BlackHat 2018 | 维护网络安全还需通力合作

前言

来自谷歌的“安全女王”Parisa Tabriz为本届Black Hat 2018大会带了一个战略性的议题——如何进行长远的思考以及建立开放的合作政策,在越来越复杂的网络安全领域中团结各方力量共同打击网络犯罪。

Parisa Tabriz以一袭渐变的红发亮相拉斯维加斯,这一次她带来了一个很大的议题。在网络安全领域的复杂性达到历史最高水平之际,安全研究人员、供应商、第三方生态系统以及政府应当如何达成共识,通过合作使得网络世界变得更加安全。

“女王”的观点

谷歌工程总监Parisa Tabriz表示,网络安全领域的水越来越深,玩家也越来越多,网络安全专家应当学会在利益相关者之间建立伙伴关系。

她主张采取积极主动的方法,制定可靠的长期计划,建立一套行之有效的体系和政策。让各方一同参与,整合力量以确保网络安全。网络安全从业者再也不能像玩打鼹鼠的游戏一样,问题冒出来一个就拍下去一个。呼吁大家一定要做以下三件事:

首先,要确定问题的本质,找到从根本上解决问题的方法; 其次,在推进长期项目时,要更加谨慎和稳健; 最后,要投资于全面、积极主动的防御性项目。

实例一

在确定和解决安全问题时,供应商和安全社区都需要搞清楚威胁背后的原因和结果,包括它们是如何产生和披露的。

Parisa提到了谷歌Project Zero,自2014年创建起已报告超过1400个漏洞。这是得益于她的团队采取多项重要措施积极应对软件缺陷,包括针对漏洞引入90天的披露政策。这会对应商施加压力,免得他们缺少优先解决安全问题的动力。 Project Zero的目的是加深各大厂商对网络安全的理解,并改善通知和修复策略。经过数年的行业实践,时间节点如此紧凑的Project Zero项目推动了相关技术和厂商们在制度和架构方面实现了革命性的变革。得益于此,厂商时间的透明度和互动率大大提升。根据谷歌的研究,供应商推送的安全更新频率翻了一倍,发现漏洞后推送补丁的响应时间缩短了将近40 %。

实例二

Parisa谈到的第二点是通过结构化、有条理的方式推进项目的实现,同时也要注意团队激励的建设。

她援引了谷歌鼓励网络社区从HTTP协议切换到HTTPS协议的举措,这么做的目的是加密网站流量,防止恶意软件注入和窃听。现在Chrome浏览器会将仍使用HTTP协议网站标注为“不安全”。这是谷歌对2016年推出的一系列举措稳步推进获得的成果,虽然步履不快,但是相当稳健且有成效。在推动这类影响面很大的项目时,做法一定要是渐进式和以结果为导向的。

实例三

Parisa提到的第三点是投资一些前沿和大胆的项目,这有助于全面巩固安全措施,规避一些跨界的风险。

正如Chrome在网站隔离方面所做的工作那样。谷歌最近为其Chrome浏览器引入了全新的安全措施,以抵御最近发现的幽灵漏洞变种。

总结

Parisa表示,在网络安全领域最重要的是大家站到一起,积极主动地进行交流和协作。

即使利益相关性不明确的情况下,大家也需要进行纵向和横向的信息披露,让人们参与进来。这个世界对于网络安全技术越来越看重和依赖。各个行业的人们应当更具战略性,将安全联盟拓展到网络完全领域之外的广阔天地。

*参考来源:Threatpost ,Freddy编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏重庆的技术分享区

确保业务安全的4个基本要素

最近的网络安全漏洞和攻击使得商业和技术社区在安全性方面处于动荡状态。虽然我们可能会连续数小时谈论由技术人员、小黑客组织和非常幸运的“脚本小子”发起的攻击,但同样...

1081
来自专栏腾讯技术工程官方号的专栏

腾讯计费全面开放,为你而来!

29010
来自专栏顶级程序员

现实版天眼系统,一个漏洞让小白都能追踪上亿美国人实时定位

电影中的天眼系统能够利用各种高科技追踪任何人的位置,这是美国人对于未来隐私的担忧。一家收集北美多达2亿手机用户的实时定位数据的公司,网站上出现了一个漏洞,任何人...

832
来自专栏钱塘大数据

不谈概念,物联网的10个典型应用案例

导读:很多企业仍然在进行概念验证看看物联网(Internet of Things,IoT)可以在哪些方面给他们的运营和战略带来价值,但是已经有很多物联网应用在跨...

3394
来自专栏人工智能快报

对抗恶意软件,人工智能将发挥更大作用

国外知名信息技术网站eweek.com发表文章,称人工智能将在对抗恶意软件方面发挥更大作用。 人工智能正在对抗恶意软件中发挥更大的作用。但它不是万无一失的,因为...

36110
来自专栏Python区块链

Python黑客来袭,马化腾亚洲最大的数据中心安全吗?需要马云帮?

05,09的黑客大战,黑客们用的大多是老掉牙的ddos攻击,很多人连工具都不会编写,用的多线程攻击器还是容小子之类的脚本,这反映了大多数黑客根本就没有技术可言。

48417
来自专栏罗超频道

云计算如何获得信任?认证评级

云计算的本质在于通过集中供应式的弹性计算,降低计算成本。与水厂、电厂不同的是,云计算使用者需要把数据交给云计算厂商,这让一些厂商对云计算心存芥蒂,宁愿使用一些昂...

4258
来自专栏互联网数据官iCDO

iCDO一周数据:黑客称售8万个Facebook用户信息; 人人车陷数据造假事件;工信部:12家企业用户信息保护存在问题

据BBC报道,黑客称其已经窃取和公布了至少8.1万个Facebook用户账号的私人信息。黑客称,他们总共获取了1.2亿个Facebook用户账号的细节信息并试图...

831
来自专栏腾讯云安全的专栏

腾讯云乐固成为首批通过「移动信息化可信选型」认证的安全加固服务

2234
来自专栏镁客网

「黑科技」脑洞大开!未来智能手机将植入大脑?

1768

扫码关注云+社区

领取腾讯云代金券