前言
来自谷歌的“安全女王”Parisa Tabriz为本届Black Hat 2018大会带了一个战略性的议题——如何进行长远的思考以及建立开放的合作政策,在越来越复杂的网络安全领域中团结各方力量共同打击网络犯罪。
Parisa Tabriz以一袭渐变的红发亮相拉斯维加斯,这一次她带来了一个很大的议题。在网络安全领域的复杂性达到历史最高水平之际,安全研究人员、供应商、第三方生态系统以及政府应当如何达成共识,通过合作使得网络世界变得更加安全。
“女王”的观点
谷歌工程总监Parisa Tabriz表示,网络安全领域的水越来越深,玩家也越来越多,网络安全专家应当学会在利益相关者之间建立伙伴关系。
她主张采取积极主动的方法,制定可靠的长期计划,建立一套行之有效的体系和政策。让各方一同参与,整合力量以确保网络安全。网络安全从业者再也不能像玩打鼹鼠的游戏一样,问题冒出来一个就拍下去一个。呼吁大家一定要做以下三件事:
首先,要确定问题的本质,找到从根本上解决问题的方法;
其次,在推进长期项目时,要更加谨慎和稳健;
最后,要投资于全面、积极主动的防御性项目。
实例一
在确定和解决安全问题时,供应商和安全社区都需要搞清楚威胁背后的原因和结果,包括它们是如何产生和披露的。
Parisa提到了谷歌Project Zero,自2014年创建起已报告超过1400个漏洞。这是得益于她的团队采取多项重要措施积极应对软件缺陷,包括针对漏洞引入90天的披露政策。这会对应商施加压力,免得他们缺少优先解决安全问题的动力。
Project Zero的目的是加深各大厂商对网络安全的理解,并改善通知和修复策略。经过数年的行业实践,时间节点如此紧凑的Project Zero项目推动了相关技术和厂商们在制度和架构方面实现了革命性的变革。得益于此,厂商时间的透明度和互动率大大提升。根据谷歌的研究,供应商推送的安全更新频率翻了一倍,发现漏洞后推送补丁的响应时间缩短了将近40 %。
实例二
Parisa谈到的第二点是通过结构化、有条理的方式推进项目的实现,同时也要注意团队激励的建设。
她援引了谷歌鼓励网络社区从HTTP协议切换到HTTPS协议的举措,这么做的目的是加密网站流量,防止恶意软件注入和窃听。现在Chrome浏览器会将仍使用HTTP协议网站标注为“不安全”。这是谷歌对2016年推出的一系列举措稳步推进获得的成果,虽然步履不快,但是相当稳健且有成效。在推动这类影响面很大的项目时,做法一定要是渐进式和以结果为导向的。
实例三
Parisa提到的第三点是投资一些前沿和大胆的项目,这有助于全面巩固安全措施,规避一些跨界的风险。
正如Chrome在网站隔离方面所做的工作那样。谷歌最近为其Chrome浏览器引入了全新的安全措施,以抵御最近发现的幽灵漏洞变种。
总结
Parisa表示,在网络安全领域最重要的是大家站到一起,积极主动地进行交流和协作。
即使利益相关性不明确的情况下,大家也需要进行纵向和横向的信息披露,让人们参与进来。这个世界对于网络安全技术越来越看重和依赖。各个行业的人们应当更具战略性,将安全联盟拓展到网络完全领域之外的广阔天地。
*参考来源:Threatpost ,Freddy编译,转载请注明来自FreeBuf.COM
