2018黑帽大会召开：三大安全话题备受关注

  美国太平洋时间2018年8月4-9日，一年一度的知名美国黑帽大会（Black Hat USA）再次于拉斯维加斯曼德勒海湾酒店（Mandalay Bay）拉开帷幕。在这场公认顶级的全球信息安全行业盛会上，来自世界各地的信息安全专家、黑客、政府人员、安全厂商齐聚一堂，共同分享最新的网络安全技术资讯、攻防手法以及网络安全产品与方案。

2018黑帽大会正式开启

　　对于安全从业者来说，美国黑帽大会历来都是一个不容错过的安全信息交流平台，期间参会者不仅可以一睹最新出现的攻击手法，还能及时了解到旨在防范这些攻击的最新技术。而在本届2018黑帽大会上，有三大热点安全话题将备受关注。

1、加密货币安全

　　在过去一年里，加密货币的市值从100亿美元增加至300亿美元，峰值更曾达到过700亿美元。在市场价值迅速飙升的情况下，加密货币自然成为网络犯罪分子设法掠夺的目标。由此，在2018年已有价值10亿美元的加密货币招致盗取。

而加密货币市场吸引骇客的原因包括以下几点：

　　第一，加密货币为匿名制，很难被追踪到，因此很难捕获黑客。

　　第二，由于这些加密货币背后的技术相对较新，因此尚未建立编写安全代码的最佳实践。新推出的加密货币往往存在许多安全漏洞。

　　第三，持有大量加密货币的金融机构缺乏专门的安全防护产品和方案。这些组织仍使用内部安全平台和消费级解决方案进行替代，在防护上显然力不从心。

　　因此，本届2018黑帽大会将主要关注区块链基础设施和加密货币钱包的研究。而这些方向成为首要考虑因素部分原因则是由于利用Parity多重签名奇偶校验钱包中的漏洞，导致3000万美元以太币被盗，以及DAO智能合约漏洞致使价值5000万美元以太币被盗等事件的发生。

2、医疗设备安全

　　物联网已存在多年，但随着连接设备数量激增，骇客已越来越多地将注意力转移到这个领域。据Gartner称，到2020年全球将有200亿台物联网设备，20%的组织将至少经历一次基于物联网的攻击。

　　回顾之前的黑帽大会，会议议程也曾主要关注通用物联网、联网车辆和工业物联网等。然而在2018年，针对医疗设备的议题会广受关注，而网络犯罪分子将其视为目标的主要原因有以下几点：

　　第一，医疗数据的价值比黑市上的信用卡信息高出100倍。

　　第二，在制造这些设备时并未考虑安全性，无论是基础软件还是通信协议。

　　第三，医疗设备通常运行在未经修补的传统操作系统上，这些操作系统受严格的FDA法规管理，因此难以更新和保护。

　　第四，这个领域的攻击对人类生命构成了严重威胁。例如，WannaCry勒索软件锁定医疗设备后，会极大影响整个医院的运作。而近期白帽黑客已确定了部分输液泵、心脏起搏器和病人监护设备中的安全脆弱性。

3、机器学习在安全领域应用

　　虽然几乎所有安全公司都在某种程度上应用机器学习（ML）来寻求检测或预防安全事件的优势，但骇客也开始使用ML来发动更复杂的攻击。潜在威胁包括：

逃避恶意软件——来自康奈尔大学的研究人员创建了一种算法，可以通过基于ML的安全解决方案无法检测到恶意软件样本。与此同时，其他研究使用ML伪装已知的恶意软件以逃避AV（杀毒软件）。

破坏机器学习进程——众所周知，人类容易受到社会工程的影响，但机器也容易被篡改。骇客可以入侵ML模型的训练数据，从而产生危险的结果。

　　而对此，与会者或者想了解强化机器学习防御对抗性攻击、使用AI锁定隐藏目标攻击和深度学习的侧面通道分析等相关议题。

虽然上面的热点话题相对较为新颖，但显然这些领域已成为骇客获利丰厚的主要原因，更表明了安全从业者在未来的发力重点，也值得大家关注。

  虽然上面的热点话题相对较为新颖，但显然这些领域已成为骇客获利丰厚的主要原因，更表明了安全从业者在未来的发力重点，也值得大家关注。