欢迎来到永胜在线
国内最专业的科技资讯提供商

超越娱乐地址:BHUSA:五年的谷歌Project Zero应该会影响到类似的群体

谷歌Project Zero项目经理Ben Hawkes在Black Hat USA的演讲中回顾了五年的漏洞研究团队,认为该团队未来的成功将集中在更多的团队的组建上。

回顾“零号计划”的形成过程,霍克斯说,有一种感觉,零号计划对“谷歌和整个社会”都是一个问题。从那以后,零日开始向有利于进攻性安全的方向转变。“那么,五年过去了,我们要问的问题是,零日还难吗?”

霍克斯说,“零号计划”是建立在“良好的防守”等原则之上的,“良好的防守需要对进攻有详细的了解”看看我们所依赖的软件,不仅仅是谷歌Chrome和Android。

“当你想到‘零项目’,你就会想到自主性,”他补充说。“我们都有自己的使命和原则,关键的创新在于,研究人员拥有追求自己独立研究议程的个人自由。”

他解释说,这项研究包括:54%的手工审查,37%的模糊,8%的其他类型的测试。他还说,执行漏洞研究的一部分是,您可以创建哪些研究人员以前没有访问过的新方法,通过“编写漏洞,您就站在了攻击者的立场上”。开发利用需要五个步骤:

确保错误的安全影响被很好地理解建立一个类似可利用漏洞的等价类生成适当数量的紧急情况表面新的和改进的利用技术允许我们找到“脆弱”的区域在利用

霍克斯说,零号计划处于“倡导变革”的地位。很多工作都花在“如何成为一个倡导者,以及供应商想要实现什么”上。

回顾一些研究,霍克斯称围绕《幽灵党》和《熔解》展开的研究是“一个时刻”因为它改变了我们对硬件安全性的思考方式,导致了重大的体系结构变化,并标志着在安全性、构建流程和测试方面的加倍努力。

“另一方面,脆弱性研究得到了广泛接受,并导致了结构上的改进。”他感谢供应商和开源社区所做的工作。

看看如何衡量“困难”作为零日研究的一部分,霍克斯说,您可以通过漏洞的数量、“灰色市场”上出售的漏洞数量或被调试的漏洞数量来衡量它。“我们试图找到更好、更一致的东西,”他说。

“我们需要退后一步,决定努力的过程意味着什么?

“没有,很难吗?事实是,这更难,但并不难。如果我能站起来说,五年后我们将取得一项伟大的成就,那将是伟大的成就,但我们还没有做到这一点。”

霍克斯还解释说,开放式攻击研究“提供了使零日困难的最佳途径”而且“在工作中有一些令人信服和强大的东西,可以教会用户做正确的事情。”

展望未来,霍克斯说,我们永远不会结束关于脆弱性披露的辩论,这可以做得很好,“可以产生深远的影响,但如果做得不好,就可能存在系统性风险。”他补充说,他认为这是一个紧迫的问题,如果人们能够得到提拔、获得授权,并与外部研究人员建立联系,这可以“创造一条通向合作的工作管道”。

霍克斯总结说,未来的道路是让其他公司遵循Project Zero模型,创建自己的研究团队,并“扩大开放攻击研究的数量”。

他说:“我们需要把重点放在我们的使命和原则上,找到一个我们能达成共识的领域,在这个领域里,暴露弱点会分散注意力,我们需要把重点放在共同的使命和原则上。”

历史上的今天
八月
9
    哇哦~~~,历史上的今天没发表过文章哦
赞(0)
未经允许不得转载:永胜在线 » 超越娱乐地址:BHUSA:五年的谷歌Project Zero应该会影响到类似的群体
分享到: 更多 (0)
标签:

相关推荐

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  • Q Q(选填)

永胜在线科技网 更权威 更方便

永胜在线联系我们