原标题:脸书安全长:防御性资安和多元化人才是未来20年两大资安议题
脸书安全长Alex△Stamos在第20届黑帽骇客大会。(摄影/黄彦棻)
许多资安研究员花费全部的心力,针对刁钻的零时差漏洞作研究,也有许多资安和IT人员认为,有能力破坏一个完整系统的骇客,才是真正能力高超的资安高手。
但是,对于社群媒体脸书的安全长(CSO)Alex△Stamos而言,脸书和多数企业面临的资安困境是一样的,“日常系统调校出错对企业造成的风险,其实比零时差漏洞对企业带来的风险更高。”Alex△Stamos在第20届黑帽骇客大会开场演讲中如此强调。
Alex△Stamos表示,过去20年来,各种资安攻击手法和威胁变得更多样性,要对抗如此多样性的资安威胁,也必须培育更多样性的资安人才来因应。
他不仅鼓励更多资安研究人员站出来,可以针对资安防御作更深入的研究,毕竟,“要能有效的防守,就必须要理解骇客如何攻击、如何利用各种漏洞。”他说,脸书更是提供了100万美元的网络防御奖金( Internet△Defense△Prize),希望可以鼓励更多的资安研究人员,在网络安全防御的领域上,做更多具有原创性的研究。
设定错误对企业带来的伤害远大于零时差漏洞
Alex△Stamos表示,黑帽骇客大会过去20年来,揭露了许多资安漏洞,也促进许多资安交流,但他认为,要如何面对下一个20年的资安威胁,并不是专注许多刁钻难解的攻击手法,“平常绝大多数对企业带来的伤害,往往是来自最平常无奇的简单问题。”他说。
他举例,当使用者在脸书、银行以及赌博网站上,都使用相同的帐号及密码时,只要其中一个,像是赌博网站的帐号密码遭到骇客外泄,甚至是赌博网站,直接在黑市贩售使用者帐号密码时,骇客就可以在其他网站,输入所取得的相同帐号密码,进行资讯拼图,进一步来取得使用者更多的身份资料,达到身份窃取的目的。
Alex△Stamos更直言,在黑市中,甚至会同时有十多名骇客,设法接管某一个使用者的帐号密码,更可见身份窃盗的热门程度。
Alex△Stamos表示,虽然零时差漏洞对企业带来不少实质伤害,但在现实世界的情况却是,每天都有数千人面临身份窃盗的资安威胁,这样的伤害其实远远大于零时差威胁带来的冲击。
简单的设定问题衍生的威胁,也可能远比刁钻的零时差漏洞的威胁更大,像是云端服务设定错误就是其中一例。
早在10年前就有公有云服务,很多业者利用虚拟化的技术,提供安全的公有云服务,但许多企业的IT人员却宣称:“这些云端公司带来的基础建设即服务(Infrastructure-as-a-Service)是不安全的、不利企业使用。”
实际上,Alex△Stamos认为,对于想用云端服务的企业而言,要面临的资安问题,其实是配置错误(Configuration△Mistakes)和脆弱的凭证管理(Poor△Credential△Management)议题,往往不是这些云端公司所使用的虚拟化技术的漏洞问题。但过去十年,这种“公有云服务不安全”的误解,让许多企业错失让系统上云端,可以对公司带来发展的机会;对公司资安人员而言,则是花过多心力解决被过度强调的资安议题。
虽然没有完美、百分之百安全的资安解决方案,但已有许多看来不完美的资安解决方案,仍然可以让这个世界变得比较安全,因此,Alex△Stamos认为,要解决问题最好的方式就是,不管是什么样的资安解决方案,就是打造一套标准化的作业程序,让每一个应该有的设定和步骤都确实到位,就可以发挥这套资安解决方案最大的效能。
解决资安问题,要从防御性资安研究和多元化人才下手
近年来,许多人对于有能力入侵、破坏系统的骇客,我们很容易陷入一种情境就是,认为这些有破坏系统能力的人是比较聪明的人。
但事实上,Alex△Stamos并不认同这样的观点,他指出,有能力找出系统漏洞的人,往往具有分析复杂系统的思惟和能力,但这并不意味着,有能力找出系统弱点的人,就比打造这个系统的人聪明,甚至于,当这些破坏系统的人,如果在同样的限制中,不见得有能力和打造这套系统的人一样,可以打造出这么一套完善的系统。
他也进一步表示,不论是通过企业内部或外部的沟通,都不会是因为找到更多的软件漏洞,而使得这套软件变得不安全,反而是要通过打造一套更弹性的架构、减少骇客攻击接触的介面,甚至于通过写程式的技巧,以降低软件的不安全性。
为了解决这样的资安问题,Alex△Stamos认为,要从防御以及多元性两方面下手。他表示,有好的防御一定要先懂得什么是有效的攻击,因此,不论是黑帽骇客大会或者是其他地方的发表内容,都有助于我们增进对系统的了解,可以了解系统哪边不安全,未来可以进一步打造更安全、更可信任的系统。
只不过,Alex△Stamos表示,目前防御领域的弱点和展示相关的资安研究,研究者少、相关的奖励也少,为了鼓励更多人愿意投入防御领域的资安研究,所以脸书更宣布了一项高达100万美元的奖金“Internet△of△Prize”,希望可以吸引更多人一起参与资安防御的研究。
“除了防御之外,多元化人才的问题,也是资安社群应该要共同面对的议题。”Alex△Stamos说道。他指出,资安防御不只是技术上的防御。
脸书日前,也推出一个捍卫数位民主专案(Defending△Digital△Democracy△Project),就是通过和外界的合作,来确保世界各国民主投票机制的安全性,并在美国两党及哈佛大学贝尔中心(Belfer△Center△at△Harvard△University)的合作下,和许多会员分享民主进程中,更多关键领域的分析资讯。
最终的目标就是希望,通过这样的分享机制,有助于协助这些国家、组织,进一步打造可以通过一连串和不同组织彼此之间对话的机制,借此了解并解决彼此对于安全的需求,做到直接分享相关资安资讯和内容的机制。
要实现资安产业确保安全的目标,要保护让这个世界更安全,需要更多元化、不同背景、不同思惟模式的人才,也要让他们发挥应有的潜力。
所以,脸书在资安教育课程上有大幅的投资,不仅赞助了CTF抢旗攻防赛(Capture△the△Flag)及黑客松(Hackathons),也和一些r00tz△Asylum以及CyberPatriot等年轻人的组织合作,提供更多资安基础课程和相关的体验。
除此之外,脸书也和GodePath合作,针对包括纽约市立大学、霍夫斯特拉大学、梅里特学院、密西西比州立大学、加州大学圣贝尔纳迪诺和维吉尼亚理工学院等单位,推出网络安全相关的课程,希望吸引更多学生对资安有兴趣,也会提供相关的实习机会,等他们毕业后,也会提供相关的全职工作机会给这些学生。
除了让多元化的人才可以成为下一代网络安全人才的一份子是重要的事情之外,另外一件非常重要的事情就是,也必须要设法让现在已经在资安业界和社群的人才,可以继续留下来,那就必须要能够打造一个开放并欢迎更多人共同参与的环境,让更多不同多元化人才和多元观点的人愿意留下来,并且获得应有的尊重。
Alex△Stamos表示,现在我们有机会让下一个20年发展的更好,除了发展更安全的技术确保人们过的更安全外,脸书也愿意扮演拋砖引玉的角色,让防御性的资安研究以及多元化的人才可以受到重视并获得好的发挥。
iThome△Security
相关:
近期活跃的大宗商品再次引起监管出手。中国钢铁工业协会8月11日发文,直指部分机构过度解读甚至误读去产能等相关政策。上海期货交易所也于11日连发三道通知,对螺纹钢品种实施交易限额,上调螺纹钢相关合约平今仓交易
“空气污染议题松”好空气提案竞赛结果出炉 “Greenmile”APP夺下评审团大奖
【我酷网记者萧宇廷/台中报道】为期两天的第二届“空气污染议题松”13日圆满结束,“Luft”队所提出的“Greenmile”APP创意提案,以游戏竞赛方式,计算个人日常生活所减少的碳足迹数量,鼓励实践低碳生活,获评审青睐
“空气污染议题松”好空气提案竞赛结果出炉“Greenmile”APP夺下评审团大奖
【我酷网记者萧宇廷/台中报道】为期两天的第二届“空气污染议题松”13日圆满结束,“Luft”队所提出的“Greenmile”APP创意提案,以游戏竞赛方式,计算个人日常生活所减少的碳足迹数量,鼓励实践低碳生活,获评审青睐
汇流新闻网记者黄有容/综合报道汽车产业已经迎来“电动车”、“自动驾驶”及“车联网”等新趋势,满80周年的悠久日本汽车企业丰田汽车(Toyota)为了不落后于时代,近期大动作与其他企业结盟、和趋势接轨。丰田汽车于
记者张朝福/嘉义报道为拓展国际视野,提供嘉义市学子国际教育机会,由嘉义市家长协会主办2017年模拟联合国工作坊,12日邀请市长涂醒哲担任开幕会议主席,并模拟联合国会议敲钟仪式,由市长敲响小型和平钟宣布会议正