2015安全夏令营:黑帽、DEF CON和bsidelv三大主题

分析师:斯科特克劳福德



宝贝，你可以开我的车:汽车曝光和安全的“东西”

在领先的最大噪音中，达到本周的最大噪音，是闯入汽车控制系统的能力。没有少量的宽敞，研究人员Charlie Miller和Chris Valasek在黑帽前几周内执行了由有线记者和yy Greenberg驱动的吉普切诺基的各种控制系统的过空中妥协。

该法案（或特技）捕获了主流媒体的注意，并附上两种类似演示的会议预览：Samy Kamkar的Ownstar，一个小型设备拦截与通用Motors OnStar Remotelink应用程序的通信这允许未经授权的用户定位，解锁或启动通用车辆;和Marc Rogers'和Kevin Mahafafey的Tesla模型的演示会导致类似的控制水平。所有这些示范都计划为拉斯维加斯安全会议：米勒和瓦萨克为黑帽子;kamkar's，rogers'和mahaffey for def con。这些示威活动进一步追随今年克里斯·罗伯特的商业航空公司娱乐系统利用的报道，据称在一个案例中获得了飞机发动机的控制，使飞机短暂地“飞侧面”。

这并不是说“事物”之间的妥协以前没有被证明过。Miller和Valasek此前曾向《Wired》记者展示过福特Escape和丰田普锐斯系统的漏洞，而胰岛素泵和起搏器的黑客攻击至少自2011年以来就在之前的黑帽大会上被展示过，还有“智能仪表”系统和其他环境控制系统的漏洞。针对plc(可编程逻辑控制器)的著名Stuxnet攻击至少可以追溯到2010年。

关于今年的示威活动是什么意思在吉普车和Onstar案例中，他们在大型无线控制系统中利用漏洞，可以禁用整行车辆。有问题的“大规模无线”平台可能没有故意由制造商与汽车控制相连，但研究人员能够在克莱斯勒的UCONNECT或通用汽车的漏洞中枢转到汽车的车载控制功能中的脆弱性赋予了实际情况的区别。在某些情况下，研究人员还涉及访问无线控制功能的移动应用，引入混合中的另一个威胁向量。

由于这类漏洞利用的广泛潜力，今年的示威可能已经标志着意识，了解对弥补日常生活多个面部的“智能”系统的日益增长的世界的安全挑战的认识。在一个单独的聚光灯报告中，451 Research高级信息安全分www.yabo11vip.com析师Adrian Sanabria讨论了这些漏洞的含义，这些漏洞的影响以及他们对不传统上被认为是以中心的行业的意义，但现在必须掌握挑战的挑战信息安全专业权。

我们是政府，我们在这里提供帮助

在维加斯安全周之前的几个月里，有一个话题得到了大量讨论，那就是寻求分享工具和发现的调查人员之间的关系，以及政府在这些努力中扮演的角色。

在威胁情报分享中，政府在很大程度上是一个支持者。美国政府在二月份推出了一个新的网络威胁情报集成中心，旨在为政府和私营行业提供威胁情报的局灶性储存库，并签署了一项行政计划，以鼓励私营部门组织以及私营部门之间的威胁情报分享。和政府。但是，许多安全专业人士多年来争辩，Äì并继续争论，Äì政府在私营部门内的情报分享和私人部门组织的强大倡导者，仍然没有足够的实际分享政府对私营行业的智力。

涉及研究工具的分享，政府和相关组织最近在安全专业人员之间激动了争议。对瓦森尔安排（WA），41国的多边出口管制组织的安全研究的影响是今年讨论的讨论主题，继续关注行业范围的讨论可能是陈述美国工业和安全局(BIS)打算采用2013年WA协议，对WA所谓的“入侵软件”进行出口控制。从独立的安全研究机构到谷歌甚至黑帽子组织美国政府本身就谴责了这一举动，指出西澳政府对入侵软件的定义含糊不清，以及对加强信息安全的研究可能产生的影响。451研究公司的信息安全分析师丹·瑞伍德在今年DEF CON大会的重点报道中详细报www.yabo11vip.com道了上周在拉斯维加斯举行的这次讨论。

安全市场的变化性质

比任何特定话题更普遍的是维加斯会议反映安全日益商业化的方式。黑帽和DEF CON最初都是为安全研究人员组织的活动，特别是那些专业知识在于教育防御者如何攻破防御的人员。如今，商业供应商的出现已经达到了许多人将拉斯维加斯周称为“夏季RSA”的程度。黑帽供应商博览会的地板在最近几年有了很大的增长，现在实际上与任何其他主要的供应商导向的会议没有区别。如今，证券市场的创业资金已达到九位数，这并不令人意外。

这也称之为防守者在这些会议中的影响越来越大，或者至少是对威胁情景的响应的确认，与攻击的证明同样重要（如果不是更多的）。本识别的一部分也可能源于安全市场的基调的另一个变化。过去，合规是许多安全买家的主要目标。他们可能已经使用遵守作为杠杆作用，以获得他们想要做的预算，但作为一个主要驾驶员遵守支出的遵守现在在很大程度上给予了一个认可，而组织确实需要更安全。近年来，安全支出和成功的违规行为都有成长。尽管存在安全性，但对手不断寻求规避防御和捍卫者的反应，但组织期望看到他们的安全投资中受益。持续违规促进了这一期望的酒吧。

组织在使自己更安全方面所面临的挑战是日益缺乏具有安全专业知识的人员。供应商和企业现在都在争夺一个稀少且不断缩小的人才库。技术供应商认为他们自己通过自动化操作任务和扩展分析能力的技术为解决这个问题做出了贡献。近几个月来，安全分析总体上已经成为市场上更加活跃的一个方面，利用数据分析的兴起，通过机器学习、异常检测和行为建模等先进技术，为安全意识和更有效的防御打开了新的大门。

然而，与此同时，这些技术也带来了风险，它们可能会让人才短缺变得更加痛苦。组织已经被大量的数据压得喘不过气来，经常发现他们需要的证据被隐藏在信息中，他们既无法分析，也无法迅速采取有效行动。要想真正帮助组织应对人员短缺和数据过载的问题，新兴技术必须:

-通过指导安全专业人员获得快速有效响应所需的最有意义的洞察力，帮助开发技能。

- 同时，保留数据主体，使得更高技能的调查人员能够在条件令的情况下搜索尚未发现的证据。

- 最重要的是，这些技术必须导致结果。分析仅在不会导致行动时贡献噪音。因此，应该预期决定支持或具体结果的方式，应预计会有更多有利的买家听证会。

事实上，这是安全会议的方向，如此应该自己。希望这些市场的变化指标也表明，在拉斯维加斯安全夏令营所看到的趋势中，保护趋势的趋势日益增长，使防守者能够有效，而不是简单地展示技术如何被破坏。

----
Scott Crawford是451次研究中信息安全实践的研究总监，在那里他领导信息安全市场中新兴趋势，创新和中断的覆盖范围。www.yabo11vip.com在加入451之前，众所周知的行业分析师涵盖信息安全，斯科特的背景包括作为供应商和信息安全从业者的经验。在IBM，Scott引导提供策略和开发，主要关注IBM安全服务的安全智能。yabo07他是奥地利维也纳综合禁止禁止条约组织（CTBTO）国际数据中心的前CISO，在那里他开创了为150多个国家提供的非政府组织（非政府组织）的安全政策和架构的实施。他的经验包括来自私人和公共部门的领先组织的系统和安全管理，从艾默生到大学公司大气研究的博尔德大气研究，科罗拉多州专注于地球物理和气象数据的收集，管理和分析。