RSAC 2019 首日概覽 | 起於安全,不止於安全(含PPT分享)
美國當地時間3月4日(北京時間3月5日),RSA 2019大會在舊金山正式開幕。首日的議題豐富,以幾大研討會為主線,穿插進行了很多活動。這些議題涵蓋人才、安全威脅、安全基礎架構、隱私與人類行為、家庭安全培訓以及女性議題等。當然,“DevSecOps Day”也是一大亮點。
層出不窮的威脅
圍繞這一大議題的演講大多聚焦2018年以來新出現或者影響比較大的網路威脅或攻擊事件,也包括一些比較獨特的研究成果。具體如下:
A. 全球網路安全博弈: 攻擊向量不斷增多,不同國家紛紛採取不同的安全策略。很多措施都受到地緣政治影響,夾雜著博弈的成分。全球網路空間安全形勢複雜,企業和個人只能儘可能採取一切有效的方式來確保安全。
B. 加密貨幣相關的攻擊 :隨著加密貨幣的興起,挖礦劫持、加密貨幣釣魚、加密錢包盜竊等攻擊如雨後春筍般出現。其中挖礦劫持以其隱祕性、易操作性以及高收益性,成為大量攻擊者的首選。過去10個月,與加密貨幣相關的流量增加了200倍。其中,能源/實業、教育(高校)這兩大領域成為挖礦劫持的重災區。全球分析發現,美國是挖礦劫持流量來源大國。而中小型企業最容易受到這類攻擊。加密貨幣釣魚則常常通過郵件、搜尋引擎廣告以及通訊類APP等渠道發起攻擊。此外,還有演講專門分析了拉丁美洲的加密貨幣情況 。拉丁美洲地區大型加密貨幣交易所集中在墨西哥、哥倫比亞、阿根廷以及委內瑞拉等國家。但由於缺乏監管、不夠穩定,該地區對加密貨幣的接受度與使用度不高,使用加密貨幣交易的犯罪分子數量也呈緩慢增長。
C. IoT安全: 基於物聯網裝置的潛在安全威脅包括DDoS攻擊、資訊洩露、挖礦、勒索、嗅探、欺詐、其他方式威脅敲詐等等,這些攻擊在過去一年中都有實際案例發生。其中,路由器依舊是最大的攻擊目標。未來一段時間,針對物聯網裝置的DDoS攻擊、挖礦、廣告欺詐等更可能頻繁發生。另外,聯網的工控裝置、醫療裝置、智慧城市、智慧門鎖等物理安全裝置都有不同的攻擊面和風險。
D. 勒索軟體 :勒索軟體出現之後,一度發展平穩,到2014年之後迎來高速增長。基於RDP的攻擊廣受歡迎,新的勒索軟體或變種也層出不窮,其相關攻擊也越來越有針對性。此外,勒索軟體即服務的攻擊模式也成為新的潮流。2016年以來,勒索軟體造成的損失逐年上升,也引起了企業與個人的警惕。面對勒索軟體,最好的方法是預防,而其中,及時備份檔案是重中之重。
E. 漏洞利用套件的發展以及攻擊向量的轉變: 漏洞利用套件的買賣最早出現於2006年,當時在暗網中售價20美元一套,還附加技術支援;隨著SaaS的普及,漏洞利用套件的售價達到了1萬美元每月。但是,隨著監管部門加大查詢與懲罰力度,大型暗網市場被關閉,漏洞利用套件的利潤減小,其熱度也開始降低。登入憑證釣魚暴力破解、Office漏洞利用工具、軟體供應鏈攻擊成為攻擊者的新寵。
其他內容還有:
基於社交網路的欺詐與操縱:以Linux蠕蟲Moose為例,分析了這類蠕蟲及相關殭屍網路發起社交媒體欺詐攻擊的過程;
應對無檔案攻擊
案例分析之資料竊取、取證與法律研究
安全基礎架構
這個議題包含了雲基礎設施安全保護、密碼學與安全、程式碼安全、常見安全框架分析、IoT安全以及身份驗證與訪問控制(IAM)。其中,身份驗證與訪問控制作為新的重要趨勢,受到了較多關注。
從1960年代至今,身份驗證不斷髮展突破。從最早只針對僱員到現在針對人、物以及相互之間的關聯;從早期的加密密碼到雙因素認證再到生物驗證以及最新的無密碼MFA驗證,無一不折射出安全行業的技術變革、安全意識轉變以及攻擊面的變化。如今,IAM的主要目標是確保正確的人或“物”出於正確的原因,能夠在正確的時間正確的地點從正確的裝置中獲取到正確的資源(應用、資料等)。
當下應對數字身份驗證風險的方法也多種多樣:
遠端身份驗證
無密碼認證
認證風險分析
聯合身份驗證與單點登入(SSO)
IDaaS(驗證即服務)
BYO-ID(自定義身份驗證)
持續認證
認證“物品”
零信任
自主驗證等
這些方法各有優劣,有些時候還需要結合使用才能發揮效果。此外,FIDO2,CTAP2,以及W3C WebAuthn 等新標準持續出爐,也給身份驗證領域帶來了新要求與參考。企業在實際選擇中,需要對相關的產品或服務進行綜合考量。
安全、隱私與使用者行為
當提及安全問題時,我們常常說“人”是無法控制的因素。這一系列議題聚焦使用者行為與使用習慣(包括利用網路和社交平臺分享資訊、軟體使用設定等)對於隱私保護的影響。常見的社交網站的使用者可以分為六種:極其注重隱私者、有選擇性地分享者、普通使用者、注重節省時間者、自我審查者、毫不注重隱私者。不同類別的使用者在使用社交網路時的習慣也各不相同。有人關注通訊錄管理、訪問控制以及聊天記錄管控,有人關注基礎和高階的應用設定,有人關注告警資訊,有人疲於遮蔽不同的聯絡人。這些行為與國人使用微信聊天以及微信朋友圈的模式也都能一一對應。不同的行為對應著不同的安全意識,也對應著不同的風險等級。由於人類行為差異,隱私保護也並非非黑即白的選擇,而是要儘可能考慮更多場景,提供更多選擇,讓使用者在不同的選擇中都能儘可能地受到保護。這對於社交網路的管理者而言,不僅是技術上的挑戰,更多是良心的拷問。當然,聯絡到國內最近發生的與使用者隱私相關的幾件事,政策法規的影響,更不容忽視。
應對人才短缺問題
人才短缺的問題一直是網路安全領域面臨的一大痛點。也許人人都想知道,到底是什麼原因導致瞭如今的局面,又能如何應對,以及這個問題對我們有怎樣的影響?
A. 為什麼會有短缺? B. 如何應對短缺? C. 短缺是誰之過?
會議上釋出的調查報告顯示,58%的組織都有空缺崗位,向網路安全人才開放。32%的企業表示他們至少要花費6個月的時間才能找到合適的人選填補空缺。短缺的原因自然也多種多樣,生源不足、薪資福利不到位、企業文化不夠包容等,這在我們之前的專題文章中也都有探討。這種窘境無法怪罪一兩個人,而是由於社會整體氛圍造成的。短時間的大幅改善也許不現實,需要無數人堅持不懈地努力推進。
同時,這系列議題也關注到安全從業者的現狀,工作壓力帶來的身心健康問題甚至會影響到工作效率。演講者甚至用了“精疲力竭”(burn out)這個詞來形容從業者的現狀。當然,放眼至全社會,人人都在不同的壓力中掙扎,有時候的確需要找到信念支撐,才能走得更遠。
家庭安全培訓
當今的兒童與青少年被各種電子產品圍繞,遊戲、社交網站、不同的APP都潛藏著誘惑與危險,對孩子的身心健康都有影響。父母的合理管控與保護對於兒童健康成長至關重要。這系列議題圍繞著家庭安全展開,演講者面向父母,提供了一些安全建議與培訓。比較有趣的是,針對這一議題,委員會還推薦了一本名為“ AppSec ABC’ s ”的書。這是專門給兒童的網路安全讀本,倒是值得一看。
DevSecOps Day
由DevOps.com 主辦的DevSecOps Day 分論壇以“DevSecOps”為主題,探討了相關政策、應用及落地。關於這一議題,委員會以Comcast 公司的成功實踐為例進行了解析,我們將在另一篇文章中具體講述。
“她”說安全
安全行業的女性很少,但也是不容忽視的力量。近些年,各大安全會議上的女性身影開始增多,她們有著獨特的演講風格與個人魅力。這一系列議題就聚焦女性演講者,探討她們的成長。這個環節,也是RSA理念的傳遞。
花絮
PPT
PPT分享分為兩部分
RSA 2019全部PPT打包下載: https://share.weiyun.com/5bv0CLX
對應議題分類線上瀏覽
安全威脅:
SEM-M03E-Lessons Learned from Running High Stakes Cybercriminal Arms Races.pdf SEM-M03K-Addressing Botnets-Global Problem, National and International Solutions.pdf SEM-M03J-Bitcoin Por Favor-Cybercriminal Usage of Cryptocurrency in Latin America.pdf SEM-M03F_Exploit Kits, Malware ROI and the Shift in Attack Vectors.pdf SEM-M03B_Cryptojacking-What’s in your environment.pdf SEM-M03G-Ransom-A Real-World Case Study in Data Theft Forensics and the Law FINAL.pdf SEM-M03L_Ransomware-The Rise, Death and Resurrection of Digital Extortion.pdf SEM-M03H-Combatting the Scourge of Fileless Malware.pdf SEM-M03C-The-Industry-of-Social-Network-Manipulation-from-Botnets-to-Hucksters.pdf SEM-M03A Putin Is Posting Social Media, Vodka and National Security.pdf SEM-M03D-Profiting-from-hacked-IoT-devices-coin-mining-ransomware-something-else.pdf
應對人才短缺:
SEM-M06_Opening.pdf SEM-M06C-The Who-Is-This-Responsibility-Yours-Mine-or-Ours .pdf SEM-M06A-The-Why-The-DEI-Dividend.pdf SEM-M06D-Release-of-Insight-Paper.pdf SEM-M06B-The-How-Retain-and-Recruit-A-Diverse-Talent-Pool.pdf SEM-M06E-Cybersecurity’s-Dirty-Little-Secret-and-Talent-Grenade-Burnout.pdf
安全、隱私與人類行為:
SEM-M01H_Humanistic-Multi-Factor-Authentication-MFA-Why-We-Dont-Use-MFA.pdf SEM-M01_Opening-Remarks.pdf SEM-M01-Security-Privacy-And-Human-Behavior.pdf SEM-M01I-Rethinking-Access-Control-and-Authentication-for-the-Home-IoT.pdf SEM-M01G-The-Quest-for-Usable-and-Secure-Passwords.pdf SEM-M01F-Privacy-in-the-Age-of-Pervasive-Cameras-When-Electronic-Privacy-Gets-Physical.pdf SEM-M01D-Making-Privacy-Personal-Profiling-Users-Privacy-Management-Strategies-on-Social-Networking-Sites.pdf SEM-M01B-Folk-Theories-of-Security-and-Privacy.pdf SEM-M01A-How-to-Infer-Actual-Privacy-Concern-From-Online-Behavior.pdf SEM-M01C-Measuring-the-Rationality-of-Security-Behavior.pdf SEM-M01E-Security-and-Privacy-Challenges-for-IoT.pdf
安全基礎架構:
SEM-M04E-Identity-and-Access-Management-Emerging-Trends.pdf
給父母的安全建議:讓家庭網路更安全
SEM-M02A-What-Kids-are-Telling-Us-about-the-Digital-Landscape.pdf SEM-M02D-Old-School-Problems-with-New-Age-Devices.pdf SEM-M02E-Panel-Q&A.pdf SEM-M02B-Psychology-of-Technology-Making-Sense-of-What-We’ve-Heard.pdf SEM-M02C-Games-Apps-and-Devices-What-Kids-Are-Using.pdf
安全創新者與企業家指南:
SEM-M05D-How to Find the Money-CrunchBase Interviews 2 Leading Venture Capitalists.pdf SEM-M05-Opening Remarks-Dave Dewalt.pdf SEM-M05B-How to Get the CISO’s Attention; WSJ PRO Interviews 2 Leading CISOs.pdf SEM-M05A-How to Start a Company.pdf SEM-M05C-How to Rise Above the Noise; Industry Expert Interviews 2 Successful Startup Marketing Executives.pdf
“她”說安全:
SEM-M07A-Dynamic-Speaking-Tips-to-Finding-Your-Voice-Overcoming-Your-Fears-and-Telling-Your-Story.pdf SEM-M07D-Take-Action-Network-Speak-Repeat.pdf SEM-M07B-Playing-to-Win-What-Makes-a-Winning-Abstract.pdf SEM-M07C-From-Abstract-to-Presentation-Diagraming-Your-Successful-Talk.pdf SEM-M07A-Dynamic-Speaking-Tips-to-Finding-Your-Voice-Overcoming-Your-Fears-and-Telling-Your-Story-Elena Elkina.pdf
*FreeBuf官方報道,轉載請註明來自FreeBuf.COM