近日,Black Hat USA 2022在拉斯维加斯落下帷幕。
作为世界信息安全行业的最高盛会之一,Black Hat每年持续向外界输送出最新的安全研究成果、创新技术以及软硬件方面的漏洞等前沿资讯,成为展现网络安全能力的最佳窗口之一。
Black Hat创办于1997年,已连续举办25届。本次Black Hat,来自全球的安全厂商、企业安全负责人、安全专家、政府研究人员等集聚“赌城”,针对当下实际的安全态势,分享前沿的安全研究、安全产品和解决方案。
Black Hat主论坛从8月10日开始,各分论坛演讲总计超过80场,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。
一直以来,Black Hat因其多元化的演讲者阵容、宽泛及多元的主题闻名。
本次论坛上,Shostack & Associates 总裁 Adam Shostack 就AppSec 的培训主题,以及如何更好地为开发人员处理安全问题做准备 做出了令人印象深刻的发言。
一、Shostack & Associates 研讨内容
在软件开发中,自动化和集成可以消除大量企业安全手动性工作内容,尤其在使用了DevSecOps等高效的开发模式后,但是无论技术如何发展,永远也无法代替深思熟虑、直觉以及良好的判断力。
随着网络安全专业人员面临的压力与日俱增,AppSec人为因素所占的比重也在不断增加。网络安全技能差距会增加不必要的风险,甚至导致安全工作陷入“倦怠”的状态之中。
这是网络安全行业长期存在的问题,同时,超过400 万个网络安全工作岗位的缺口进一步加剧了这一问题。
Shostack在分享中讨论了开发人员安全培训的时间和成本,以及给企业组织带来的压力。他提出了一种结构化的学习方法,具备一定的同理心,增加了相应的工具以减少DevSecOps开发人员的压力。
二、Copado VP兼安全与 IT 主管 Kyle Tobener 发言内容
Copado 副总裁兼安全与 IT 主管 Kyle Tobener 也在会议中强调,将“人为因素”视为安全风险时,应具备同理心和同情心,而不是像对待工具那样。Tobener认为富有同情心的方法远比各种禁止规则更加有效,可明显降低人为因素所带来的影响。
毕竟哪怕企业拥有再多的安全协议,诸如“点击网络钓鱼电子邮件中的危险链接”等高风险行为都会发生,只要有人参与其中,类似的风险就无法避免。
PS:有意思的是,越是严格的安全禁止措施实际上反而会增加此类风险,因此企业在落地过程中应提供更深思熟虑的指导方案,一起致力于降低人为影响因素所占的比重。
泛联新安的源代码静态检测平台codesense、二进制同源分析平台binsearch 、模糊测试工具XFuzz等一整套的软件安全解决方案,可以为开发人员处理安全问题提供多样而全面的工具。
资料来源:
https://securityboulevard.com/2022/08/black-hat-2022-from-cyberwarfare-to-the-rise-of-rce/
关于泛联新安
泛联新安是国内领先的基础软件提供商。以程序分析专家为核心能力定位,聚焦于提供业内先进的开发支撑软件和EDA软件。
在国内率先布局,持续深耕智能程序分析、编译器技术、软件逆向分析、软件漏洞挖掘、高性能程序仿真等底层核心技术方向,研发出软件质量测试、软件安全测试、数字电路验证(EDA)三大类10余款产品,构建丰富的产品矩阵,形成了基于统一技术架构的高效产品孵化能力。所有产品全部拥有自主知识产权,并在军工、航空航天、轨道交通、金融、电力、互联网等领域积累了大量头部客户。
与清华大学合作成立北京清科智信科技有限公司,与中科院共同投资组建中科空间(长沙)信息科技研究院,与国防科技大学共建湖南省软件安全智能并行分析重点实验室,现拥有核心知识产权申请和授权发明专利、软件著作权69项,获得CWE、泰尔实验室、麒麟软件Neo Certify等多项国内外认证。
泛联新安致力于帮助企业快速构建安全、优质的软件,通过提供代码功能检测、已知漏洞比对、未知漏洞挖掘等多款检测产品,推动DevSecOps、AppSec、CI/CD战略、SBOM清单、风险评估及资产管理等软件安全理念在具体工程中的实践落地,引入从源头及时治理安全问题、洞察代码风险、为客户提供当前软件安全性活动的概况呈现及管理,助力企业更高效落地,推动产业数字化转型,提升高质量发展速度。
