一年一度的RSAC堪稱是網(wǎng)絡(luò)安全圈頂級盛會，吸引了世界各地信息安全從業(yè)者的廣泛參與。有的希望通過RSAC了解到未來安全技術(shù)的發(fā)展趨勢，有的將其視為世界級舞臺來展示公司實(shí)力，還有的將其作為Social聚會良機(jī)。

近日，筆者有幸聆聽了“安全噴子”程度先生關(guān)于RSAC 2020的一場直播，感觸頗多，于是撰寫了這篇雜記分享給大家。作為安全老兵，程度先生曾連續(xù)多年參加RSAC大會，今年由于疫情的特殊原因沒能去現(xiàn)場，但是他對于RSAC熱點(diǎn)趨勢也是非常關(guān)心。結(jié)合程度先生直播所講內(nèi)容以及筆者自己理解，簡單整理了一些今年RSAC主題、趨勢、創(chuàng)新沙盒、事件響應(yīng) 等方面的內(nèi)容供大家了解。

‘Human’終于成為關(guān)注核心

RSAC2020主題是“Human Element”，可以理解為“以人為本”，也就是人將會成為安全最根本、最需要考慮一個(gè)因素。這是我們安全認(rèn)知水平一大進(jìn)步，也是RSAC二十多年中最具里程碑性質(zhì)一次主題定義。防御者和攻擊者所采用技術(shù)、策略雖然在不斷迭代更新，但是唯一不變就是“我們?nèi)?rdquo;，也就是說人在網(wǎng)絡(luò)安全中所扮演角色永遠(yuǎn)都不會消失。對于安全而言，人永遠(yuǎn)是最不能忽視的一個(gè)因素。

雖然過去國內(nèi)也有一些行業(yè)會議從人的角度來設(shè)計(jì)活動主題，比如2017年ISC大會主題“人是安全的尺度”。但是RSAC主題“Human Element”這個(gè)主題包含了一個(gè)更大的概念，包括網(wǎng)絡(luò)安全人才短缺、行業(yè)人員之間溝通、安全專業(yè)人員發(fā)展、人是安全防御中最薄弱的一環(huán)等各種跟人相關(guān)方面。

這一點(diǎn)可以從今年的RSAC熱詞、創(chuàng)新沙盒等項(xiàng)目中也能看出一些映射。之前人們?nèi)SAC會議，更多的是關(guān)注展會上出現(xiàn)的新技術(shù)、新場景、新應(yīng)用，而忽略了人這個(gè)最根本因素。但是今年RSAC有所變化，比如首次亮相的“Engagement Zone”,旨在為參會人員創(chuàng)造一個(gè)更加方便社交的空間，讓大家可以一起探討解決方案、新的工作機(jī)會、結(jié)交新朋友等，這就充分考慮人本身因素。為此，RSAC還提出了一個(gè)“Braindate(大腦約會)”概念，為與會者預(yù)留會議空間，方便進(jìn)行一對一或小組討論。

Engagement Zone

十大網(wǎng)絡(luò)安全趨勢之“Product Security”

RSAC從收到的2400份演講申請中，總結(jié)出了十大當(dāng)下的網(wǎng)絡(luò)安全趨勢?？紤]到之前也有一些媒體系統(tǒng)盤點(diǎn)過十大安全趨勢，我這里重點(diǎn)談下今年新出現(xiàn)概念“Product Security”。

RSAC2020新增了關(guān)于“產(chǎn)品安全和開源工具”議題，包含了保護(hù)開發(fā)生命周期與框架、連接產(chǎn)品和設(shè)備的安全性、開源代碼安全、以及日益提升的CPSO(首席產(chǎn)品安全官)需求。有人將Product Security的管理者比喻成“麥田守望者”，待在一個(gè)角落里看著一群孩子在瘋狂玩耍，但是一旦有人跑向懸崖邊，Product Security Leader一定會第一時(shí)間沖出來拉住小孩。他們不會容忍接受風(fēng)險(xiǎn)，不會自己去開發(fā)代碼等。但從本質(zhì)上來說Product Security與DevSecOps一脈相承，都是將安全前置，甚至要求在代碼開發(fā)之前就將安全因素納入考慮范疇之中，而不是在后期不停去打補(bǔ)丁或者在外圍增添安全設(shè)備。Product Security除了要考慮安全前置，還需要考慮開源工具安全。當(dāng)下有很多高質(zhì)量、能夠迎合技術(shù)發(fā)展趨勢的開源工具，在云安全、Serverless、容器等領(lǐng)域都出現(xiàn)了很多優(yōu)秀的開源工具。從安全市場看也是如此，比如漏掃、IPS、IDS等都有相關(guān)開源軟件，這些開源軟件在某個(gè)階段引領(lǐng)了整個(gè)市場發(fā)展。當(dāng)然國內(nèi)很多安全公司也吸收了一些開源軟件思路，在此基礎(chǔ)上新增一些客戶安全訴求點(diǎn)。所以開源工具和商業(yè)化運(yùn)轉(zhuǎn)是一個(gè)相輔相成的過程，但是因?yàn)殚_源工具沒有專業(yè)固定的人員去維護(hù)其安全性，因此在應(yīng)用開源工具時(shí)候一定做好安全檢查工作。

RSAC2020創(chuàng)新沙盒冠軍將花落誰家？

除RSAC主題和十大安全趨勢，大家都非常關(guān)注就是每年RSAC創(chuàng)新沙盒。目前RSAC官網(wǎng)公布創(chuàng)新沙盒十強(qiáng)，在各自領(lǐng)域都非常優(yōu)秀。當(dāng)然就個(gè)人而言，比較看好Elevate Security和Vulcan這兩家公司能夠奪得今年冠軍。

Elevate Security公司產(chǎn)品服務(wù)非常契合今年的主題“Human Element”，幫助企業(yè)通過已經(jīng)擁有的數(shù)據(jù)來給員工打分，觀察操作的趨勢，并提供個(gè)性化的交流，促使員工養(yǎng)成更好的安全習(xí)慣。其產(chǎn)品利用四大組件進(jìn)行管理：通過Vision讓安全管理員對員工行為及相關(guān)風(fēng)險(xiǎn)做出分析;Reflex負(fù)責(zé)運(yùn)行基準(zhǔn)評估，并對員工活動進(jìn)行指標(biāo)分析;Pulse負(fù)責(zé)為員工提供培訓(xùn)，幫助他們改善自己的高風(fēng)險(xiǎn)行為;Hacker's Mind則提供一種游戲化培訓(xùn)方案。

Elevate Security產(chǎn)品四個(gè)組件

看好Elevate Security是因?yàn)槠?ldquo;政治正確”，完美符合大會主題，而看好Vulcan是因?yàn)槠鋰L試解決多年安全頑疾——漏洞修復(fù)難題。Vulcan這個(gè)名字也非常有意思，跟漏洞補(bǔ)丁相關(guān)，自己YY下難道是Vulnerability Scan這兩個(gè)英文單詞首尾各取3個(gè)字母?

做安全的都知道，打補(bǔ)丁絕對是一個(gè)費(fèi)力不討好事，而Vulcan這家公司嘗試采用編排自動化方式提高安全運(yùn)營者修復(fù)漏洞效率。Vulcan最大價(jià)值就是匯總了多個(gè)來源的漏洞信息庫，繼而減少安全運(yùn)營人員維護(hù)壓力。Vulcan集成涵蓋威脅情報(bào)、風(fēng)險(xiǎn)評估、資產(chǎn)管理、SCA、DAST、SAST等幾十個(gè)行業(yè)領(lǐng)先工具包，例如漏洞評估類Qualys、Tenable、Rapid7;SCA類WhiteSource、WhiteHat SCA、Blackduck等等產(chǎn)品，官方說明是能實(shí)現(xiàn)動態(tài)協(xié)調(diào)漏洞修復(fù)流程和大規(guī)模自動化。Vulcan能夠這么做，也得益于國外友好2B生態(tài)環(huán)境，這種情況很難在國內(nèi)市場看到，包括安全公司、甲方企業(yè)大家基本都運(yùn)營維護(hù)著一套自有漏洞數(shù)據(jù)庫。

當(dāng)然，創(chuàng)新沙盒冠軍也只是市場大眾一個(gè)看法而已，創(chuàng)新沙盒的排名也并不代表絕對發(fā)展優(yōu)勢。國內(nèi)安全從業(yè)者雖然可以從每年創(chuàng)新沙盒中分析判斷出一些未來安全發(fā)展趨勢，但是仍然要考慮國內(nèi)企業(yè)IT建設(shè)水平、客戶意愿度、接受度，不建議盲目、簡單粗暴跟風(fēng)，畢竟安全除了技術(shù)以外還需要考慮市場、意識等各方面問題。

個(gè)人最關(guān)注Incident Response

從本屆RSA統(tǒng)計(jì)出近100個(gè)安全熱詞看，Top 10是云安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、黑客與威脅、應(yīng)用安全、威脅情報(bào)、終端安全、管理與合規(guī)風(fēng)險(xiǎn)、人工智能、風(fēng)險(xiǎn)評估。其中云安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全(Network security)已經(jīng)連續(xù)三年排名前三，而新增熱詞是黑客與威脅(Hackers & threats)。當(dāng)然就個(gè)人而言，比較關(guān)注排在第12位的Incident Response。

RSAC2020安全熱詞排名

眾所周知，隨著網(wǎng)絡(luò)攻擊技術(shù)和自制工具越來越先進(jìn)，攻擊者和網(wǎng)絡(luò)犯罪組織變得越來越囂張，與此同時(shí)組織機(jī)構(gòu)想要檢測入侵是否已經(jīng)發(fā)生卻變得越來越困難。沒有任何一種技術(shù)能夠100%檢測到惡意活動。整個(gè)網(wǎng)絡(luò)環(huán)境變得愈發(fā)復(fù)雜，傳統(tǒng)基于特征值的被動檢測技術(shù)效果變得越來越差。因此人們不得不主動出擊去狩獵，也就是“威脅捕獲”。威脅捕獲是主動防御一個(gè)關(guān)鍵動作，也是更快、更精準(zhǔn)實(shí)現(xiàn)事件響應(yīng)一個(gè)非常重要的環(huán)節(jié)。這里建議大家將更多精力聚焦于事件響應(yīng)上，而不是單純防御上。

威脅捕獲是一種聚焦于追蹤攻擊者以及攻擊者在進(jìn)行偵查、執(zhí)行惡意軟件、竊取敏感數(shù)據(jù)時(shí)留下痕跡的一種主動防御技術(shù)。威脅捕獲不僅只是簡單技術(shù)標(biāo)記和報(bào)警可疑的活動，還需要應(yīng)用人的分析能力以及對環(huán)境上下文的理解來更快速地確定何時(shí)發(fā)生了未授權(quán)的活動。這使得攻擊可以更早被發(fā)現(xiàn)，在攻擊者完成攻擊目標(biāo)之前阻止其惡意行為。當(dāng)然，實(shí)踐威脅捕獲，需要有可用的工具可以幫助分析人員看清其組織網(wǎng)絡(luò)中到底發(fā)生了什么，包括通過日志分析技術(shù)等。

目前，青藤也在事件響應(yīng)方面做了很長時(shí)間研究，在產(chǎn)品和方案層面已經(jīng)完成扎實(shí)工作，不用多久即將向市場推出威脅捕獲相關(guān)產(chǎn)品服務(wù)，讓我們拭目以待。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。