維護網路安全還需通力合作

前言

來自谷歌的「安全女王」Parisa Tabriz為本屆Black Hat 2018大會帶了一個戰略性的議題——如何進行長遠的思考以及建立開放的合作政策，在越來越複雜的網路安全領域中團結各方力量共同打擊網路犯罪。

Parisa Tabriz以一襲漸變的紅髮亮相拉斯維加斯，這一次她帶來了一個很大的議題。在網路安全領域的複雜性達到歷史最高水平之際，安全研究人員、供應商、第三方生態系統以及政府應當如何達成共識，通過合作使得網路世界變得更加安全。

「女王」的觀點

谷歌工程總監Parisa Tabriz表示，網路安全領域的水越來越深，玩家也越來越多，網路安全專家應當學會在利益相關者之間建立夥伴關係。

她主張採取積極主動的方法，制定可靠的長期計劃，建立一套行之有效的體系和政策。讓各方一同參與，整合力量以確保網路安全。網路安全從業者再也不能像玩打鼴鼠的遊戲一樣，問題冒出來一個就拍下去一個。呼籲大家一定要做以下三件事：

首先，要確定問題的本質，找到從根本上解決問題的方法；

其次，在推進長期項目時，要更加謹慎和穩健;

最後，要投資於全面、積極主動的防禦性項目。

實例一

在確定和解決安全問題時，供應商和安全社區都需要搞清楚威脅背後的原因和結果，包括它們是如何產生和披露的。

Parisa提到了谷歌Project Zero，自2014年創建起已報告超過1400個漏洞。這是得益於她的團隊採取多項重要措施積極應對軟體缺陷，包括針對漏洞引入90天的披露政策。這會對應商施加壓力，免得他們缺少優先解決安全問題的動力。

Project Zero的目的是加深各大廠商對網路安全的理解，並改善通知和修復策略。經過數年的行業實踐，時間節點如此緊湊的Project Zero項目推動了相關技術和廠商們在制度和架構方面實現了革命性的變革。得益於此，廠商時間的透明度和互動率大大提升。根據谷歌的研究，供應商推送的安全更新頻率翻了一倍，發現漏洞後推送補丁的響應時間縮短了將近40 ％。

實例二

Parisa談到的第二點是通過結構化、有條理的方式推進項目的實現，同時也要注意團隊激勵的建設。

她援引了谷歌鼓勵網路社區從HTTP協議切換到HTTPS協議的舉措，這麼做的目的是加密網站流量，防止惡意軟體注入和竊聽。現在Chrome瀏覽器會將仍使用HTTP協議網站標註為「不安全」。這是谷歌對2016年推出的一系列舉措穩步推進獲得的成果，雖然步履不快，但是相當穩健且有成效。在推動這類影響面很大的項目時，做法一定要是漸進式和以結果為導向的。

實例三

Parisa提到的第三點是投資一些前沿和大膽的項目，這有助於全面鞏固安全措施，規避一些跨界的風險。

正如Chrome在網站隔離方面所做的工作那樣。谷歌最近為其Chrome瀏覽器引入了全新的安全措施，以抵禦最近發現的幽靈漏洞變種。

總結

Parisa表示，在網路安全領域最重要的是大家站到一起，積極主動地進行交流和協作。

即使利益相關性不明確的情況下，大家也需要進行縱向和橫向的信息披露，讓人們參與進來。這個世界對於網路安全技術越來越看重和依賴。各個行業的人們應當更具戰略性，將安全聯盟拓展到網路完全領域之外的廣闊天地。

*參考來源：Threatpost ，Freddy編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！