上周我參加了在拉斯維加斯舉辦的黑帽2014大會，本屆大會真可謂熱鬧非常，所以我也想就此寫篇博文，以下是我的主要觀點(diǎn)：

[[117926]]

1. 黑帽=激情。也是在這同一個會場，我還參加過多屆的Interop展會，但我感覺，Interop已變得越來越乏味而且沉悶。與之相對照的，則是黑帽大會的生氣勃勃，它的觀眾是一群很有激情的安全人士。這里充滿著能量，有很棒的演講，還有充分的知識溝通。當(dāng)然，這里也有賭城特有的商業(yè)化，但是總的說來，與乏味的貿(mào)易展覽不同的是，黑帽是一個集聚人氣的社區(qū)，可以說它的活力與上個世紀(jì)90年代末期的Interop很相似。

2. 黑帽 vs RSA。上世紀(jì)80年代末，當(dāng)時我還在EMC作銷售，我們的口頭禪是：“知道如何做的人，要服務(wù)于知道為何做的人。”這就是“解決方案銷售”金律，也就是要讓銷售團(tuán)隊(duì)專注于那些熟悉自身的業(yè)務(wù)流程、財(cái)務(wù)狀況和預(yù)算的客戶，也就是懂得“為何做”的人，而不是只懂得處理比特和字節(jié)的客戶，也就是只知道“如何做”的人。依此類推，RSA就是一個“為何做”的會議，而黑帽大會(某種程度上DEFCON也是)則是一個“如何做”的會議。雖然有了這樣的解釋，但還是有一個差別，因?yàn)榫W(wǎng)絡(luò)安全是一個固執(zhí)地想“如何做”的行業(yè)，所涉及的人群也都是那些知道如何處理比特和字節(jié)的人，或者是能探查到別人以某種惡意方式處理比特和字節(jié)的人。在我看來，這兩者是可以相互補(bǔ)充的。的確，我們需要既懂業(yè)務(wù)，又懂IT和安全技術(shù)的CIO[注]，但我們同樣需要有著深厚技術(shù)功底、有著奉獻(xiàn)精神的安全實(shí)踐者。RSA關(guān)注前者，而黑帽/DEFCON則主要面向后者。

3. 安全廠商應(yīng)參加黑帽大會。很多領(lǐng)先的安全廠商都對黑帽大會不屑一顧，一般會將其展會預(yù)算花在RSA和其他貿(mào)易展會上，這一點(diǎn)VMware就很不一樣。我理解廠商們的理由，但我還是要建議他們將部分預(yù)算投入到黑帽2015大會上去。為什么呢?因?yàn)楹诿贝髸呐c會者盡管不是預(yù)算開支的決策者，但他們確實(shí)會影響到企業(yè)的技術(shù)決策，而且他們一般也都是網(wǎng)絡(luò)安全社區(qū)的成員。這些人知道如何選擇能夠滿足其技術(shù)要求的安全技術(shù)。而有創(chuàng)新能力的安全廠商也可以參加黑帽大會，將其作為一個招聘人才的渠道，而不能僅將其視為一個銷售和營銷的展會。

4. 盡管大會結(jié)束了，但我對網(wǎng)絡(luò)安全的擔(dān)憂卻更深了。我多年來從事安全行業(yè)，所以聽到的關(guān)于搗亂分子的戰(zhàn)術(shù)、技術(shù)和實(shí)踐(TTP)的事情也要比大多數(shù)人多得多。即便如此，在參加黑帽的一周里，我還是聽到了更多可怕的故事。舉例說，藍(lán)外套實(shí)驗(yàn)室(Blue Coat labs)的報(bào)告稱，有6.6億部主機(jī)被感染，且只有24小時的受控壽命，也就是所謂的“一日奇跡”。你可以想象，這些主機(jī)中有很大一部分都是惡意主機(jī)，而其上短暫的壽命文件都是基于安全工具和威脅智能軟件簽名的雷達(dá)發(fā)現(xiàn)不了的。我還得知了很多關(guān)于“操作干酪”的事情(+本站微信networkworldweixin)，它能夠改變DNS設(shè)置，并在客戶端上安裝SSL證書，攔截合法的一次性口令(OTP)，從網(wǎng)上銀行的賬戶里盜取大量金錢。黑帽子們還喋喋不休地告訴與會者，我們的對手們不但技術(shù)高超，而且比人們能想象到的更有組織。

5. 端點(diǎn)安全已成為“重頭戲”。幾年前，端點(diǎn)安全就只意味著防病毒軟件(AV)，也只是一個被少數(shù)寡頭(McAfee、賽門鐵克、趨勢科技，某種程度上還可以算上卡巴斯基和Sophos)所壟斷的市場。但是如果套用賭城的行話，那么如今，所有的賭注都押在了端點(diǎn)安全上。由于過去幾年間，有針對性的攻擊和數(shù)據(jù)泄露頻頻發(fā)生，企業(yè)和組織開始質(zhì)疑AV的價(jià)值，并尋求可分層的端點(diǎn)防護(hù)。于是這個市場開始被攪亂，而黑帽大會也成了很多后進(jìn)入者的端點(diǎn)安全演武場，這些后來者包括Bromium、思科、Crowdstrike、Digital Guardian、Druva、FireEye、Guidance Software、IBM、Invincea、Palo Alto Networks、Raytheon Cyber Products、RSA和 Webroot等，它們都在談?wù)撍^“下一代”端點(diǎn)安全的需求及其產(chǎn)品。盡管之前的壟斷廠商還有一定的先入優(yōu)勢，但端點(diǎn)安全正在變成一個更加開放的市場，黑帽大會上擁擠的額人群就是一個明證。

黑帽大會可以說是賭城作派、黑客風(fēng)格以及嚴(yán)肅的網(wǎng)絡(luò)安全話題的奇妙混合體。黑帽/DEFCON雖然只是一個展會，但卻有著一股嚴(yán)肅的暗流在涌動，而這樣的暗流卻正在從其他大多數(shù)展會上消失著。(波波編譯)