Security B-Sides 会议吸引越来越多的信息安全人士

通过本次对 Security B-Sides DC 联合主管 Alex Norman 的采访，了解更多信息。

图片来源：

Opensource.com

信息安全 (InfoSec) 是一项艰巨的任务，它是一个不断变化的目标，不会等待任何人，因此它通常是被动的而不是预防性的。良好的信息安全不仅仅需要专家在幕后辛勤工作来保护我们；它还需要整个社区的参与和投入。

B-Sides 徽标。 Security B-Sides DC 会议是 B-Sides 运动的一部分，该运动旨在为信息安全从业人员构建和举办活动提供社区框架。 Alex Norman 是 Security B-Sides DC 的联合主管，他向我们讲述了他希望如何将信息安全扩展到安全专业人员之外，并让更广泛、更多样化的社区参与进来。

Alex Norman headshot.

您是如何最终担任 B-Sides 联合主管的职位的？

四年前，B-Sides DC 的创始人 Mark 和 Bill 给 Jack Daniel 发送电子邮件，说道：“嘿，为什么华盛顿特区没有 B-Sides？” Jack 回复说：“现在有了，你们来做吧。” 他们回复说：“额，好吧。”

当时我在华盛顿特区市中心工作，并参加了 CapSecDC，这是一个当地的安全聚会。他们来到那个会议并请求帮助举办活动。我们花了大约一年半的时间来计划第一次活动，在这些会议过程中，我们开始担任董事会职位。有人需要管理会议网络，我自愿承担了这个任务。所以我在第一年做了这件事，确保我们为会议提供了无线网络以及随之而来的一切。然后在第二年，最初的创始人之一 Bill 在美国政府部门任职。这就造成了利益冲突，他辞职了。当时我们有两三个人主动报名担任联合主管。经过投票，我就这样担任了这个职位——一系列的挺身而出并说：“我来做。”

为了举办一场活动，您必须学习哪些事情？

与场地打交道，有很多小事情。我喜欢将其比作计划婚礼。您不会意识到举办婚礼需要购买的所有小东西——会议也是如此。以及不同类型事物的不同规则。去年我们与 B-Sides Delaware 的组织者进行了一次名为“你想举办 B-Sides 吗？”的谈话。以下是您需要注意的一些事项——在大学、酒店或会议中心举办会议。每种类型的场地都有其自己独特的规则集。获得赞助商，获得赞助商需要的一切，确保这些事情得到妥善处理。然后还有意外情况，您可能从未想过的事情。

比如今天我们有一位演讲者没有出现，学习如何对此保持灵活。

对于 B-Sides 而言，一切都是志愿者驱动的。因此，在与志愿者合作时，您必须使用与对待员工不同的策略和方法。这些人是在捐献他们的时间。

Welcome sign to B-Sides DC.

^{B-SidesDC 2016 占据了华盛顿特区文艺复兴酒店的整个地下室楼层。培训课程在上层举行。}

听起来有点像管理一个开源项目。

有时确实如此。

这已经是您的第四年了。您的会议是如何发展的？

规模变得更大了，我们也增加了一些内容。第一年有 400 人，第二年有 600 人，第三年有 850 人，今年我们有大约 1100 人。

第一年我们举办了三天。我们有培训和讲座，以及一个夺旗 (CTF) 比赛和一个开锁村，仅此而已。第二年我们增加了 WiFi 村和更多讲座。第三年我们增加了物联网 (IoT) 村和更多 CTF 以及 SANS NetWars。

所以 SANS 来找我们说：“嘿，我们想在你们的活动中举办 NetWars。” 就像我们向会议添加所有内容一样，我们说：“好的，我们该怎么做呢？”

今年我们增加了一个招聘欢乐时光，这是我们想为社区提供的一项新事物。我们添加到会议中的一切，我们都会问：“这对当地安全社区和整个社区有帮助吗？” 我们说：“我们在让人们玩物理安全、玩物联网、玩 WiFi 方面做得相当不错，但是那些正在找工作的人呢？或者那些只想结识更多社区人士的人呢？” 对我们来说，这次活动的全部意义在于学习，在于将人们聚集在一起，让他们可以与志同道合的人聊天，这在您的工作日中可能没有太多机会。

您有 CTF 活动、物联网和 WiFi 村、NetWars。很多动手学习的机会。似乎如今，与大型厂商展会相比，与会者从小型会议中获得了更多价值。您认为情况是这样吗？

可能是这样。在我的日常工作中，我参加大型会议、小型会议以及各种会议。 B-Sides 运动可以说是那些大型会议的自然发展。有时人们会批评那些大型会议变得更加主流，有点过于保守。但在这个社区中，这也有其存在的意义。这些大型会议很难快速改变方向。我们的小型会议填补了这个空间。噢，我们现在要做这个，我们可以快速改变，而无需取悦太多人。

我们还试图了解社区的需求。我们发布征集论文 (CFP)，看看，哦，今年有很多关于这个主题的演讲。

今年流行的是什么？

今年是 PowerShell。关于 PowerShell 的工作原理，已经有很多研究和出版物。但也有一些主题是常青树，一直存在。人们想剖析当前正在发生的攻击、时事，甚至他们在日常工作中看到的事情。

B-Sides sticker.

^{Komand 举办了一个匿名照相亭。我的女儿很高兴地摆姿势拍照。}

我敢打赌，Dyn DDoS 一直是一个热门话题。

确实如此，但在会场走廊里更常见。我们的 CFP 在一段时间前就截止了，所以显然没有任何关于此的提案。但我在走廊里听到了很多，所以我认为明年我们会看到更多关于物联网如何工作以及如何保护它的研究。

有时当我和我的经理谈论会议时，我会将其定义为：“是西装革履的事情？还是连帽衫的事情？”

B-Sides 两者兼而有之。我在我们的 Twitter 上看到，另一个法律会议正在进行，人们实际上说：“是时候脱下西装换上连帽衫了。” 所以有些人是乔装打扮。从整个信息安全行业来看，我看到的情况与 IT 行业更普遍发生的情况相同，人们正从西装转向更休闲的日常穿着。但即便如此，我对 B-Sides DC 的目标是欢迎任何人参加。今年我们有一些演讲者的日常工作不在 IT 或信息安全领域，所以我希望鼓励人们进行思想的交叉融合。

我们的一次演讲是一位危机沟通研究员。所以我说，我在过去一两年里有一个想法，就是回音室的概念。这可以作为对信息安全社区的嘲讽性称呼。如果您让一群渗透测试人员在房间里讨论事情，他们可能会大致同意。所以我做的一件事是联系非信息安全会议，以便与他们讨论信息安全。并且还让来自我们领域以外的人来与我们讨论他们的话题，因为我们都可以从其他领域学习。当那位做危机管理演讲的年轻女士联系我并问：“这会很有趣吗？” 我说：“当然！” 因为信息安全不就是一场危机吗？在进攻方面，如果您正在为客户提供服务，而他们正在积极抵抗，您就必须调整。在防御方面，如果您受到 DoS 攻击或发现感染或入侵，您现在就处于危机模式。而且我们从违规通知中看到，目前需要花费大量时间。我认为至少让人们接触到这些想法，我们可以让他们思考如何更快、更好、更清晰地完成这项工作。

所以这篇文章是为 Opensource.com 写的，显然我们非常关心开源。您认为开源在未来信息安全中扮演什么角色？

我认为这对未来至关重要。 GitHub 页面在当今的演讲中非常常见，并且已经成为一种社交事物。社区中的某些开发人员因其出色的工作而闻名，人们关注他们的 GitHub 页面，他们在那里发布从完全开发的项目到“嘿，我一直在考虑这件事，我整理了一个概念验证，它在这里，你可以随意使用它。”等各种内容。它变成了一种精英管理制度。如果这是一个好主意并且完全成熟，人们就会开始更多地使用它。或者如果它不是一个好主意，或者执行得很糟糕，那么也许有人可以贡献并提供帮助。

所以您看到的情况与大型公司、大型会议、小型公司、小型会议相同。开源可以更灵活或更专注于特定领域。如果一家大型公司制造一种将由一百人使用的工具，他们可能不会这样做，因为它不盈利，这在那种模式下完全说得通。但对于单个开发人员来说，这可能非常有用。我们已经看到像 Metasploit 这样的框架从小型发展到大型，所以这有点像启动。

我们谈到了社区参与，以及拥有志愿者社区有点像开源。这对您的展会有什么影响？

这涉及到一种不同的方法。这不像拥有员工那样，您可以命令员工做事，因为他们是为了薪水而工作。虽然很高兴看到志愿者参与进来。他们中的许多人是朋友和家人。因此，这确实为我们注入了一些外部社区的力量。我偶尔会与志愿者交谈，他们会说：“哇，这次会议真酷。我从来没有参加过这样的会议。” 其中一些人来自该领域之外，另一些人来自该领域之内，他们可能在 IT 或其他相关领域工作，或者可能接触更多。所以这有点草根。有时很难找到志愿者。告诉你的朋友！告诉你的邻居！

如果有人想成为志愿者并参与 B-Sides，最好的方法是什么？

他们可以向我们的信息帐户发送电子邮件，或者在 Twitter 上通过 @B-SidesDC 联系我们。网站上还有一个志愿者列表可以访问。还有一个志愿者邮件列表。我们的网站是 B-SidesDC.org。

您使用社交媒体吗？人们如何关注您？

是的，我的 Twitter 账号是 @webyeti。

您是把会议办得好的展会之一。还有哪些展会办得好？说说您最喜欢的一些。

好的，最喜欢的会议...

B-Sides Delaware 是最初的 B-Sides 之一。他们已经举办了六年。为了让您了解情况，现在已经举办了 290 场 B-Sides 活动。 B-Sides Charm City 在巴尔的摩发展非常迅速。 B-Sides Augusta 在佐治亚州也做得非常出色，他们也在快速发展。

您在 B-Sides 活动中会看到有趣的事情是，每个活动都不同。它们都有自己的地方特色。例如，我们制作挑战币，因为挑战币在华盛顿特区地区很流行。佐治亚州的徽章是一个压力球桃子，这很合理。

至于非 B-Sides 活动，DerbyCon 是一个受欢迎的活动，我去过很多次。华盛顿特区的 Shmoocon 是我们的兄弟会议之一。注册于 11 月 1 日开放，所以祝大家 F5 节快乐，Shmoocon 绝对是一个很难买到票的会议。当然还有 B-Sides Las Vegas。如果我不提及他们，我将感到非常失职。另一个与我们同时举办的会议是田纳西州孟菲斯的 Skydog Con，这是一个非常好的会议，非常好的人，非常友好。

B-Sides event photo.

^{B-Sides DC 2016 的红帽展位}

还有很多其他好的会议，这是非常好的事情之一。我们正逐渐达到这样的程度，在您周围三四个小时的路程内，可能某个地方正在举办活动。因此，从一开始就从事计算机安全和黑客技术，只是靠自己学习，当我刚开始时，感觉就像，我买不起去拉斯维加斯的机票和酒店。所以我从来没去过。然后我开始在一些会议上做志愿者，但大多数会议都需要机票，我必须飞到各地去做。所以现在很高兴看到，即使在南达科他州、爱荷华州、较小的城市亨茨维尔、阿拉巴马州，也确实降低了准入门槛。

另一个好处是很多地方都偏爱新演讲者。因此，如果您是新手，提交 Shmoocon 演讲稿是一件可怕的事情，因为会有成千上万的人在房间里看着您。所以从我的角度来看，我会犹豫是否提交演讲稿，因为它有点可怕。我不知道我是否为此做好了准备。但是 B-Sides 活动，您可能只有 20-50 人在房间里听您演讲，所以这不像向大型会议提交演讲稿那么难。而且这些会议的提案数量会少得多，所以您的机会会更好。 Shmoocon 收到数百份 CFP 回复，BlackHat 收到数千份。但我们收到了 70 份。甚至今年我们还决定将会议周六和周日延长一小时，以便增加一些演讲。