上周我参加了在拉斯维加斯举办的黑帽2014大会。本届大会真可谓热闹非常，所以我也想就此写篇博文，以下是我的主要观点：

1. 黑帽=激情

也是在这同一个会场我还参加过多届的Interop展会但我感觉Interop已变得越来越乏味而且沉闷。与之相对照的则是黑帽大会的生气勃勃它的观众是一群很有激情的安全人士。这里充满着能量有很棒的演讲还有充分的知识沟通。当然这里也有赌城特有的商业化但是总的说来与乏味的贸易展览不同的是黑帽是一个集聚人气的社区可以说它的活力与上个世纪90年代末期的Interop很相似。

2. 黑帽 vs. RSA

上世纪80年代末当时我还在EMC作销售我们的口头禅是：“知道如何做的人要服务于知道为何做的人。”这就是“解决方案销售”金律也就是要让销售团队专注于那些熟悉自身的业务流程、财务状况和预算的客户也就是懂得“为何做”的人而不是只懂得处理比特和字节的客户也就是只知道“如何做”的人。依此类推RSA就是一个“为何做”的会议而黑帽大会(某种程度上DEFCON也是)则是一个“如何做”的会议。虽然有了这样的解释但还是有一个差别因为网络安全是一个固执地想“如何做”的行业所涉及的人群也都是那些知道如何处理比特和字节的人或者是能探查到别人以某种恶意方式处理比特和字节的人。在我看来这两者是可以相互补充的。的确我们需要既懂业务又懂IT和安全技术的CIO但我们同样需要有着深厚技术功底、有着奉献精神的安全实践者。RSA关注前者而黑帽/DEFCON则主要面向后者。

3. 安全厂商应参加黑帽大会

很多领先的安全厂商都对黑帽大会不屑一顾一般会将其展会预算花在RSA和其他贸易展会上这一点VMware就很不一样。我理解厂商们的理由但我还是要建议他们将部分预算投入到黑帽2015大会上去。为什么呢?因为黑帽大会的与会者尽管不是预算开支的决策者但他们确实会影响到企业的技术决策而且他们一般也都是网络安全社区的成员。这些人知道如何选择能够满足其技术要求的安全技术。而有创新能力的安全厂商也可以参加黑帽大会将其作为一个招聘人才的渠道而不能仅将其视为一个销售和营销的展会。

4. 尽管大会结束了 但我对网络安全的担忧却更深了

我多年来从事安全行业所以听到的关于捣乱分子的战术、技术和实践(TTP)的事情也要比大多数人多得多。即便如此在参加黑帽的一周里(+微信网络世界)我还是听到了更多可怕的故事。举例说蓝外套实验室(Blue Coat labs)的报告称有6.6亿部主机被感染且只有24小时的受控寿命也就是所谓的“一日奇迹”。你可以想象这些主机中有很大一部分都是恶意主机而其上短暂的寿命文件都是基于安全工具和威胁智能软件签名的雷达发现不了的。我还得知了很多关于“操作干酪”的事情它能够改变DNS设置并在客户端上安装SSL证书拦截合法的一次性口令(OTP)从网上银行的账户里盗取大量金钱。黑帽子们还喋喋不休地告诉与会者我们的对手们不但技术高超而且比人们能想象到的更有组织。

5. 端点安全已成为“重头戏”

几年前端点安全就只意味着防病毒软件(AV)也只是一个被少数寡头(McAfee、赛门铁克、趋势科技某种程度上还可以算上卡巴斯基和Sophos)所垄断的市场。但是如果套用赌城的行话那么如今所有的赌注都押在了端点安全上。由于过去几年间有针对性的攻击和数据泄露频频发生企业和组织开始质疑AV的价值并寻求可分层的端点防护。于是这个市场开始被搅乱而黑帽大会也成了很多后进入者的端点安全演武场这些后来者包括Bromium、思科、Crowdstrike、Digital Guardian、Druva、FireEye、Guidance Software、IBM、Invincea、Palo Alto Networks、Raytheon Cyber Products、RSA和 Webroot等它们都在谈论所谓“下一代”端点安全的需求及其产品。尽管之前的垄断厂商还有一定的先入优势但端点安全正在变成一个更加开放的市场黑帽大会上拥挤的额人群就是一个明证。

黑帽大会可以说是赌城作派、黑客风格以及严肃的网络安全话题的奇妙混合体。黑帽/DEFCON虽然只是一个展会，但却有着一股严肃的暗流在涌动，而这样的暗流却正在从其他大多数展会上消失着。