此篇文章发布距今已超过831天,您需要注意文章的内容或图片是否可用!
2022年8月10日,一年一度的安全盛会黑帽大会(Black Hat)在拉斯维加斯开幕,重点关注新威胁。勒索软件、新策略和地缘政治威胁是会议的主要主题之一。
会议以Krebs Stamos Group创始合伙人、美国网络安全和基础设施安全局(CISA)前局长Chris Krebs的主题演讲拉开帷幕,主要讨论网络犯罪的风险趋势、地缘政治威胁以及它们对未来网络防御者的意义。“Black Hat始终是前沿的,”Fortinet的联合创始人,董事长兼首席执行官Ken Xie说。“他们总是有很多新技术,探索基础设施的方式非常有趣。”事实上,在过去的四分之一个世纪里,Black Hat大会已经发展成为网络安全专业人员通过演示、技术培训和实验分享尖端研究和见解的首要舞台。
今年的大会将组织超过80场演讲,主题涉及硬件/固件黑客攻击、零日恶意软件发现,以及重量级APT前沿研究等广泛领域。同时,展会将举办88场深度技术培训;98次简报,重点介绍安全风险、研究和趋势;超过225家供应商在营业厅展示其技术。
此外,有媒体报道了本次大会最值得关注的十大议题:
(1)RollBack:针对汽车无钥匙系统,与时间无关的新型重放攻击。通过精心设计的信号干扰、捕捉与重放序列,攻击者能够预测出尚未被实际使用的后续有效解锁信号。(2)Industroyer2:Sandworm团伙发起网络战再次针对乌克兰电网。新版本Industroyer2在本次俄乌战争期间被部署使用。(3)揭示商业产品中的被盗算法,研究人员将讨论影响整个网络安全社区的一大系统性难题:由企业实体实施的算法盗窃与未授权使用行为。而且不只是普通企业,很多网络安全组织本身也在“知法犯法”。(4)深挖2021年Android利用链漏洞。这条漏洞利用链凭借CVE-2020-16040和CVE-2021-38000等1day漏洞,以及CVE-2021-0920 0day漏洞,通过浏览器对Android设备进行远程root。(5)现代安全芯片的漏洞研究,主要关注如何在信息有限的情况下,立足特定目标开展软件漏洞研究。(6)美国网络安全审查委员会:研究事件,推动系统性变革。着重讨论Log4j漏洞审查、委员会的主要调查结果,以及行业和政府应如何实施这些建议。(7)APT可能捏造证据将目标投入监狱。国家支持的网络威胁指向的可不只是物,也有可能是人。虽然我们已经习惯将这类攻击行为跟间谍活动、知识产权盗窃或者经济利益联系起来,但其中还有另一类更加隐蔽的动机——由APT组织捏造证据,通过陷害将目标投入监狱。(8)谷歌重新构想了一部手机。作为红队,我们将全力护它安全。本次演讲将讨论谷歌如何在重新构想的Pixel 6发布前,对这款手机产品加以保护,而且重点关注Android红队的观点。(9)由浏览器驱动的Desync攻击:HTTP请求走私攻击的新前沿。本场演讲将向大家展示如何将受害者的网络浏览器变成desync交付平台,以暴露单服务器网站和内部网络的方式转移请求走私的边界。(10)RCE即服务:从过去五年的真实CI/CD管道违规中吸取教训。为什么说CI/CD管道已经成为软件供应链中最危险的潜在攻击面。为此,研究人员将讨论目前最常用的技术类型、相关使用方式,以及它们为什么会成为企业整体基础设施中权限最高、价值最大的目标。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
https://ZhouSa.com
还没有评论,来说两句吧...