• “黑帽2023”大會關注美國政府及其在應對新出現的網絡威脅，尤其是那些可能影響國家安全的網絡威脅方面所做出的努力。
• 在“黑帽2023”召開之際，AI工具正在風靡消費者世界，在各行業領域得到廣泛應用。
• MOVEit漏洞迄今已經影響全球637家組織以及3680萬到4160萬人。

廣受歡迎的網絡安全會議活動之一“黑帽2023”于8月10日閉幕。在過去的幾年，發生的新冠疫情，導致這個信息安全會議采用的是遠程的網絡會議的形式，包括去年的25周年紀念活動，今年的信息安全會議是現場活動的形式，為與會者提供了網絡安全的基本要素：協作。

研討會主要在“黑帽2023”大會的最后兩天舉辦，主要內容是支持AI的網絡安全產品和運營。此次大會關注美國政府在應對新出現的網絡威脅方面所做出的努力，尤其是那些可能影響美國國家安全的網絡威脅，例如最近曝光的網絡間諜活動。

“黑帽2023”大會恰逢AI工具風靡消費者世界之際，并在各行業領域得到廣泛應用。此次大會在發現MOVEit漏洞后不久舉辦，該漏洞到目前為止已經影響了全球637家組織以及3680萬到4160萬人。

在為期6天的會議活動中，前4天的內容主要集中在APT威脅、漏洞研究、云計算和網絡安全、威脅建模、安全自動化等方面的培訓和課程。成千上萬的網絡安全專業人士聆聽了這些培訓課程。

在黑帽2023大會的最后兩天，將培訓與有趣的活動融為一體。行業媒體從這次聲譽卓著的網絡安全會議中得出了四個關鍵結論。

1、主題演講

Azeria Labs公司的創始人Maria Markstedter對AI持樂觀態度，但在演講中建議企業謹慎行事。

Maria Markstedter是ARM漏洞開發、逆向工程、漏洞研究和網絡安全培訓服務商Azeria Labs公司的創始人，她第一個在會上發表了主題演講，其演講主題是AI(特別是AIGC)在業務中的應用。

Markstedter強調，任何新技術的變革效應都會在各個行業產生反響，人們應該期待AI也能如此。除了消費類AI工具，她認為具有不確定性行為的自主AI代理可以成為企業運營的支柱。人們必須進入一個真正自主的AI系統可以訪問的應用程序的世界里，并重新思考身份訪問管理概念。

Markstedter補充說，市場主導地位的激烈競爭可能會阻礙正常發展。由于大型科技公司已經投入了數十億美元，人們除了分析AI等技術帶來的不斷變化的威脅模型并相應地引領產品進化之外，別無選擇。

美國國家網絡總監辦公室的總監Kemba Walden做了第二個主題演講，他有些許擔憂地指出，政府部門最容易受到開源漏洞的威脅，他對開發人員沒有接受過設計方面的安全培訓感到震驚。

在8月10日舉辦的“國家網絡安全戰略和勞動力努力”會議上，Walden告訴哥倫比亞大學國際與公共事務學院高級研究學者Jason Healey，美國政府95%的技術堆棧都是開源的。

Walden在參與了美國網絡安全審查委員會關于Log4Shell漏洞的報告后表示:“我驚訝地發現，開發者社區并不一定接受過設計安全原則的培訓。”Log4Shell漏洞被編號為CVE-2021-44228，是在2021年和2022年被利用最多的漏洞之一。

2022年7月，美國網絡安全審查委員會宣布Log4Shell駐留在ApacheLog4中，這是一個基于java的開源錯誤日志記錄框架，被大量的組織使用，使其成為互聯網基礎設施的一個組成部分。Walden在會上演講時表示:“似乎在原子級別上，我們應該通過設計來實現安全性。”他補充說，像Microsoft Patch Tuesdays這樣的例行補丁不應該成為常態。

為了補充美國白宮開源軟件安全倡議，Walden宣布美國國家網絡總監辦公室、美國網絡安全基礎設施安全局，美國國家科學基金會、美國國防高級研究計劃局和美國管理和預算辦公室正在發起一項信息請求，征求關于如何加強開源軟件安全的想法。

這個信息請求將向公共和私營部門尋求建議，以長期關注和優先考慮商業、政府和軍事平臺上流行的開源軟件的安全性。

2、從俄烏沖突中得到的教訓

俄烏沖突為戰爭打開了一個新的、虛擬的維度。黑客行動主義的興起，即威脅行為者、獨立的APT組織以及為各自國家利益行事的網絡攻擊組織，與俄烏沖突的爆發不謀而合。

威脅行為者利用網絡工具從事政治或社會活動，通過以網絡資產為目標對國際對手(個人、企業、政府)造成損害。他們的行動包括虛假信息和錯誤信息活動，針對關鍵基礎設施進行攻擊，造成運營中斷等。

美國網絡安全基礎設施安全局主任Jen Easterly與烏克蘭國家特別通信與信息保護局副主席Victor Zhora討論了俄烏沖突中的網絡戰爭所帶來的的教訓。

在主題為“可以從俄烏沖突的網絡防御者那里學到什么，如何建設更有彈性的未來”的討論中，Easterly建議美國公眾做好應對類似于針對烏克蘭的網絡攻擊的準備。

Easterly告訴Zhora，“我們知道，考慮到當今的網絡狀態，連通性、相互依賴性，以及由于技術設計不安全而持續存在的漏洞。我們很可能會看到造成巨大破壞的網絡攻擊，所以我們一直在學習網絡及其運營的彈性。”

Easterly表示，美國人需要預測到威脅和破壞，并呼吁網絡安全機構之間加強協調和合作。

在談美國政府于2022年7月發起的“Shields Up”運動時，她說:“我們付出了巨大的努力來提升網絡安全。”

不過，Easterly補充說:“就我們如何應對潛在威脅而言，我沒有看到那種程度的恢復能力。”面對這些非常嚴重的威脅，我們應該團結起來。”

3、DARPA的AI網絡挑戰賽

在黑帽2023大會上，美國國防高級研究計劃局(DARPA)發起了AI網絡安全挑戰，這是一場AI網絡安全競賽，旨在確保美國關鍵基礎設施的安全。該競賽要求計算機科學家、AI專家、軟件開發人員和網絡安全專家開發AI驅動的網絡安全工具。

AI網絡安全挑戰包含以下兩個方面:

• 開放軌道(Open Track)：任何符合資格標準的人都可以參加比賽，參加比賽的選手將自籌資金。
• 資助軌道(Funded Track)：向中小企業創新研究提交提案的七家小企業將分別獲得100萬美元的資助。

美國國防高級研究計劃局項目經理Perri Adams透露，該競賽將持續兩年的時間，獎金為1850萬美元。OpenAI、OpenSSF、Anthropic、谷歌和微軟都將為AI網絡安全挑戰提供支持。

AI網絡安全挑戰的半決賽將在召開DEFCON 2024大會時舉行，決賽將在召開DEFCON 2025大會時舉行。

參加半決賽的選手將獲得200萬美元的獎金，獲得第一、第二和第三名的選手將分別獲得400萬美元、300萬美元和150萬美元的獎金。