• “黑帽2023”大會關(guān)注美國政府及其在應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)威脅，尤其是那些可能影響國家安全的網(wǎng)絡(luò)威脅方面所做出的努力。
• 在“黑帽2023”召開之際，AI工具正在風(fēng)靡消費(fèi)者世界，在各行業(yè)領(lǐng)域得到廣泛應(yīng)用。
• MOVEit漏洞迄今已經(jīng)影響全球637家組織以及3680萬到4160萬人。

廣受歡迎的網(wǎng)絡(luò)安全會議活動之一“黑帽2023”于8月10日閉幕。在過去的幾年，發(fā)生的新冠疫情，導(dǎo)致這個信息安全會議采用的是遠(yuǎn)程的網(wǎng)絡(luò)會議的形式，包括去年的25周年紀(jì)念活動，今年的信息安全會議是現(xiàn)場活動的形式，為與會者提供了網(wǎng)絡(luò)安全的基本要素：協(xié)作。

研討會主要在“黑帽2023”大會的最后兩天舉辦，主要內(nèi)容是支持AI的網(wǎng)絡(luò)安全產(chǎn)品和運(yùn)營。此次大會關(guān)注美國政府在應(yīng)對新出現(xiàn)的網(wǎng)絡(luò)威脅方面所做出的努力，尤其是那些可能影響美國國家安全的網(wǎng)絡(luò)威脅，例如最近曝光的網(wǎng)絡(luò)間諜活動。

“黑帽2023”大會恰逢AI工具風(fēng)靡消費(fèi)者世界之際，并在各行業(yè)領(lǐng)域得到廣泛應(yīng)用。此次大會在發(fā)現(xiàn)MOVEit漏洞后不久舉辦，該漏洞到目前為止已經(jīng)影響了全球637家組織以及3680萬到4160萬人。

在為期6天的會議活動中，前4天的內(nèi)容主要集中在APT威脅、漏洞研究、云計(jì)算和網(wǎng)絡(luò)安全、威脅建模、安全自動化等方面的培訓(xùn)和課程。成千上萬的網(wǎng)絡(luò)安全專業(yè)人士聆聽了這些培訓(xùn)課程。

在黑帽2023大會的最后兩天，將培訓(xùn)與有趣的活動融為一體。行業(yè)媒體從這次聲譽(yù)卓著的網(wǎng)絡(luò)安全會議中得出了四個關(guān)鍵結(jié)論。

1、主題演講

Azeria Labs公司的創(chuàng)始人Maria Markstedter對AI持樂觀態(tài)度，但在演講中建議企業(yè)謹(jǐn)慎行事。

Maria Markstedter是ARM漏洞開發(fā)、逆向工程、漏洞研究和網(wǎng)絡(luò)安全培訓(xùn)服務(wù)商Azeria Labs公司的創(chuàng)始人，她第一個在會上發(fā)表了主題演講，其演講主題是AI(特別是AIGC)在業(yè)務(wù)中的應(yīng)用。

Markstedter強(qiáng)調(diào)，任何新技術(shù)的變革效應(yīng)都會在各個行業(yè)產(chǎn)生反響，人們應(yīng)該期待AI也能如此。除了消費(fèi)類AI工具，她認(rèn)為具有不確定性行為的自主AI代理可以成為企業(yè)運(yùn)營的支柱。人們必須進(jìn)入一個真正自主的AI系統(tǒng)可以訪問的應(yīng)用程序的世界里，并重新思考身份訪問管理概念。

Markstedter補(bǔ)充說，市場主導(dǎo)地位的激烈競爭可能會阻礙正常發(fā)展。由于大型科技公司已經(jīng)投入了數(shù)十億美元，人們除了分析AI等技術(shù)帶來的不斷變化的威脅模型并相應(yīng)地引領(lǐng)產(chǎn)品進(jìn)化之外，別無選擇。

美國國家網(wǎng)絡(luò)總監(jiān)辦公室的總監(jiān)Kemba Walden做了第二個主題演講，他有些許擔(dān)憂地指出，政府部門最容易受到開源漏洞的威脅，他對開發(fā)人員沒有接受過設(shè)計(jì)方面的安全培訓(xùn)感到震驚。

在8月10日舉辦的“國家網(wǎng)絡(luò)安全戰(zhàn)略和勞動力努力”會議上，Walden告訴哥倫比亞大學(xué)國際與公共事務(wù)學(xué)院高級研究學(xué)者Jason Healey，美國政府95%的技術(shù)堆棧都是開源的。

Walden在參與了美國網(wǎng)絡(luò)安全審查委員會關(guān)于Log4Shell漏洞的報(bào)告后表示:“我驚訝地發(fā)現(xiàn)，開發(fā)者社區(qū)并不一定接受過設(shè)計(jì)安全原則的培訓(xùn)。”Log4Shell漏洞被編號為CVE-2021-44228，是在2021年和2022年被利用最多的漏洞之一。

2022年7月，美國網(wǎng)絡(luò)安全審查委員會宣布Log4Shell駐留在ApacheLog4中，這是一個基于java的開源錯誤日志記錄框架，被大量的組織使用，使其成為互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的一個組成部分。Walden在會上演講時表示:“似乎在原子級別上，我們應(yīng)該通過設(shè)計(jì)來實(shí)現(xiàn)安全性。”他補(bǔ)充說，像Microsoft Patch Tuesdays這樣的例行補(bǔ)丁不應(yīng)該成為常態(tài)。

為了補(bǔ)充美國白宮開源軟件安全倡議，Walden宣布美國國家網(wǎng)絡(luò)總監(jiān)辦公室、美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局，美國國家科學(xué)基金會、美國國防高級研究計(jì)劃局和美國管理和預(yù)算辦公室正在發(fā)起一項(xiàng)信息請求，征求關(guān)于如何加強(qiáng)開源軟件安全的想法。

這個信息請求將向公共和私營部門尋求建議，以長期關(guān)注和優(yōu)先考慮商業(yè)、政府和軍事平臺上流行的開源軟件的安全性。

2、從俄烏沖突中得到的教訓(xùn)

俄烏沖突為戰(zhàn)爭打開了一個新的、虛擬的維度。黑客行動主義的興起，即威脅行為者、獨(dú)立的APT組織以及為各自國家利益行事的網(wǎng)絡(luò)攻擊組織，與俄烏沖突的爆發(fā)不謀而合。

威脅行為者利用網(wǎng)絡(luò)工具從事政治或社會活動，通過以網(wǎng)絡(luò)資產(chǎn)為目標(biāo)對國際對手(個人、企業(yè)、政府)造成損害。他們的行動包括虛假信息和錯誤信息活動，針對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊，造成運(yùn)營中斷等。

美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局主任Jen Easterly與烏克蘭國家特別通信與信息保護(hù)局副主席Victor Zhora討論了俄烏沖突中的網(wǎng)絡(luò)戰(zhàn)爭所帶來的的教訓(xùn)。

在主題為“可以從俄烏沖突的網(wǎng)絡(luò)防御者那里學(xué)到什么，如何建設(shè)更有彈性的未來”的討論中，Easterly建議美國公眾做好應(yīng)對類似于針對烏克蘭的網(wǎng)絡(luò)攻擊的準(zhǔn)備。

Easterly告訴Zhora，“我們知道，考慮到當(dāng)今的網(wǎng)絡(luò)狀態(tài)，連通性、相互依賴性，以及由于技術(shù)設(shè)計(jì)不安全而持續(xù)存在的漏洞。我們很可能會看到造成巨大破壞的網(wǎng)絡(luò)攻擊，所以我們一直在學(xué)習(xí)網(wǎng)絡(luò)及其運(yùn)營的彈性。”

Easterly表示，美國人需要預(yù)測到威脅和破壞，并呼吁網(wǎng)絡(luò)安全機(jī)構(gòu)之間加強(qiáng)協(xié)調(diào)和合作。

在談美國政府于2022年7月發(fā)起的“Shields Up”運(yùn)動時，她說:“我們付出了巨大的努力來提升網(wǎng)絡(luò)安全?！?/p>

不過，Easterly補(bǔ)充說:“就我們?nèi)绾螒?yīng)對潛在威脅而言，我沒有看到那種程度的恢復(fù)能力?！泵鎸@些非常嚴(yán)重的威脅，我們應(yīng)該團(tuán)結(jié)起來?！?/p>

3、DARPA的AI網(wǎng)絡(luò)挑戰(zhàn)賽

在黑帽2023大會上，美國國防高級研究計(jì)劃局(DARPA)發(fā)起了AI網(wǎng)絡(luò)安全挑戰(zhàn)，這是一場AI網(wǎng)絡(luò)安全競賽，旨在確保美國關(guān)鍵基礎(chǔ)設(shè)施的安全。該競賽要求計(jì)算機(jī)科學(xué)家、AI專家、軟件開發(fā)人員和網(wǎng)絡(luò)安全專家開發(fā)AI驅(qū)動的網(wǎng)絡(luò)安全工具。

AI網(wǎng)絡(luò)安全挑戰(zhàn)包含以下兩個方面:

• 開放軌道(Open Track)：任何符合資格標(biāo)準(zhǔn)的人都可以參加比賽，參加比賽的選手將自籌資金。
• 資助軌道(Funded Track)：向中小企業(yè)創(chuàng)新研究提交提案的七家小企業(yè)將分別獲得100萬美元的資助。

美國國防高級研究計(jì)劃局項(xiàng)目經(jīng)理Perri Adams透露，該競賽將持續(xù)兩年的時間，獎金為1850萬美元。OpenAI、OpenSSF、Anthropic、谷歌和微軟都將為AI網(wǎng)絡(luò)安全挑戰(zhàn)提供支持。

AI網(wǎng)絡(luò)安全挑戰(zhàn)的半決賽將在召開DEFCON 2024大會時舉行，決賽將在召開DEFCON 2025大會時舉行。

參加半決賽的選手將獲得200萬美元的獎金，獲得第一、第二和第三名的選手將分別獲得400萬美元、300萬美元和150萬美元的獎金。