Google的Parisa Tabriz说,要进行真正的改变,安全行业必须挑战现状

当他们在一个日益复杂且具有挑战性的数字环境中导航时,信息安全界必须花时间思考他们所取得的进步并庆祝里程碑。

根据Google工程总监Parisa Tabriz的说法,他在今年的主题演讲黑帽子美国试图通过强调近几个月来该行业的许多成就来抵消零日的忧郁。

“我们工作的环境是复杂和相互联系的,” Tabriz说。

“要做出真正的改变,并在这样做时坚持不懈,我们需要选择实用的里程碑。我们需要朝着这些里程碑努力,非常重要的是 - 一路上庆祝。”

开朗的理由

在主题演讲期间,巴布里斯(Babriz)负责Chrome安全并监督项目零团队说,她对世界上一些最大的软件供应商的行动感到鼓舞。

她说:“我们看到了更多的安全补丁,并且在世界上依赖的软件中的响应时间更快。”“这是对最终用户安全的改进。”

巴特里斯说,一个庆祝活动的一个项目是Google正在进行的推向HTTPS和加密为标准,如上个月Chrome 68所带来的微妙但重要的UI变化所示。

在Google内的其他地方,自零项目发布以来的四年中,Tabriz表示,这家科技巨头的零日猎人的精英团队报告了1,400多个漏洞。

她说:“总的来说,零项目报告的绝大多数安全问题现在都在90天的披露期内固定。”“这是研究人员在截止日期驱动披露之前经历的25%。”

“我们当前的方法不足”

尽管Tabriz强调了庆祝行业胜利的必要性,但这可能是 - 也许不可避免地说明了对安全社区在2018年面临的无数挑战的尖锐讨论。

她说:“在过去的十年中,我们在计算机安全方面取得了长足的进步。”“还有更多的工作要做,景观变得越来越复杂,我们当前的方法不足。”

“我认为我们所有人都需要更好地理解和解决不良安全的根本原因。我们不能仅对孤立的修复程序感到满意。”

在压力之下

Tabriz说,零项目的旨在提高对进攻安全性的理解,以形成和改善防守策略。

在许多方面,随着世界领先的安全专家的召集,可以扩展此定义以适用于黑帽本身硬件)脆弱性格局,淘汰思想,并将自己的解决方案推广到日益困难的问题。beplay维护得多久

预计全球网络安全支出将超过1万亿美元在2017年至2021年之间累计。但是,与估计网络犯罪相比,这个令人jaw目结舌的人物显得苍白每年6万亿美元

这是一个在压力下的行业的想法比黑帽子更明显。

零日为弹出左右,新鲜的利用技术揭示了一个全新的攻击表面,有时很难不认为安全是一种永远不会结束的猫和鼠标游戏。

重要的是,这种压力 - 感觉“好人”永远注定要追逐一个移动的目标 - 也许比白帽子本身更敏锐。

活动的策展人并没有忽略这一点:除了数十个技术谈判外,还布置了两次会议来探索压力,倦怠,沮丧和自杀在信息安全中 - 到目前为止,该行业中的问题都太熟悉了。

白帽子,白领

在他的期间开场白在Black Hat 2018上,活动创始人杰夫·莫斯(Jeff Moss)表示,信息安全处于重要时刻。

“该行业处于'最终考试阶段。就像我们已经足够成熟了,世界活动已经赶上了我们,现在我们正在接受测试:我们是否像我们说的那样出色?”

在承担责任时,Moss并没有使软件开发人员的角色打折。

他说:“我猜想,世界上可能有20家公司可以为提高我们所有人的安全和弹性水平而做一些事情。”

除了供应商问题,(ISC)网络安全倡导总监John McCumber2安全认证和培训组织说,今年展览的核心主题之一是,需要在行业中进行更多信息共享。

“这不是一个新概念,而是多年来重复的概念,”每日swbeplay2018官网ig昨天通过电子邮件。

“对此的技术修复是简单的,明天可能会发生。手头真正的问题是,大多数组织都拥有阻碍这种开放共享环境的数据管理政策。”

麦库伯说,不幸的是,技术问题无法通过技术解决。

“A first step is to ask ourselves, ‘how do our policies align with the need for sharing information?’ Only by tackling that aspect head on will we make any real impact on how our systems and people are able to communicate to mitigate risks.”

现状

在促进结构安全改进方面,Tabriz表示,零项目决定执行一致的决定,90天披露政策是该行业的关键里程碑。

她解释说:“这消除了安全研究人员和供应商之间的历史谈判,实际上使公众以一种非常一致的方式访问了脆弱性信息。”

“毫无疑问,截止日期驱动的方法会给必须进行结构性变化的大型组织引起短期痛苦。这包括Google内部的疼痛。

“但是,这些年来,坚持这些截止日期导致供应商集会,创新和投资,以使以前没有发生结构性变革(无论是技术和组织)。”

最终,在迅速发展的威胁和脆弱性景观中,巴特里斯说,安全界应始终寻求挑战现状。

她说:“世界对安全,可靠技术的依赖正在增加。”“随着事情变得越来越互连,我们必须停止玩whack-a-mole。”