前言

　　來自谷歌的“安全女王”Parisa Tabriz為本屆Black Hat 2018大會(huì)帶了一個(gè)戰(zhàn)略性的議題——如何進(jìn)行長(zhǎng)遠(yuǎn)的思考以及建立開放的合作政策，在越來越復(fù)雜的網(wǎng)絡(luò)安全領(lǐng)域中團(tuán)結(jié)各方力量共同打擊網(wǎng)絡(luò)犯罪。

　　Parisa Tabriz以一襲漸變的紅發(fā)亮相拉斯維加斯，這一次她帶來了一個(gè)很大的議題。在網(wǎng)絡(luò)安全領(lǐng)域的復(fù)雜性達(dá)到歷史最高水平之際，安全研究人員、供應(yīng)商、第三方生態(tài)系統(tǒng)以及政府應(yīng)當(dāng)如何達(dá)成共識(shí)，通過合作使得網(wǎng)絡(luò)世界變得更加安全。

　　“女王”的觀點(diǎn)

　　谷歌工程總監(jiān)Parisa Tabriz表示，網(wǎng)絡(luò)安全領(lǐng)域的水越來越深，玩家也越來越多，網(wǎng)絡(luò)安全專家應(yīng)當(dāng)學(xué)會(huì)在利益相關(guān)者之間建立伙伴關(guān)系。

　　她主張采取積極主動(dòng)的方法，制定可靠的長(zhǎng)期計(jì)劃，建立一套行之有效的體系和政策。讓各方一同參與，整合力量以確保網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全從業(yè)者再也不能像玩打鼴鼠的游戲一樣，問題冒出來一個(gè)就拍下去一個(gè)。呼吁大家一定要做以下三件事：

　　首先，要確定問題的本質(zhì)，找到從根本上解決問題的方法;

　　其次，在推進(jìn)長(zhǎng)期項(xiàng)目時(shí)，要更加謹(jǐn)慎和穩(wěn)健;

　　最后，要投資于全面、積極主動(dòng)的防御性項(xiàng)目。

　　實(shí)例一

　　在確定和解決安全問題時(shí)，供應(yīng)商和安全社區(qū)都需要搞清楚威脅背后的原因和結(jié)果，包括它們是如何產(chǎn)生和披露的。

　　Parisa提到了谷歌Project Zero，自2014年創(chuàng)建起已報(bào)告超過1400個(gè)漏洞。這是得益于她的團(tuán)隊(duì)采取多項(xiàng)重要措施積極應(yīng)對(duì)軟件缺陷，包括針對(duì)漏洞引入90天的披露政策。這會(huì)對(duì)應(yīng)商施加壓力，免得他們?nèi)鄙賰?yōu)先解決安全問題的動(dòng)力。

　　Project Zero的目的是加深各大廠商對(duì)網(wǎng)絡(luò)安全的理解，并改善通知和修復(fù)策略。經(jīng)過數(shù)年的行業(yè)實(shí)踐，時(shí)間節(jié)點(diǎn)如此緊湊的Project Zero項(xiàng)目推動(dòng)了相關(guān)技術(shù)和廠商們?cè)谥贫群图軜?gòu)方面實(shí)現(xiàn)了革命性的變革。得益于此，廠商時(shí)間的透明度和互動(dòng)率大大提升。根據(jù)谷歌的研究，供應(yīng)商推送的安全更新頻率翻了一倍，發(fā)現(xiàn)漏洞后推送補(bǔ)丁的響應(yīng)時(shí)間縮短了將近40 %。

　　實(shí)例二

　　Parisa談到的第二點(diǎn)是通過結(jié)構(gòu)化、有條理的方式推進(jìn)項(xiàng)目的實(shí)現(xiàn)，同時(shí)也要注意團(tuán)隊(duì)激勵(lì)的建設(shè)。

　　她援引了谷歌鼓勵(lì)網(wǎng)絡(luò)社區(qū)從HTTP協(xié)議切換到HTTPS協(xié)議的舉措，這么做的目的是加密網(wǎng)站流量，防止惡意軟件注入和竊聽?，F(xiàn)在Chrome瀏覽器會(huì)將仍使用HTTP協(xié)議網(wǎng)站標(biāo)注為“不安全”。這是谷歌對(duì)2016年推出的一系列舉措穩(wěn)步推進(jìn)獲得的成果，雖然步履不快，但是相當(dāng)穩(wěn)健且有成效。在推動(dòng)這類影響面很大的項(xiàng)目時(shí)，做法一定要是漸進(jìn)式和以結(jié)果為導(dǎo)向的。

　　實(shí)例三

　　Parisa提到的第三點(diǎn)是投資一些前沿和大膽的項(xiàng)目，這有助于全面鞏固安全措施，規(guī)避一些跨界的風(fēng)險(xiǎn)。

　　正如Chrome在網(wǎng)站隔離方面所做的工作那樣。谷歌最近為其Chrome瀏覽器引入了全新的安全措施，以抵御最近發(fā)現(xiàn)的幽靈漏洞變種。

　　總結(jié)

　　Parisa表示，在網(wǎng)絡(luò)安全領(lǐng)域最重要的是大家站到一起，積極主動(dòng)地進(jìn)行交流和協(xié)作。

　　即使利益相關(guān)性不明確的情況下，大家也需要進(jìn)行縱向和橫向的信息披露，讓人們參與進(jìn)來。這個(gè)世界對(duì)于網(wǎng)絡(luò)安全技術(shù)越來越看重和依賴。各個(gè)行業(yè)的人們應(yīng)當(dāng)更具戰(zhàn)略性，將安全聯(lián)盟拓展到網(wǎng)絡(luò)完全領(lǐng)域之外的廣闊天地。

　　*參考來源：Threatpost ，F(xiàn)reddy編譯，轉(zhuǎn)載請(qǐng)注明來自FreeBuf.COM

鄭州治療婦科疾病醫(yī)院