安全行业的发展,离得开“黑客”吗?
信息安全公司有时也会被一些安全研究“打脸”,对于整个行业来说,这或许是一种不必要的尴尬。但是如果仔细考虑一下,这也是必须的,即使对于这个行业来说很痛苦。
你要知道,改变并不是一蹴而就的。
“如果你关注的是汽车行业,”安全公司IOActive的首席执行官Jennifer Sunshine Steffens说道:“多年来我们一直专注于汽车安全研究,但是一个迅速传播的视频就能警觉人们,并真正让人们采取一些相关的措施。”
在一个流传的视频中,WIRED的一位记者在高峰期驾驶一辆有漏洞的Jeep自由光安全地停靠在高速公路匝道旁,而在此之前,远在几公里之外的安全研究员远程禁用了这辆汽车的制动器。此次攻击导致菲亚特&克莱斯勒汽车公司立即召回了140万辆汽车。
“我们一直都会将我们说过的话付诸于实践,这是最直观的展示,”Steffens说道,并补充说,因为这个视频的出现,整个汽车行业都在朝着更加安全的方向发展。“他们在安全方面进行了投资,”她说道:“他们也得到了资金预算,而且董事会也在谈论此事,所以你可以称之为黑客的一种手段,你也可以说这个手段很有效。”
在Steffen的带领下,IOActive因其大胆的原创性研究而备受赞誉。IOActive的研究通常都是独一无二的,并且涵盖的范围广泛:在今年8月份于拉斯维加斯举办的黑帽大会上,该公司宣布,从攻击军事和航空卫星信号(宣布发起了此次攻击),到攻击家庭辅助机器人,该公司经常发现其他人没有想到但是又卓有成效的研究领域。
“我们的箴言是,”Steffens说道:“‘永远要有黑客的思维’。我们谈论的是黑客,我们认为‘黑客’不应该是一个贬义词。从我们的角度来说,此时此刻,研究人员或团队和机器的区别在于我们能够拥有黑客的思维。我们会研究所有的东西,并且思考‘我们怎样才能发起黑客攻击?’在大多数的情况下,这都是很简单的事情。”
IOActive会影响到的另一个行业是医疗业,首先谈论的是已故的Barnaby Jack获得的成就。他在2012年发现了心脏除颤器和胰岛素泵中的漏洞。因此Steffens表示医疗设备制造商和供应商当前更加关注的是信息安全。
“他们确实是在尝试实施更多的安全措施,”她说道:“因此你可以看到像Mayo Clinic等公司将安全责任推到了供应链上。他们现在会说,如果我们想要购买你们的产品,那么你要在整个供应链上展示一定程度的安全测试。”
IOActive大部分的最佳研究每年都会在重要安全大会上(如黑帽大会和DefCon黑客大会,这两个会议都在8月份于内华达州的拉斯维加斯举办)展示,Steffens也在努力涉足非信息安全领域。
“我们都喜欢黑帽大会,”Steffens说道:“这是我们最喜欢的会议之一,我们集体参加了这个大会。但是作为一个行业,我们不能只是相互交谈。尤其是当你在汽车行业或者其它垂直行业,这些行业从来没有听说过黑帽大会和DefCon黑客大会。需要作出改变的人们并没有参加这些大会,因此我们只是在讨论自己。我们必须走出去,讨论更多与行业相关的信息,并且也能够用他们的方式进行交流。”
庆幸的是,在过去的20年中,黑帽大会的规模发展的如此之大,一些公司也开始赞助他们自己的安全会议,目的是为了聚集更多的客户和安全领域的专家。如果世界上最好的安全研究员每年8月份都会聚集在拉斯维加斯,那我们为什么不利用呢?
Steffens表示,今年在黑帽大会上举办的IOActive赞助活动中,发言人是一位热心关注安全问题的非急诊室护士。“我了解过她,我也看过她说的话,我也试图在社交媒体上找到她。我说我必须要见见你,因为你太让我感到惊讶了。而且虽然我们一直都青睐于研究员的观点,但是听到有从业者在关心安全领域,这也是特别好的事情。”
Steffens承认这是一个渐进的过程。“你要知道,改变并不是一蹴而就的。关注安全领域并且做正确的事情意味着:作为安全行业,我们必须奖励那些我们所看到的改变,并且心怀感激。这并不会在一夜之间就发生,也不会说你醒来就拥有了安全性。但是当你开始招聘团队、寻求预算、和研究员合作、并获得安全文化时,总有一天,这会让这个世界大有不同。”
原文作者:Robert Vamosi
编译:信息化观察网