2017年7月21日-28日有幸在高温假期间参加了网络安全界的世界三大会议之一Black Hat，但由于工作原因没有继续参与后续的DEF CON。Black Hat并不像其名字所表达的，其实更注重安全防御的议题，这一点从会后笔者对议题分类的统计上也可以有所体现。没有想象中有许多0day发布，而DEF CON则更多讨论如何挖掘漏洞从而入侵一些设备和系统，是为黑客人士和安全研究者准备的聚会。 被称为“安全军械库”的Black Hat Arsenal是会议的一大特色，只有顶尖和创新的安全工具才能在展台展出，其中不乏经典强大的Web渗透测试工具Burpsuite，也包括360车联网汽车总线安全工具CAN-PICK、探测处理器弱点的Sandsifter、能够伪装恶意Android应用的AVPASS、自动化渗透测试的GoFetch、能够创建恶意Windows更新的WSUSpendu等。 大会的Briefing部分是参会重点，主旨演讲由Fackbook CSO（首席安全官）Alex谈安全社区应该具有“为人民服务”的社会责任，同时广大网络安全专业人士应拓展其在多个领域的角色职能，不应该只是抱怨用户缺乏安全意识，并应该用技术手段去解决基本的安全问题，比如安全配置、补丁更新等，创造安全的环境。联想到阿里、腾讯等云服务提供商也正在为租户提供不断加固的镜像系统为租户的安全赋能，不失为一种承担起安全责任的表现。同时他也谈及攻防双方工作差异、成就感等问题，正如国内安全公司分析，存在安全防御研究人员逐渐向攻击研究人员倾斜的问题。Alex提到“是不是可以像发现漏洞一样，庆祝和奖励防御性的研究？”所以，安全测试评估作为防御体系的一个环节，也应该发挥其应有的作用并得到鼓励，并从而形成良性循环。根据中心所服务的国内某大型互联网企业的反馈，他们甚至认为测评过程比国外的IT审计还要务实，并鼓励我们走向国际。这正是对测试评估发挥其作用的认可和褒奖。 Black Hat的议题多达100多个，无法一一遍历，结合参加的议题，列举部分个人体会： 01 —— 保持开放性思维不断接纳创新的安全研究趋势和成果 —— “Moving forward with machine learning for cybersecurity”——正如前两年业界热衷用大数据去分析网络安全，如今也同样开始用机器学习、人工智能来研究网络安全攻防，这就要求我们要拥抱变化，用开放、学习的思维不断接纳新的安全研究趋势和成果，拓展安全保障手段。会上多位演讲者谈到如何利用机器学习和人工智能加强攻击与防御活动，比如：《机器VS机器：如何绕过基于机器学习的恶意软件检测》，“防”用机器学习分析“攻”，“攻”用机器学习分析如何绕过基于机器学习的“防”，攻防博弈之间体现了攻防双方都在试图利用Machine Learning或Artificial Intelligence取得优势。此外，会不会出现通过特征匹配，基于机器学习尝试绕过已有防护机制，自动选择攻击路径进行漏洞检测、渗透测试与取证的所谓“神器”级产品，我们拭目以待。 安全事件和态势可视化近两年以各种“地图炮”进入大家的视野，目前实践来看，从镜像流量中分析木马行为和APT攻击有不少成功的案例。会议上出现了利用3D虚拟现实（VR）技术分析网络安全的创新案例，试想网络安全管理人员可以通过VR头盔，身临其境穿梭于模型化的IT资产之间，观察发生的数据流、木马行为、受攻击情况，安全态势感知会不会变成一件很酷的事情？原理上并不复杂，将网络流量镜像下来索引并进行重现，ProtectWise公司把网络攻击的展现形式从平面数据流向图变成了3D虚拟现实场景，很类似国内永信志诚等一些安全公司在构建的3D网络攻防场景 02 —— 通过实际模拟场景筛选出“靶向” 问题人员进行安全意识教育  ——

人的因素依然是网络安全链中最薄弱的一环，人员安全意识映射到会议上是human factors类别里讨论较多的电子邮件安全。笔者日常也收到过“改密码”类的钓鱼邮件，甚至有些还附有勒索病毒附件，利用的就是用户缺乏安全感和好奇心，稍不留神没有戒心就容易中招。简单说教式安全意识教育已不足以抵御目前的邮件威胁。笔者结合近几年的网络安全保障工作和用户求助情况也发现，邮件系统成为攻击者和渗透测试人员的常用突破口之一，也是成本低收效高的一种途径，通过弱口令、默认口令、邮件系统固有漏洞、社工库撞库、钓鱼攻击、附件投放病毒或勒索软件、网络嗅探等，突破安全防护，获取邮件中敏感运维信息，从而发起进一步攻击。大会上针对电子邮件攻击的议题包括Symantec安全响应负责人演示了攻击者如何利用机器学习模型提升商务电子邮件攻击的成功率、Stripe的高级研究员从一个真实钓鱼攻击案例来谈如何通过加强认证防范钓鱼攻击。 鉴于目前的安全形势和新的攻击手段，我们也逐步在创新测评方法，在用户授权的基础上，通过群发可控的钓鱼邮件、可控的钓鱼二维码、办公区休息区内放置可控“恶意USB设备”、“恶意鼠标键盘”等方式，通过抽样与统计研究模拟场景下的用户行为，基于量化的思路利用实战的模拟场景评价一个单位真实的人员安全意识，做法非常类似大会议题“Real humans, simulated attacks: usability testing with attack scenarios”，也和“Why most cyber security training fails and what we can do about it”有过类似的思考，并尝试有所改进。通过实际模拟场景筛选出“靶向”问题人员，让员工真实体验到受害者当时的心态特征和心理活动，可以比大范围普及性的安全意识教育产生更好的效果。 03 —— 以工业控制系统为代表的关键信息基础设施 面临更广泛关注与威胁 —— 工业控制系统的安全到哪里都是热点，加上乌克兰电网屡次瘫痪事件的案例，能源互联网安全的关注度一直不减，也一直是特定背景安全攻击组织的重要打击目标。塔尔萨大学安全研究员Jason Staggs分享了《攻击风力发电场的一次冒险》，他历时2年通过对在美国境内的多座风力发电厂进行实地分析，分析IEC 61400-25通信协议，发现了包括供应链中设计方案缺陷、实施过程漏洞给风力涡轮机PLC以及OPC服务器造成的安全隐患，同时提供了相关安全漏洞的POC验证工具。ESET的Ben Miller通过对乌克兰电网2015和2016两年断网事件相关的恶意软件技术分析，提出该恶意软件可以通过简单修改，重新影响欧洲各地电力网络，但幸好目前具有可行的防御方案。纽约大学Anastasis Keliris的团队则认为，对于电力系统网络的攻击不仅仅来自有国家背景的组织，通过网络公开获取的信息，也可以建立攻击目标电力系统的模型，并展示了通过通用Electric Multilin产品中发现的关键漏洞进行特权操作、随意断开电网、锁定操作员以延长攻击时间，可行的缓解措施主要是特定固件更新。 04 —— 通过补偿性措施抑制网络安全的“破窗效应” —— 议题“Zero Days, Thousands of Nights”通过2002-2016年的漏洞研究，揭示了0day漏洞和其利用的生命周期，发现70%以上的漏洞利用程序在1个月以内被开发出来，一些漏洞会被不同组织在不同时间段内发现，一年内被重复发现的比例约为5.7%，3个月内被重复发现的比例约为0.87%。关于漏洞生命周期的讨论，很容易让人映射到一个社会学理论——“破窗效应”，仓库破碎的玻璃如果不被及时修复将逐渐有更多的玻璃被打破，信息系统的漏洞犹如被打破的窗户，如果没有及时修复，预示着系统处于无人防护的状态（这里不考虑蜜罐系统），将会有更多的攻击者入侵系统进行破坏，打破攻防的平衡。当年“心脏出血”漏洞爆发时，知道创宇ZoomEye的漏洞生命曲线让人印象深刻，业界的“新安全观”也强调“理性的人和组织，寻求的安全体验不是系统安全无忧，而是寻求系统没有缺陷或更少的缺陷。没有不存在漏洞的系统好比没有完全健康的人体，发现问题及时修补才能保持相对安全”。“天下武功，唯快不破”,攻防双方的信息和力量不对称导致防守一直处于被动，在大多数的环境中，只有缺陷修复速度比攻击者利用的速度快，才能处于相对安全的状态。 以上只是参会期间及会后根据所见所闻的一些体会，希望对读者的工作有所启示，有不足之处欢迎讨论指正。

——中国电科十五所-信息产业信息安全测评中心 刘健 张益