安全行業(yè)的發(fā)展,離得開“黑客”嗎?

信息化觀察網(wǎng)
編譯
信息安全公司有時也會被一些安全研究“打臉”,對于整個行業(yè)來說,這或許是一種不必要的尷尬。但是如果仔細(xì)考慮一下,這也是必須的,即使對于這個行業(yè)來說很痛苦。“如果你關(guān)注的是汽車行業(yè),&rdqu...

信息安全公司有時也會被一些安全研究“打臉”,對于整個行業(yè)來說,這或許是一種不必要的尷尬。但是如果仔細(xì)考慮一下,這也是必須的,即使對于這個行業(yè)來說很痛苦。“如果你關(guān)注的是汽車行業(yè),”安全公司IOActive的首席執(zhí)行官Jennifer Sunshine Steffens說道:“多年來我們一直專注于汽車安全研究,但是一個迅速傳播的視頻就能警覺人們,并真正讓人們采取一些相關(guān)的措施。”

在一個流傳的視頻中,WIRED的一位記者在高峰期駕駛一輛有漏洞的Jeep自由光安全地??吭诟咚俟吩训琅?,而在此之前,遠(yuǎn)在幾公里之外的安全研究員遠(yuǎn)程禁用了這輛汽車的制動器。此次攻擊導(dǎo)致菲亞特&克萊斯勒汽車公司立即召回了140萬輛汽車。

“我們一直都會將我們說過的話付諸于實(shí)踐,這是最直觀的展示,”Steffens說道,并補(bǔ)充說,因?yàn)檫@個視頻的出現(xiàn),整個汽車行業(yè)都在朝著更加安全的方向發(fā)展。“他們在安全方面進(jìn)行了投資,”她說道:“他們也得到了資金預(yù)算,而且董事會也在談?wù)摯耸?,所以你可以稱之為黑客的一種手段,你也可以說這個手段很有效。”

在Steffen的帶領(lǐng)下,IOActive因其大膽的原創(chuàng)性研究而備受贊譽(yù)。IOActive的研究通常都是獨(dú)一無二的,并且涵蓋的范圍廣泛:在今年8月份于拉斯維加斯舉辦的黑帽大會上,該公司宣布,從攻擊軍事和航空衛(wèi)星信號(宣布發(fā)起了此次攻擊),到攻擊家庭輔助機(jī)器人,該公司經(jīng)常發(fā)現(xiàn)其他人沒有想到但是又卓有成效的研究領(lǐng)域。

“我們的箴言是,”Steffens說道:“‘永遠(yuǎn)要有黑客的思維’。我們談?wù)摰氖呛诳?,我們認(rèn)為‘黑客’不應(yīng)該是一個貶義詞。從我們的角度來說,此時此刻,研究人員或團(tuán)隊(duì)和機(jī)器的區(qū)別在于我們能夠擁有黑客的思維。我們會研究所有的東西,并且思考‘我們怎樣才能發(fā)起黑客攻擊?’在大多數(shù)的情況下,這都是很簡單的事情。”

IOActive會影響到的另一個行業(yè)是醫(yī)療業(yè),首先談?wù)摰氖且压实腂arnaby Jack獲得的成就。他在2012年發(fā)現(xiàn)了心臟除顫器和胰島素泵中的漏洞。因此Steffens表示醫(yī)療設(shè)備制造商和供應(yīng)商當(dāng)前更加關(guān)注的是信息安全。

“他們確實(shí)是在嘗試實(shí)施更多的安全措施,”她說道:“因此你可以看到像Mayo Clinic等公司將安全責(zé)任推到了供應(yīng)鏈上。他們現(xiàn)在會說,如果我們想要購買你們的產(chǎn)品,那么你要在整個供應(yīng)鏈上展示一定程度的安全測試。”

IOActive大部分的最佳研究每年都會在重要安全大會上(如黑帽大會和DefCon黑客大會,這兩個會議都在8月份于內(nèi)華達(dá)州的拉斯維加斯舉辦)展示,Steffens也在努力涉足非信息安全領(lǐng)域。

“我們都喜歡黑帽大會,”Steffens說道:“這是我們最喜歡的會議之一,我們集體參加了這個大會。但是作為一個行業(yè),我們不能只是相互交談。尤其是當(dāng)你在汽車行業(yè)或者其它垂直行業(yè),這些行業(yè)從來沒有聽說過黑帽大會和DefCon黑客大會。需要作出改變的人們并沒有參加這些大會,因此我們只是在討論自己。我們必須走出去,討論更多與行業(yè)相關(guān)的信息,并且也能夠用他們的方式進(jìn)行交流。”

慶幸的是,在過去的20年中,黑帽大會的規(guī)模發(fā)展的如此之大,一些公司也開始贊助他們自己的安全會議,目的是為了聚集更多的客戶和安全領(lǐng)域的專家。如果世界上最好的安全研究員每年8月份都會聚集在拉斯維加斯,那我們?yōu)槭裁床焕媚兀?/p>

Steffens表示,今年在黑帽大會上舉辦的IOActive贊助活動中,發(fā)言人是一位熱心關(guān)注安全問題的非急診室護(hù)士。“我了解過她,我也看過她說的話,我也試圖在社交媒體上找到她。我說我必須要見見你,因?yàn)槟闾屛腋械襟@訝了。而且雖然我們一直都青睞于研究員的觀點(diǎn),但是聽到有從業(yè)者在關(guān)心安全領(lǐng)域,這也是特別好的事情。”

Steffens承認(rèn)這是一個漸進(jìn)的過程。“你要知道,改變并不是一蹴而就的。關(guān)注安全領(lǐng)域并且做正確的事情意味著:作為安全行業(yè),我們必須獎勵那些我們所看到的改變,并且心懷感激。這并不會在一夜之間就發(fā)生,也不會說你醒來就擁有了安全性。但是當(dāng)你開始招聘團(tuán)隊(duì)、尋求預(yù)算、和研究員合作、并獲得安全文化時,總有一天,這會讓這個世界大有不同。”

原文作者:Robert Vamosi

THEEND