應鏈透明度,如何更好地大規模挖掘開源漏洞來保護開發人員用來構建新軟件的云基礎架構。
容器安全
用于軟件開發DevOps和持續交付模型能夠在這幾年里走向成熟,其中的一個關鍵因素是容器和云原生技術的快速發展。容器技術為安全團隊提供了一種全新的攻擊面防護能力。不過隨著研究人員和攻擊者更加熟悉該技術,容器技術領域也將會出現許多新的漏洞和安全問題。
大會上關于容器安全的演講有2個,第一個由Brandule Edwards和來自Capsule8的Nick Freeman共同提出,議題將討論容器逃逸漏洞和如何利用漏洞進行攻擊,揭示未來容器安全將是什么樣的情境。
第二場演講由來自Heroku的Ian Coldwater和來自VMware的Duffie Cooley發起,將探討攻擊者如何利用Kubernetes中的功能以及從業者和整個行業需要做些什么來加強該極受歡迎的容器框架。
身份驗證安全與提權
如果訪問管理是安全防御的核心,那么反過來說就有理由認為它也是許多攻擊技術的核心目標。因此,大會上將有來自不同團隊的專家對涉及破壞身份驗證并進行提權的情形從各個角度進行講解。
比如來自Micro Focus Fortify的Alvaro Munoz和Oleksandr Mirosh將深入研究威脅單點登錄安全性的主要漏洞。 來自Preempt的Marina Simakov和Yaron Zinar計劃展示在Active Directory中發現的幾個新漏洞,包括一個尚未公布的零日漏洞,能夠讓攻擊者能夠接管域中的任何設備,即使這些設備經過詳細配置且部署了高強度的簽名機制。
此外,來自騰訊安全團隊的Yu Chen和Bin Ma將帶來繞過現有生物識別安全解決方案的新思路分享,包括支付軟件使用的面部和聲紋識別漏洞。來自同一團隊的Wenxu Wu還將就Windows 10中定位文件提權漏洞的新方法進行討論。
政治生態安全
在去年的Black Hat和DefCon大會上,安全專家揭示了選舉活動面臨的安全問題和產生的結果,引起了巨大的爭議與反向。今年大家的關注點將更進一步,深入挖掘技術與社會問題之間的關系,就在線宣傳和政治顛覆問題會有一一系列非常有趣的討論和研究。
例如,來自美國特種作戰司令部的Pablo Breuer和來自某未署名社交網絡的David Perlman,將圍繞他們為觀察技術對社會運轉的影響而創建的框架展開討論。
同時,為了更廣泛地分析當前的政治和社會面臨的風險,著名安全技術專家Bruce Schneier將登上講臺,討論與公共利益密切相關的技術現狀。
深度偽造技術
隨著人工智能技術的快速發展,社會與政治層面面臨的風險繼續增加,對于以“Deepfake”為代表的深度偽造技術的濫用將造成很嚴重的后果,網絡安全領域的專家和學者也已經開始探索這些領域。
來自GSI Technology的George Williams將詳細介紹使用Mice技術區分真實和假冒語音的研究。
來自ZeroFOX的Mike Price和Matt Price將探討如何在網上創建和使用深度偽造視頻。同時他們還將推出一款新的工具,用于深度偽造技術的進攻性和防御性研究。
