绿盟科技 CTO 赵粮：我在 BlackHat 现场，看到了这些干货

本篇文章2122字，读完约5分钟

《雷锋》的编辑。美国时间7月22日至7月27日，黑帽会议在美国拉斯维加斯举行。全世界的黑客都被信息安全行业最负盛名的会议所吸引。安保人员对这些演讲有什么看法？他们最关心的是什么？雷锋。(公开号码:雷锋。一些去拉斯维加斯的安全公司的专家邀请他们对最引人注目的演讲进行分析和评论。

本文作者:赵亮，NSFOCUS首席技术官。

一，安全实践中的攻防博弈

士兵，诡辩也！然而，如何做到“不正当”？陶在哪里？进攻方和防守方是理性的还是非理性的？它是零和、次和还是双赢？美丽的演讲者凯利分享了她对博弈论在安全实践中应用的研究。

将博弈论引入网络安全理论和实践的尝试已经进行了很多年，但应该说是失败的。凯利认为博弈论中著名的纳什均衡是建立在先验推理的基础上的，并且假设博弈中的许多参与者都是理性的独立决策者并且相互理解，但是这些假设在网络安全的实践中是无效的。Kelly认为网络安全具有以下特征:永不停止、非零和、不完全、不完善和玩家之间的信息不对称，玩家之间的行为是连续和动态的。考虑到上述特点，试图从他人的角度审视自己的处境，预测他人的行动计划并决定自己的行动计划是正确和合理的。

对于防御方来说，首先考虑攻击者将绕过防御的位置、目标行动是什么、实施攻击的成本有多高以及实施攻击的概率有多高...一般来说，可以假设攻击方总是选择成本最低的攻击路径。反复重复上述动作，攻击路径图可以制作如下。

将形象扩展到整个企业组织，并保持作业可概括如下:

1.进攻方最想要什么资产？攻击者想要你的哪些资产？

2.攻击方获取哪些资产的最简单方法是什么？攻击者获取这些资产的最简单方法是什么？

3.这些路线上有什么保护措施？这条路上有什么对策？

4.有了这些保护措施，进攻方有了什么新的路径？给定#3，攻击者将采取什么新路径？

5.重复上述步骤1-4，直到用尽已知的攻击手段。重复第1-4步，直到“连续第0天”

6.为每条路径分配粗略的概率

基于以上分析，凯利建议用户要求渗透测试服务提供攻击树分析，选择的攻击路径和选择相应路径的原因。

利用进攻方和防御方之间的信息不对称，破坏了攻击者的信息调查企图，从而增加了攻击者的成本，延缓了攻击者的进攻行动，甚至阻止了攻击。在这种策略下，各种伪造的环境变量，帐号，横幅，令牌，返回电子邮件等。可用于“欺骗”攻击方，并为防御方提供检测攻击方行为的手段。

这是一份精彩的报告。

但是，应该指出的是，各种“欺骗”手段对维护者来说不是免费的，而是可能非常昂贵。it应用系统和安全系统日益复杂，需要更强的软件定义、服务安排、脚本能力、数据分析能力等。，否则，可能会造成“儿童玩大刀子”的效果，降低安全防护效果。

在2014年的一次分享中，作者借用了三体理论中的怀疑链假说，指出对于广谱攻击，通过降低攻击的自动化程度，可以避免成为一个下垂的果实。对于有针对性的攻击，可以使用各种“欺骗”手段来提高攻击和防御的“嫌疑”，增加自身的“独特性”，即达到延缓和阻止攻击的目的。

第二，扣篮很有价值，大宗价格更高

另一个令人印象深刻的演讲是由脸书首席安全官亚历克斯做的。

在过去的几年里，apt先进的持续威胁、零日攻击和复杂的pwn破解竞赛占据了许多媒体的头版，眼球和掌声被不礼貌的措施所吸引，如新的漏洞挖掘和未知威胁发现。另一方面，各种数据显示，企业和组织中的大多数安全事件来自传统项目，如帐户密码补丁，而数亿个恶意软件背后的攻击最多每年集中在几十个已知的漏洞上。新发布的国家科学基金会科技安全观察报告也用真实的监测数据证实了这一事实。这不禁给这个行业带来了深刻的思考。

在alex的金字塔开始时，他强烈呼吁业界更多地关注“基本技能”，将重点从0天和有针对性的攻击扩展到金字塔的中部和底部，并呼吁安全团队(包括安全提供商的团队)承担更广泛的安全责任，关注并解决各种基本的滥用和误用，以更有效和高效的技术手段为用户创造一个真正安全、易用的应用和互联网环境，而不是指责或抱怨用户缺乏安全意识和不遵守安全规则。

在进攻和防守之间，亚历克斯认为进攻方更注重技术，只要技术上“受到打击”，它就会打出一首胜利的歌，而防守方需要考虑广泛的保护战线、平衡的技术、资本、人力资源以及各种政治和冲突。在演讲中，亚历克斯提醒安全研究人员不要因为开发人员发现了他们的漏洞而轻视他们。真正的安全研究人员应该发现问题，帮助开发人员解决问题，使应用程序更加安全。亚历克斯提到，多元化的团队、多元化的思维和多元化的背景将有助于维权者思考、规划、设计和构建更全面的保护体系，并有助于改善用户体验和真正的安全水平。

亚历克斯呼吁业界更多地关注维权者的研究和改进，并呼吁社区和商业组织加强合作。为此，facebook参与设立了互联网防御奖，以奖励为改善互联网和共享软件的安全保护做出贡献的研究人员。

让互联网更安全是每个安全公司的使命。如何以更有效、更高效的方式解决这些看似传统、基本、重复甚至枯燥的“作业”，使安全性更易于使用，并消除每天发生在用户周围的威胁，就像复杂的破解一样令人兴奋，充满挑战和机遇。

雷锋专家手稿。严禁转载。

雷锋的特别贡献。严禁擅自转载。详情请参考转载说明。