行业新闻与博客

许多网络安全挑战具有持久性，同时网络从业者必须意识到威胁规模的不断变化，包括人工智能相关问题对全球的快速影响。

Black Hat 和 DEFCON 会议的创始人 Jeff Moss 在 Black Hat USA 2023 的开幕演讲中表示：“网络安全方面发生了很多变化，但也有很多内容保持不变。”

他用这句格言提醒网络安全界，仍然成为网络头条新闻，勒索软件、分布式拒绝服务 (DDoS) 攻击和网络间谍活动也是如此。

“数字问题现在是全球问题，现在人工智能问题正在迅速成为全球问题，”他补充道。

虽然人工智能再次成为 Black Hat 讨论的前沿和中心，但该活动也反映了主导 2023 年网络安全威胁格局的其他趋势。

Infosecurity 选出了今年版本的五个亮点。

1. 对手转向基于身份的攻击

CrowdStrike 的威胁追踪报告显示，身份盗窃已成为 2023 年威胁行为者的主要初始访问方法，目前 80% 的违规行为涉及使用受损身份。

CrowdStrike 的高级情报副总裁 Adam Meyers 表示，这是由于企业安全的进步，特别是端点检测和响应 (EDR) 解决方案，这“使威胁行为者、勒索软件组织以及民族国家组织变得更加困难，为了实现他们的目标，他们需要携带自己的工具并留在某个特定的网络中而不被发现。”

6 月份被任命为 GitLab 首席信息安全官的 Josh Lemos 在 Black Hat 期间接受 Infosecurity 采访时同意 Meyers 的观点，并补充说大云（有时是多云）迁移也是这一新趋势的一个因素。“作为一个行业，我们最终已经擅长缓解一些威胁，例如勒索软件——这种威胁仍然经常发生，但没有像以前那样成功。然而，我们一直缺乏身份和数据安全。这些是我们现在应该集中努力的地方，”他说。

2. 美国政府推动人工智能自律

今年黑帽的亮点之一是人工智能网络挑战赛的意外宣布，这是一项由美国国防高级研究计划局 (DARPA) 牵头的为期两年的竞赛，旨在创建新一代人工智能驱动的网络安全工具，以保护美国关键基础设施的安全和政府服务。

虽然该计划完全由 DARPA 资助，但白宫还邀请了几家生成式人工智能公司（Anthropic、谷歌、微软和 OpenAI）参与其中，这些公司将提供他们的技术并利用他们的专业知识来帮助竞争对手。通过做出这一承诺，这些公司表明他们愿意利用自己的专业知识来实现更大的利益，这是他们在 7 月份向美国政府做出的自愿承诺之一。

今年早些时候，拜登政府宣布多家人工智能公司承诺在 DEFCON 2023 上参与对大型语言模型的独立公开评估，白宫科技政策办公室主任阿拉蒂·普拉巴卡尔 (Arati Prabhakar) 将出席此次评估。

3. 生成式人工智能：为未来做好准备

在一次内容丰富且清晰的主题演讲中，安全研究员 Maria Markstedter（又名 Azeria）解释说，当前对生成式人工智能模型的使用和滥用的担忧可能只是正在形成的冰山一角。

她认为，随着企业对将生成式人工智能集成到其工作流程中的兴趣日益浓厚，我们将迅速从使用外部人工智能驱动的聊天机器人转向开发多模式自主代理。

“然而，为了实现在业务用例中使用多模式、自主代理的愿景，组织必须授予他们对大量数据和第一方应用程序的访问权限，这意味着身份访问管理的概念必须重新评估，以及我们如何评估数据安全，”阿塞里亚说。

她的结论是，组织的威胁模型“最终将被彻底颠覆”。

黑帽公司并不回避探讨法学硕士如何被用于恶意目的的简报。

然而有趣的是，在信息安全团队参加的几乎所有人工智能演讲中，演讲者都选择以人工智能为网络安全从业者提供的机会来结束演讲。主持人显然不想让观众有世界末日即将来临的感觉。

4. 了解你的敌人：MITRE 在了解对手方面所做的努力

Black Hat USA 2023 为 MITRE 提供了一个机会，MITRE 是一家非营利组织，创建了广泛使用的 ATT&CK 框架，用于绘制威胁行为者的技术、策略和程序 (TTPS) 等，以展示他们正在开展的工作。

MITRE 的大部分重点似乎都致力于更好地了解对手。

在题为“成为黑暗骑士：ATT&CK 评估的对手模拟演示”的会议中，该非营利组织的主要对手模拟工程师 Cat Self 和 MITRE 高级网络威胁情报分析师 Kate Esprit 详细概述了他们如何模拟 BlindEagle（又名 APT-C-36）的攻击流程和 TTP，这是一种针对哥伦比亚、厄瓜多尔、智利和西班牙组织的拉丁美洲 APT。

Esprit 在会谈前接受Infosecurity采访时表示，两人希望“更好地社会化我们的流程和方法，并进行宣传，以增强其他用户的能力，并将 CTI 从业者和红队成员聚集在一起，了解他们的对手的想法。”

在另一场演讲中，MITRE 的 Mirage 团队展示了一个研究项目的结果，展示了自主的、支持人工智能的对手如何运作。

5.白帽子也很有创意

网络安全行业往往强调威胁行为者的创造力和适应性。

黑帽是一个绝佳的机会，可以展示安全研究人员和其他网络安全专业人士也具有创造力。

在一场期待已久的演讲中，荷兰咨询公司 Midnight Blue 的 Carlo Meijer、Wouter Bokslag 和 Jos Wetzels 分享了他们如何发现地面集群无线电 (TETRA) 中的多个关键零日漏洞，TETRA 是一套全球使用的集群无线电欧洲标准政府机构、警察、监狱、紧急服务部门和军事人员。

这些被称为 TETRA:BURST 的问题相对容易被利用，据报道，例如，墨西哥卡特尔成员可能会窃听警察的通话。有些漏洞没有可用的补丁。

在演讲中，午夜蓝研究人员严厉批评了欧洲电信标准协会 (ETSI) 对调查结果的反应，因为该组织淡化了这些漏洞的严重性。

在另一场演讲中，SafeBreach 的安全研究员 Or Yair 展示了他如何使用 OneDrive 加密敏感文件，而无需实际加密任何端点上的任何文件。

为此，安全研究人员开发了 DoubleDrive，这是一种完全无法检测的基于云的勒索软件，它使用 OneDrive 来加密 OneDrive 目录之外的本地文件。

DoubleDrive 可以无权限运行，并绕过诱饵文件检测、微软的受控文件夹访问和 OneDrive 的勒索软件检测，然后成功擦除 OneDrive 文件的 500 个以前版本并清空 OneDrive 的回收站，从而使文件恢复变得不可能。