Black Hat 2023：聚焦应用安全的洞见

文章要点

在今年的 Black Hat 大会上，应用安全（AppSec）成为热议话题，尤其在网络战、 AppSec人员的挑战以及现代化需求等方面引起了极大关注。我们的专家 Dan Murphy的报告提供了应对远程代码执行（RCE）攻击的建议，还有针对安全负债的应对策略，帮助组织改进安全状况。

随著美国政府加强对网络安全的指导，许多机构开始做出重大变革。网络战争已成为现代战争的一部分，参与者一致认为，这一新常态使得政府需要不仅要现代化安全工具，还要实施零信任概念以减少敏感数据暴露。

数位战场上的安全态势提升

随著拜登政府发布的网络安全政策，政府机构正在开始认真改变其安全措施。安全成为现代战争的一部分，这在 Black Hat及其后的讨论中都是热门话题。Invicti 的首席产品官 Sonali Shah 在最近的一篇 Forbes文章中提到，网络战争彻底改变了战场，成本更低，且比实体战争更难归责。

主题 | 意义
—|—
新常态 | 网络战、虚假信息与政治行为息息相关
零信任概念 | 降低敏感数据暴露的必须措施
驱动力 | 网络攻击的节奏加快，对应的安全工作必须跟上

随著网络威胁者加快攻击节奏，政府机构必须严肃对待针对网络钓鱼和多因素身份验证（MFA）的要求。Yubico 的解决方案架构总监 David Treece提出，拥有过时的 MFA 系统与流程的组织更容易受到攻击，若不采取行动，将面临风险。

此外，SentinelOne 的主要威胁研究员 Juan Andres Guerrero-Saade 和高级威胁研究员 Tom Hegel共同探讨了俄乌冲突中的网络攻击，特别是自2019年以来，乌克兰承受的持续恶意软件攻击。

将人性元素置于 AppSec 的核心

在 AppSec的过程中，人类专业知识如影随形。尽管自动化和整合可以减少手动操作，但终究无法取代思考、直觉和良好的判断力。随著网络安全专业人员面临的压力不断增加，他们的工作也变得越来越困难。

网络安全技能差距的存在导致不必要的风险增加，甚至影响到。Shostack & Associates 的总裁
Adam Shostack 在一场名为 A Fully Trained Jedi, You Are Not 的会议中，探讨了 AppSec培训的问题，并提供了开发人员如何更好地应对安全挑战的建议。根据报导，约有的网络安全职位无法填补，加重了行业的困境。

在另一场会议中，Copado 的安全和 IT 部门负责人 Kyle Tobener 提到，应对 AppSec 中的人性元素风险时需要同理心和善意。他的主题是
Harm Reduction: A Framework for Effective & Compassionate SecurityGuidance，探讨如何将人性考量纳入网络安全措施，以期实现更有效的风险管理。

与 Invicti 一同应对安全负债与风险减少

Invicti 的 CPO Son