2022年8月6日—11日，Black Hat USA 2022在拉斯維加斯拉開帷幕。作為世界信息安全行業的最高盛會，Black Hat和其姊妹會議DEF CON久負盛名，每年都會向外界持續輸送出最新的安全研究成果、創新技術以及軟硬件方面的漏洞等前沿資訊，被公認為“黑客界的奧斯卡”，成為展現網絡安全能力的最佳窗口之一。

眾所周知，Black Hat創辦于1997年，至今已經連續舉辦25屆。在今年的Black Hat大會上，來自全球的安全廠商、企業安全負責人、安全專家、政府研究人員等匯聚一堂，著眼于當下實際的安全態勢，分享前沿的安全研究、安全產品和解決方案。

其中，Black Hat主論壇從8月10日開始，各分論壇演講總計超過80場，主題涉及硬件/固件黑客攻擊、零日惡意軟件發現，以及重量級APT前沿研究等廣泛領域。一直以來，Black Hat都有著多元化的演講者陣容和編輯委員會，因此其演講內容也更加多元且寬泛。

如同去年的Black Hat大會一樣，今年一些反復出現的網絡安全主題引發了人們的濃烈的興趣，包括網絡戰、供應鏈安全、開源風險、云安全與資產漏洞管理成為焦點等成為大會的熱門話題。參會嘉賓們就以上話題展開了熱烈的討論，并給出了多種解決方案供大家參考。安全廠商們也展示了零信任、擴展檢測和響應 (XDR) 以及威脅和漏洞管理等時下極為熱門的網絡安全產品。

此外，對于網絡安全的思考也十分熱鬧：“想要跟上攻擊者的步伐，企業迫切需要現代化”；“網絡攻擊正在成為地緣政治中的新武器”；“DevSecOps開發模式正在變的越來越關鍵”等論調吸引了大量安全人員的關注。除此之外，我們還觀察到一些比較有意思的趨勢。

一、數字戰場安全態勢日益嚴峻

2022年6月，拜登政府發布了備受關注的《改善國家網絡安全行政令》，或產生深遠而復雜的影響。該行政令旨在描繪“改善國家網絡安全和保護聯邦政府網絡的新路線”，政府機構開始對其安全工作做出重大改變。

“網絡安全已經成為現代戰爭的新武器”無疑是Black Hat 及其他組織的熱門話題。與物理戰相比，網絡戰的執行成本更低且更難歸因，有安全專家指出，網絡戰將會徹底改變戰爭的模式。

Black Hat 參與者一致認為，網絡戰、虛假信息和政治干擾呈現齊頭并進的趨勢。這要求政府部門必須采取更加完善的網絡安全實踐，不僅要部署更現代化的安全產品和工具，還需要全面實施零信任概念，盡可能減少敏感數據的暴露。

在這個過程中，身份驗證和訪問管理將會發揮至關重要的作用。Yubico 解決方案架構總監 David Treece在一場演講中指出，關于抗釣魚多因素認證(MFA)的強制要求全都來自政府部門。因此缺乏MFA系統和流程的組織更容易遭受攻擊，如果政府部門不認真對待，那么將面臨巨大威脅。

SentinelOne 的首席威脅研究員 Juan Andres Guerrero-Saade 和高級威脅研究員 Tom Hegel 強調了網絡戰就在我們身邊，在俄羅斯和烏克蘭沖突中每時每刻都在上演網絡斗爭。自2022年初以來，烏克蘭一直遭受嚴重的惡意軟件攻擊，其中許多是針對衛星調制解調器和其他關鍵基礎設施。這也讓人對這些威脅感到擔憂，網絡戰很容易發展全球性的災難。

二、人是AppSec的核心影響因素

雖然自動化和集成可以消除大量企業安全手動性工作內容，尤其是使用了DevSecOps等高效的開發模式，但是無論技術如何發展，永遠也無法代替深思熟慮、直覺以及良好的判斷力。隨著網絡安全專業人員面臨的壓力與日俱增，AppSec人為因素所占的比重也在不斷增加。

網絡安全技能差距會增加不必要的風險，甚至導致安全工作陷入“倦怠”的狀態之中。Shostack & Associates 總裁 Adam Shostack 在會議中闡述了AppSec 的培訓主題，以及如何更好地為開發人員處理安全問題做準備。

這也是網絡安全行業長期存在的問題，而超過400 萬個網絡安全工作崗位的缺口進一步加劇了這一問題。Shostack在分享中討論了開發人員安全培訓的時間和成本，以及給企業組織帶來的壓力。他提出了一種結構化的學習方法，具備一定的同理心，增加了相應的工具以減少DevSecOps開發人員的壓力。

Copado 副總裁兼安全與 IT 主管 Kyle Tobener 也在會議中強調，將“人為因素”視為安全風險時，應具備同理心和同情心，而不是像對待工具那樣。Tobener認為富有同情心的方法遠比各種禁止規則更加有效，可明顯降低人為因素所帶來的影響。

畢竟哪怕企業擁有再多的安全協議，諸如“點擊網絡釣魚電子郵件中的危險鏈接”等高風險行為都會發生，只要有人參與其中，類似的風險就無法避免。有意思的是，越是嚴格的安全禁止措施實際上反而會增加此類風險，因此企業在落地過程中應提供更深思熟慮的指導方案，一起致力于降低人為影響因素所占的比重。

三、REC漏洞呈現明顯增加的趨勢

資深架構師 Dan Murphy以“遠程代碼執行 (RCE) 的興起，以及企業如何加強防御免受攻擊”為主題進行演講。他強調，REC漏洞呈現明顯增加的趨勢，同比增加18%。由于RCE 是一個直接影響的漏洞，如果不加以控制，可能會導致更具危險性的攻擊，因此生產環境中的單個 RCE 漏洞也導致整個組織面臨系統受損的風險。

盡管 RCE 在軟件開發領域并不是一個新問題，但它有時候會引發一些相當大的風險，例如曾經令無數安全人徹夜難眠的Log4Shell漏洞，讓無數公司付出了高昂的代價。這也就意味著，如果企業不抓緊時間補救，那么RCE將會成為系統中的一個定時炸彈，爆炸僅僅是時間問題。

但在實際情況中，我們也會發現，安全測試的頻率與修復代碼執行漏洞的時間之間存在很強的相關性。Murphy 指出，在定期掃描中包括動態應用程序安全測試 (DAST)，以使用真實的攻擊負載探測您的應用程序，并快速顯示哪些系統最容易受到代碼執行攻擊，是非常關鍵的。

參考來源：https://securityboulevard.com/2022/08/black-hat-2022-from-cyberwarfare-to-the-rise-of-rce/