上周我参加了在拉斯维加斯举办的黑帽2014大会，本届大会真可谓热闹非常，所以我也想就此写篇博文，以下是我的主要观点：

　　1. 黑帽=激情。也是在这同一个会场，我还参加过多届的Interop展会，但我感觉，Interop已变得越来越乏味而且沉闷。与之相对照的，则是黑帽大会的生气勃勃，它的观众是一群很有激情的安全人士。这里充满着能量，有很棒的演讲，还有充分的知识沟通。当然，这里也有赌城特有的商业化，但是总的说来，与乏味的贸易展览不同的是，黑帽是一个集聚人气的社区，可以说它的活力与上个世纪90年代末期的Interop很相似。

　　2. 黑帽 vs RSA。上世纪80年代末，当时我还在EMC作销售，我们的口头禅是：“知道如何做的人，要服务于知道为何做的人。”这就是“解决方案销售”金律，也就是要让销售团队专注于那些熟悉自身的业务流程、财务状况和预算的客户，也就是懂得“为何做”的人，而不是只懂得处理比特和字节的客户，也就是只知道“如何做”的人。依此类推，RSA就是一个“为何做”的会议，而黑帽大会(某种程度上DEFCON也是)则是一个“如何做”的会议。虽然有了这样的解释，但还是有一个差别，因为网络安全是一个固执地想“如何做”的行业，所涉及的人群也都是那些知道如何处理比特和字节的人，或者是能探查到别人以某种恶意方式处理比特和字节的人。在我看来，这两者是可以相互补充的。的确，我们需要既懂业务，又懂IT和安全技术的CIO[注]，但我们同样需要有着深厚技术功底、有着奉献精神的安全实践者。RSA关注前者，而黑帽/DEFCON则主要面向后者。

　　3. 安全厂商应参加黑帽大会。很多领先的安全厂商都对黑帽大会不屑一顾，一般会将其展会预算花在RSA和其他贸易展会上，这一点VMware就很不一样。我理解厂商们的理由，但我还是要建议他们将部分预算投入到黑帽2015大会上去。为什么呢？因为黑帽大会的与会者尽管不是预算开支的决策者，但他们确实会影响到企业的技术决策，而且他们一般也都是网络安全社区的成员。这些人知道如何选择能够满足其技术要求的安全技术。而有创新能力的安全厂商也可以参加黑帽大会，将其作为一个招聘人才的渠道，而不能仅将其视为一个销售和营销的展会。

　　4. 尽管大会结束了，但我对网络安全的担忧却更深了。我多年来从事安全行业，所以听到的关于捣乱分子的战术、技术和实践(TTP)的事情也要比大多数人多得多。即便如此，在参加黑帽的一周里，我还是听到了更多可怕的故事。举例说，蓝外套实验室(Blue Coat labs)的报告称，有6.6亿部主机被感染，且只有24小时的受控寿命，也就是所谓的“一日奇迹”。你可以想象，这些主机中有很大一部分都是恶意主机，而其上短暂的寿命文件都是基于安全工具和威胁智能软件签名的雷达发现不了的。我还得知了很多关于“操作干酪”的事情(+本站微信networkworldweixin)，它能够改变DNS设置，并在客户端上安装SSL证书，拦截合法的一次性口令(OTP)，从网上银行的账户里盗取大量金钱。黑帽子们还喋喋不休地告诉与会者，我们的对手们不但技术高超，而且比人们能想象到的更有组织。

　　5. 端点安全已成为“重头戏”。几年前，端点安全就只意味着防病毒软件(AV)，也只是一个被少数寡头(McAfee、赛门铁克、趋势科技，某种程度上还可以算上卡巴斯基和Sophos)所垄断的市场。但是如果套用赌城的行话，那么如今，所有的赌注都押在了端点安全上。由于过去几年间，有针对性的攻击和数据泄露频频发生，企业和组织开始质疑AV的价值，并寻求可分层的端点防护。于是这个市场开始被搅乱，而黑帽大会也成了很多后进入者的端点安全演武场，这些后来者包括Bromium、思科、Crowdstrike、Digital Guardian、Druva、FireEye、Guidance Software、IBM、Invincea、Palo Alto Networks、Raytheon Cyber Products、RSA和 Webroot等，它们都在谈论所谓“下一代”端点安全的需求及其产品。尽管之前的垄断厂商还有一定的先入优势，但端点安全正在变成一个更加开放的市场，黑帽大会上拥挤的额人群就是一个明证。

　　黑帽大会可以说是赌城作派、黑客风格以及严肃的网络安全话题的奇妙混合体。黑帽/DEFCON虽然只是一个展会，但却有着一股严肃的暗流在涌动，而这样的暗流却正在从其他大多数展会上消失着。