一切不以业务驱动的安全建设都是……丨RSA第四日

RSA的第四天,继续现场Session和Keynote的实时直播~~

Session SBX1-R2:Care Delivery Workflow Attacks through Behaviorial eManipulation

由骨科创伤外科医师和IoT安全专家共同提出的这个独特的会议,将分析开发连接医疗设备的实际影响。与大多数医疗安全研究不同的是,本课程不仅包含了安全研究的经验,而且从实际最终用户(医生)的角度考虑了这些经验。

讨论方向:
1.了解技术应用和社会工程的交叉点。
2.了解医疗器械的利用是如何操纵医生行为的。
3.了解攻击者如何利用维护工作来交付负载。

观点:
1.安全专家和医疗专家的对话,以业务驱动安全的思想,来体现攻防双方的收益最大化:攻方,不了解业务就不能最大化攻击收益;防方,不了解业务就不知道攻击路径和有价资产,不能集中防御力量就会造成过度防御,降低防御方的投资回报率。
2.当前医疗行业的攻方动机主要是窃取数据,医疗数据在暗网可以交易,对黑客来说像信用卡一样有价值。
3.对于医疗机构和医疗设备制造商来说,合规性需求是刚需。无论是GPDR还是FDA的安全准入标准,都能够提高攻击壁垒,增加黑客的攻击成本,从而降低被攻击的风险发生率。
4.无论是医疗机构还是医疗设备制造商,为了提高防御效率,和安全专家合作是非常重要的一项工作。安全专家也应该详细了解医疗业务流程,给出投资回报率最高的防御方案。



Session SBX3-R2:Identity’s Role in Securing the IoT Connected Car

联网汽车生态系统的复杂性:移动、云连接、汽车及其周边基础设施中的多个底层设备和系统——要求有一种独特的安全和隐私保护新方法。传统的用户名和密码方法将是行不通的。这就是为什么数字身份认证和接入管理将是联网汽车的关键技术。

讨论方向:
1.探索一种提供安全连接汽车的有效方法。
2.了解高级数字身份管理的能力。
3.了解汽车级Linux。



SCADA 101主题演讲

演讲首先介绍了IT (信息技术)和OT (运营技术)的关键及区别,接下来介绍了工业控制系统架构和SCADA,及SCADA协议的细节描述。

在介绍完工控协议MODBUS后,给出了一次hack过程的演示,包括扫描,获取信息及产生的后果,演示了工业设备是如何被攻破并产生不良后果的。

值得一提的是,这个演讲最有特色的是,PPT刚开始,上来就有两个人站台,还以为是相声。结果一个人一直没发言,后来介绍到demo时才说话。

整个下来看了很多演讲,无论是Keynote演讲,还是展台演讲,都展现出非常专业的高水准。PPT设计,讲演者的表达,逻辑陈述,都体现了对展示的不懈追求。



攻击收益和防护成本的博弈——Cybersecurity的价值主张

2018RSA大会见闻(三)

昨天和今天早上跑步的时候一直在回味Rohit在主题演讲中谈到的观点:从风险而不是技术的角度看待网络安全;用投资回报率的观念去分析攻防双方的动机。结合两天的听会体验,大概有了一个闭环的逻辑。

首先,风险不等同于问题。风险,是可能发生的问题,但是还没有发生,我们需要采取措施去规避,去降低它发生的可能性,当风险发生了,也就是风险变成问题了。问题,是确确实实存在的不足,是已发生已发现的,需要去处理的。例如:缺陷、已知漏洞等

问题是必须解决的,风险是可以选择应对的。如果平衡不好这个关系,就会出现两种糟糕的结果:1、问题和风险统统不管。发生问题时,出现灾难性后果;2、风险和问题一样都全面保障,低概率风险也充分保障。就会造成过度防护,浪费有限的防护资源。

其次,用动态的观念不断的去评估攻防双方所处的态势,实时做出有的放矢的调整,降低机会成本,最大化收益。从攻方的角度,黑客永远在评估最脆弱的点,总是以最小的代价去获取最大的收益。当某个领域的防御提升,攻击成本大于收益之后,黑客就会选择新的攻击领域去“淘金”。从防御方的角度,也应该实时的去评估局面。技术的进步会导致边界扩大和降低攻击难度(例如算力提升会缩短暴力破解的时间),有可能提升威胁风险发生的概率,甚至是风险直接变成了问题。

例如:永恒之蓝(WannaCry)之所以一个已知漏洞造成如此大的破坏,就是因为边界发生变化导致以前不联网终端的漏洞风险变成了一个问题,造成了灾难性的后果。不断满足合规性要求也是有必要的,因为类似GPDR的合规性要求在提高防护成本的同时,也提升了攻击壁垒(攻击成本)降低了攻击收益,并减小了风险发生概率。

最后,知识共享有助于提升效率。Rohit·Ghai在主题演讲中谈到的观点,magic of sterling teamwork,可以理解为“精英协作的魔力”。Rohit·Ghai在演讲中多次谈到"business driven security"(业务驱动安全):business-driven  security could help organisations “prioritise ruthlessly” and focus on what matters.通过业务驱动的安全建设能够帮助组织有效调整优先级,聚焦在重要的事情上

我理解这里面有两层意思,都和知识共享提升效率有关。一方面,从安全专业厂商的角度,只有深刻的理解了客户(防御方)的业务,推理出可能存在的攻击路径(attack flow),才能够洞察到风险的合理优先级,将有限的防御资源部署在脆弱的地方;另一方面,机构通过和专业安全公司的合作,能够从黑客的角度去思考问题,洞察到攻击动机,部署成熟的防御产品并能够快速响应突发的安全事件。

以上的观点,在昨天和今天的Keynote和Session中多次被很多专家们提及。今天的session SBX1-R2 :Care Delivery Workflow Attacks through Behaviorial eManipulation ,台上是IOT安全专家(Ted Harrington)和骨科创伤外科医师(Kostas Triantafillou)的对话,共同讨论IOT医疗设备的安全风险和防御思路,体现了典型的“业务驱动安全”思想。

是不是可以这样说,一切不以业务驱动的安全建设都是不符合投资回报的浪费行为?