وبلاگ

سخنرانی پریسا تبریز از مدیران امنیت گوگل در کنفرانس Blackhat 2018

خانم پریسا تبریز که از متخصصان ایرانی الاصل و زبده امنیتی دنیا و مدیر امنیت گوگل است ساعتی پیش در کنفرانس امنیتی Blackhat 2018  در آمریکا به روی سن رفت و سخنرانی کرد. در گوگل به پریسا تبریز لقب "شاهزاده امنیت" داده اند. 
پریسا تبریز (متولد 1362)  است. او هم اکنون برای شرکت گوگل کار می‌کند در آنجا به او لقب «شاهزاده امنیت» را داده‌اند. نشریه فوربس از پریسا تبریز به عنوان یکی از ۳۰ چهره برتر در زمینه تکنولوژی، در کنار افرادی چون مارک زاکربرگ نام برده است. او در گوگل ریاست بخشی را بر عهده دارد که از ۳۰۰ هکر در اروپا و آمریکا تشکیل شده و وظیفه بررسی تهدیدات امنیتی مرتبط با موتور جستجوی گوگل و همین‌طور دیگر محصولات این شرکت، از جمله مرورگر گوگل کروم را بر عهده دارند. (اطلاعات بیشتر در مورد پریسا تبریز)

Parisa Tabriz

کنفرانس سالانه Blackhat 2018  مهمترین رخداد امنیتی دنیاست که سالانه متخصصان بزرگ امنیتی را گرد هم می آورد تا در خصوص آخرین دستاوردهای امنیت اطلاعات به ارائه مقاله و سخنرانی بپردازند.
پریسا تبریز روز گذشته در کنفرانس Blackhat 2018 به عنوان سخنرانی کلیدی این کنفرانس روی سن رفت و سخنرانی کرد.
او در سخنرانی خود در Black Hat،  در مورد نحوه حرکت به مدل امنیتی پیچیده با تفکری مبتنی بر همکاریهای باز بین متخصصان (open collaboration) بحث کرد. او تاکید کرد چشم انداز امنیت سایبری در تمام سطوح بسیار پیچیده و سخت است، و محققان امنیتی، فروشندگان، بنگاه های ذینفع  و حتی دولت ها در تلاش برای ایجاد یک توافق برای ایجاد یک جهان سایبری امن تر هستند. 
او تلاش گوگل را برای رسیدن به مقصد صددرصد شدن سایتهای HTTPS تشریح کرد و در ادامه از Project Zero متعلق به گوگل به عنوان نمونه ای موفق از تلاش جمعی برای حل مشکلات امنیتی نام برد. او خاطر نشان کرد، شناسایی یک آسیب پذیری و ضعف و سپس اجرای یک رویکرد منطقی برای مقابله با آن،  باید به عنوان یک ضرورت در دنیای امنیت درنظر گرفته شود.

او اشاره کرد که نحوه مقابه ما با تهدیدات سایبری از نوع بازی Whack-a-Mole  است. (توضیح: در این بازی کامپیوتری، موشهای کور بصورت تصادفی از سوراخها بیرون می آیند و بازی کننده باید با چکش روی سر آنها بزند و امتیاز بگیرد.) او گفت که ما غالبا منتظر هستیم تا یک آسیب پذیری کشف شود و سپس به ترمیم آن بپردازیم. او با انتقاد از این روش گفت که باید رویکرد خود را برای امن کردن عوض کنیم.  ما باید سه کار انجام دهیم. "اول، ما باید علت اصلی مشکلات را شناسایی کنیم و با آن مقابله کنیم؛ دوم، ما باید در مورد چگونگی پیگیری پروژه های دفاعی دراز مدت، اصولی تر عمل کنیم. و در نهایت، ما باید در پروژه های دفاعی با رویکرد پیشگیرانه سرمایه گذاری کنیم."

خانم تبریز گفت که تولیدکنندگان محصولات و جامعه امنیتی باید به طور یکسان به نقش خود در برابر تهدیدات، از جمله نحوه ایجاد آنها و نحوه افشای آنها، نگاه کنند.

به عنوان مثال برای یک اشکال اجرای کد از راه دور (RCE)، تولیدکننده باید شناسایی کند که چرا آسیب پذیری منجر به RCE شده و چرا آن را قبلا کشف نکرده است و چه مدت زمان لازم است کاربران نهایی بروز رسانی کند و چرا؟

در Google Project Zero  اقدامات مهمی جهت پیشگیری از نقص های نرم افزاری، از جمله معرفی یک سیاست افشای 90 روزه برای آسیب پذیری ها، انجام شده است. تبریز گفت که این پروژه باعث فشار بر تولیدکنندگان است چرا که آنها پیش از این انگیزه ای برای اولویت بندی امنیت نداشتند. او گفت که پروژه Zero، که در سال 2014 تأسیس شده است، از آن زمان بیش از 1400 آسیب پذیری گزارش کرده است.

جهت مطالعه گزارش کامل سخنرانی خانم پریسا تبریز به اینجا مراجعه نمایید.

جهت مشاهده فیلم سخنرانی خانم پریسا تبریز در کنفرانس Blackhat 2018 به لینک زیر مرجعه نمایید.


https://youtu.be/py2qmGbyhlw?t=1406