深度观察：RSA 2018揭示八大安全趋势

在日益严峻的网络安全形势面前，年度安全盛会走向务实，解决现实挑战成为安全从业者最紧迫的需求。
国家间的网络攻击将成为常态

尽管RSA总裁Rohit Ghai在RSAC2018主题演讲中认为，网络安全正变得更好，但这一观点并没有受到太多呼应。美国国土安全部部长Kirstjen Nielsen在主题演讲表示：“威胁前景变得更加暗淡。我们面对的敌人比以前更大胆、更无耻、更狡猾。我们一次又一次地遭受攻击。” Kirstjen Nielsen在演讲中花了不少篇幅讲述美国选举期间遭别国通过网络攻击/社交媒体影响的，提出选举系统这类关键基础设施要具有抵抗网络攻击的能力。她多次强调，网络安全是国家安全的必要条件，并且强硬警告，要对针对美国的网络攻击者进行强力反击和制裁。

安全人士分析，其实这背后的预期是，国与国之间的网络攻击会成为常态，也释放了“企业安全不是企业自己能搞定的，需要国家力量的帮助”这样的信号。这种思路本身是有道理的，但实际执行中因为国与国之间利益的冲突、文化冲突、意识形态差异，安全厂商的国际化业务会受到影响。

360企业安全集团总裁吴云坤认为，网络安全的国家属性越来越强。从最近发生的一系列事件以及RSAC2018期间呈现的一些趋势看，现在高科技领域尤其是网络安全领域的国际竞争对抗在加剧，无论是美国政府禁用卡巴斯基，美国对中兴、华为的遏制，还是最近的Facebook事件，种种迹象表明互联网公司和传统科技公司都有国界的，这种国界和国家利益是直接相关的，也和国民利益直接相关。

但从另外一个视角看，网络安全领域的国际合作又势在必行；在与CTA威胁情报联盟交流中，吴云坤发现网络安全领域在威胁情报方面不得不共享，不共享就解决不了很多问题。

这可能是网络安全领域必须要面对的现实，合作与对抗都将是这个领域的主旋律。

在RSA大会上，包括微软、Facebook、思科在内的全球三十多家科技公司签署《网络安全科技协议》（Cybersecurity Tech Accord），发誓将保护所有消费者免受网络攻击，不会给任何政府提供侵略性网络攻击援助。这一协议代表着一种美好的愿望，但被很多人认为是脱离现实，毕竟在政府面前，商业企业往往没有太多选择空间。

“务实” 成主基调  技术回归安全本源

RSAC018的主题并没有提出什么新的概念，从创新沙盒比赛、安全大佬们的主题演讲、参展商展出的产品和技术、各个主题的会议议题来看，也没有看到特别令人耳目一新的技术创新。快速行动起来，把产品和技术落地，踏踏实实解决我们面对的具体安全问题，分享和探讨最佳实践，成为本次会议的主基调。

RSA公司的总裁Rohit Ghai在开场的主题演讲中也提到，面对现今愈演愈烈的安全威胁，越来越多的人已经放弃“银弹”思维，并不期望什么灵丹妙药可以解决所有安全问题，而是非常务实地“每天进步1%”，而不是在某一天突然达到完美的状态。”通过拥抱行为分析和网络可视化等新技术、通过安全从业者之间的协同，持续改进和优化我们的安全产品与技术，应对每一个具体的安全威胁。

此外，专业安全产品越来越成熟。参展的专业安全厂商自然不必多说，各家展台上少了华而不实的概念，少了“砸盒子”之类的噱头，多了成熟产品和技术的展示，多了成功案例的介绍。Symantec、Checkpoint、Palo Alto Networks等老牌安全厂商在不断丰富自己的安全产品和技术方案，把应对威胁的场景扩展到云管端。

网络隐私与数据安全监管成热门方向

FaceBook用户数据泄露事件、欧盟即将实施的《通用数据保护法案》GDPR，使数据监管与网络隐私话题成为RSA大会的一大热点。网络隐私安全也因此成为安全技术和投资的风向标。

欧盟去年颁布的GDPR《通用数据保护法案》将于2018年5月25日正式强制执行。GDPR是欧盟公民隐私相关数据处理制定了一套统一的法规和更加严格的法律规定，可以对任何类型的违反GDPR行为进行处罚，其罚款范围是1000万到2000万欧元，或企业全球年营业额的2%到4%，甚至下架禁售商品、关停服务，数以万计的企业必须遵守GDPR规定的全新的数据管理规则。这一监管力度和影响范围都可称空前的法规，自然而然成为RSAC2018会议最大的热点。IBM、微软、思科等巨头的展台上，随处可见GDPR相关应对方案，以帮助客户降低法律合规风险。RSAC会议议题中，也包含大量GDPR相关的内容，讨论范围涉及GDPR的影响范围、法律问题、应对措施、技术支撑、最佳实践等。

今年的RSAC创新沙盒比赛中BigID取得了冠军，这家用户隐私和数据保护的公司，在如今大数据和隐私泄露的敏感时期成功戳中了评委和用户的痛点。BigID是一家以色列的创业公司，其产品和技术能够帮助客户发现IT系统中与个人隐私相关的数据，并可视化展现这些数据的流动图，进而实施数据的保护策略。

数据资产的发现和保护是安全行业的老大难问题，十多年来各种安全技术方案层出不穷，但似乎数据泄露的状况并没有得到改善，反而越来越严重，Equifax、Facebook的数据泄露事件，都给我们敲响了警钟。如果我们宏观地谈论数据泄露问题，会发现这是一个非常复杂的问题，一方面是数据资产本身类型多样，识别和分类复杂度很高；另一方面是大数据时代，数据的流动和共享空前加剧，数据的保护难度陡然增加。BigID选择了一个很好的切入点，把场景问题收缩到隐私相关的数据资产发现与识别、GDPR合规，对于特定的客户群来说，能够简化问题，以不高的成本、较高的效率解决隐私数据安全合规问题，这是非常好的产品思路。

产品集成度提高

功能集成度在单产品和服务中越来越高，不同产品之间的协同广泛受到重视。

SOC平台（SIEM）是非常受关注的方向。在RSAC2018上，你会发现不论是老牌的SIEM系统的提供商，还是在用户行为分析、安全事件响应这类专业领域起家的新公司，都在向更完整的安全运营系统这个方向不断努力，很多一些前两年还是新兴概念的领域，正在不断的落地，成为标配，并形成“整合（Consolidation）”系统的组成。

传统的强势SIEM提供商在试图扩充自己的拼图，给客户提供一站式的整合安全运营服务。如IBM, Splunk, McAfee甚至Fireeye。新兴的安全行为分析厂商，也试图扩展自身的能力，发展下一代SIEM，如LogRhythm、Securonix、Exabeam。一些从安全专项领域发展起来的厂商，也试图基于自身的安全产品体系，扩展安全运营中心，如FireEye、Fortinet与Trustwave。

优秀的终端厂商，除了终端防护之外，EDR也成为了安全运营与分析体系中不可或缺的关键组成。如Carbon Black、Cylance。而强势体系提供商，也在补强终端这个真相之源，如IBM、FireEye。由此可见，安全运营强调体系的完整，数据源的丰富，基于知识体系的流程，从而各个巨头逐渐殊途同归，扩展自己的拼图，而专项厂商，也都能在这个体系中找到适合自己的位置。

互联网访问防护除了具备普遍意义上的Web安全防护特性外，还涉及DLP、CASB等。在此之前，这些技术往往都被设计成独立产品来提供服务，但从今年RSAC来看，各家方案都有了很多变化。老牌厂商Websense被雷神收购后，在重新推出Forcepoint品牌的SWG方案中，已经集成了DLP和CASB等产品模块，客户可以按照模块购买相应的服务。Zscaler在其服务列表中也有DLP、CASB等类似的服务模块。功能的集成给客户带来很多好处，如更低的采购成本，更简单高效的运维，而这些都是客户非常需要的。

在协同方面，CheckPoint提出了“建立第五代网络安全”，其认为第五代网络安全技术应是之前四代（依次为反病毒、防火墙、入侵防御、沙箱）的紧密结合和智能协同。与之类似，Fortinet的主题则是“Security Fabric”，意指防火墙应当与终端安全系统、无线安全系统、邮件安全系统等共同编织出全面而完整的防线，并在威胁情报平台这把“大伞”下协同工作。同样，Sophos提出了“Redefining the Next-Generation Security”，他们表示基于特征的检测技术几乎失效，防火墙应当充分运用终端安全系统贡献的数据和信息来深入鉴别恶意网络行为。

安全自动化

自动化也是本次大会上出现频率较高的词汇。安全要重视检测与响应已成为共识的当下，如何进一步让机器替人工作，解放安全运维及分析人员，成为当前众多安全厂商努力解决的问题。

大多数终端安全、威胁检测与响应的解决方案中，都采用了基于机器学习的自动化安全检测与分析，智能化（Intelligence）、自动化（Automatic）、机器学习（Machine learning）成为高频词汇。

在今年的创新沙盒比赛中，入围的威胁检测厂商Awake Security，提供基于机器学习的安全分析平台，结合网络流量等数据，为安全分析人员提供可持续追踪的高级分析功能系统，把安全团队从大量的告警处理中解放出来。从技术角度上来说，应用流量的数据分析能力，人工智能介入分析决策，自动化（Automation）机制，正是一线安全人员所需要的。虽没能获奖，却颇受安全业内人士的关注。

Juniper CEO Rami Rahim在演讲中鼓励行业领袖积极拥抱安全自动化。他表示，人工无法满足每天处理数据的规模和速度的需求，有必要继续开发能改善和提供有效威胁防护的技术。

其中最有效的方法之一是理解驱动威胁的内在行为，比如不断演化以躲避传统检测技术的恶意软件。这种行为分析以及由此所获得的经验、实时的威胁情报分享是安全自动化最吸引人的应用场景。

360公司技术总裁、首席安全官谭晓生也发现，强调自己产品中自动化运维特性的厂商很多。Splunk在今年年初收购了RSAC2016 Innovation Sandbox的赢家Phantom，标志着安全运维自动化将会是未来安全产品内嵌的特性。安全产品要做到快速响应，不自动化怎么行。

RSA总裁Rohit Ghai在演讲时也强调要通过对机器学习和人工智能的使用，改进防御。Fortinet 产品和解决方案高级副总裁 John Maddison 则认为，安全从业者需要一种新方法，通过 SOC 中的工作流程以及响应自动化，为 NOC 提供可见性和控制权。Fortinet 公司正在推出一种定制的 NOC-SOC 解决方案，以实现广泛的自动化安全响应。

安全自动化成为必然趋势，随着安全自动化的发展，人工与机器的协作日益重要。Rami表示，未来人与机器的有机协作将会实现整体大于部分之和的效果。机器的智能，加上人工的智慧和直觉，可以进行回溯分析以了解发生了什么；可以进行现实分析，以在攻击链早期消除威胁；可以利用AI与数据进行预测分析，以预测和预防攻击。

趋势科技的首席安全官Ed Cabrera表示，网络犯罪分子对自动化工具的利用不亚于安全人员。这意味着企业安全主管对于自动化攻击工具的威力要有清醒的认识。Ed Cabrera也承认，AI创新对于安全是个很有价值的工具，但不是解决所有问题的银弹。

基于云的防护服务已成标配

越来越多的安全厂家基于云提供安全服务，在很多解决方案中成为不可或缺的部署方式之一，这也成为今年RSA的一大亮点。

云安全服务增值增长速度很快，据Gartner发布的数据，年复合增值率为32%，对比一下，本地化部署的硬件增长率才5%左右。毫无疑问，云安全产业规模高速增长背后的驱动力，是企业IT基础设施的改变：移动设备的广泛采用，企业应用逐步采用SaaS或者Amazon以及Azure的公有云等。

云安全服务方案，可以提供快速和安全的访问体验，同时支持用户使用任意设备，在任意地点访问，这是硬件盒子方案不具备的价值。正如Zscaler展台的口号——“保护你的云转型”所说，清晰传递出了云安全在企业基础架构变革中的定位。Zscaler从创建之初就只提供基于云的安全服务，没有本地化部署的硬件，属于比较激进的那一类厂商。还有一类是老牌的网络安全硬件厂商。这类企业在卖硬件盒子的同时，也发布了基于云的安全服务，如Websense和Bluecoat等。

比如，热门的自动化主要出现在防护和响应两个场景，但当被问及产品的自动化如何实现的时候，大家的思路惊人的一致：实时连接到云，借助云的能力进行自动化，当然最后拼的还是云端的人的能力。

将安全防护和安全响应能力上云，通过云端的自动化辅助人工的方式在国内也不是新的概念，360使用云查杀已经接近10年。在国际上，政企市场已经普遍接受了这种思路，但国内政企客户仍然存在诸多实际的限制，这个方面本土的厂商通过私有云或行业云的解决方案，而非一刀切的公有云方案，貌似是更接地气的做法。

网络安全人才成关注重点

高素质的网络安全攻防人才已成整个安全行业所面临的重要挑战。Juniper CEO Rami Rahim表示，“人是安全中最根本的问题。我们必须改变现状，推进变化。”

据Rami Rahim披露，2019年全球网络安全人才缺口达200万之多。解决人才缺乏问题需要跳出固有思维。他建议除了与大学合作外，企业家需要帮助培训下一代安全人才。

RSA会议在网络安全人才教育上也进行了多种尝试：一方面是提升网络安全教育与产业的粘合度。国际网络教育者协会（CEI）在RSA2018大会上宣布推出一项致力于产业驱动网络安全教育的重大举措，为那些有志于从事网络相关课程的教育工作者构建一个线上的全球性社区。全球CISO（首席信息安全官）组织则会为教师提供将网络安全知识引入课堂所必需的各种资源。另一方面是加强网络安全人才的多样性。为扭转会前因演讲嘉宾多男性少女性而被批评的境界，RSA组委在会议中有意突出了女性的力量，并成功举行了“我们的安全倡导者（OURSA）”的网络安全会议，倡导培养更多的女性网络安全人才，扩大网络安全的多样性。 “编程女孩”项目（Girls Who Codes）创始者拉什玛•桑贾妮演讲时呼吁，让更多年轻女性学习计算机科学。“编程女孩”项目成立于2012年,是一个非营利性国际组织，致力于帮助年轻女孩在计算机领域获得专业技能、学位和职业机会。

为了应对安全人才不足的问题，英特尔则与普渡大学联合发布了“安全设计”计划，以改变安全只是事后补救的现状。从生产和学术两个层面，为生产网络或网络物理系统的起因，以及培养设计网络或网络物理系统的工程师和科学家的大学，提供帮助。

国际信息系统审计协会（ISACA）在RSA大会上发布的2018网络安全现状报告显示，高达59%的机构存在安全职位空缺，且无法找到合适的人才。更值得注意的是，国际信息系统审计协会（ISACA）副主席Rob Clyde认为，尽管企业和相关机构在近年努力缩短安全人才缺口，但显然还有很多工作要做。“我们并没有缩短人才缺口，情况在变得更糟。安全行业是个需求旺盛的就业市场，人才需求远远超过供给。”

除了建议企业采取多样性的措施，增加女性比例，国际信息系统审计协会（ISACA）还建议企业投入现有员工的教育和技能发展；此外企业还应该减少对于安全职位人选的教育背景限制与要求。

工业安全获得业界重视

在本次大会上，工业安全再次获得业界重视。从这会议的日程安排上，大会特设专题sandbox环节，大型综合厂商普遍关注ICS安全。

在大会第一天，微软总裁Brad Smith发布了一款新的安全产品，称为Azure Sphere，包括定制的安全芯片、配套的定制Linux操作系统以及基于云的安全检测服务三个部分。这款产品的主要目的是保护物联网（IoT）设备，包括智能家居、联网玩具等智能设备。据称今年年底，第一批Azure Sphere驱动的IoT设备将在商店上架。

SANS研究所的主任Alan Paller和SANS三位研究员Ed Skoudis、James Lyne、Johannes Ullrich总结分析了5种最危险的的网络攻击技术，其中就包括针对工控攻击：存储库和云存储数据泄漏、大数据进行反匿名处理和相关性分析、工业控制性攻击：目的性和方法、攻击者将通过挖矿机将受损系统货币化、硬件缺陷。

对RSA大会四个展区——West Expo、North Expo、South Expo、Marriott Marquis进行观察，可以发现大型综合安全厂商普遍关注工业安全，如Symantec、卡巴斯基、Macfee、趋势等均特别介绍了工业安全，并有专题演讲。Macfee分析了2017年的wanncry、Notpetay、Triton的事件的影响，趋势分析了工业风减少策略（增加可视性、保护、探测、响应、合作），卡巴斯基提出了工业安全的风险模型、发展趋势，建议提升安全意识和训练、加强应用安全的软件和专家服务。

除了专门设置ICS 、IoT、Car HACKING的sandbox环节，并有十余场的专题演讲，其中包括：

A Quick Start Guide for Critical Infrastructure Protection

Defeating Insider Threats to Critical Infrastructure

My Life as a CISO

Insecure Cities and Rogue Robots: The Impact of Industrial IoT Exploits

No IOUs with IOT

SCADA 101

A SOC in the Sandbox

Think Like a Hacker But Act Like an Engineer

整体来说，各大厂商均建议工业企业要制定IT和OT的安全策略，分析IT和OT对CIA和AIC的优先排序，从架构上和配置上整体考虑安全防护、应用SOC/NOC进行网络管理和危险探测、建立IT和OT一体化的安全团队等，这与去年360对工业互联网安全提出的建议颇为相似，异曲同工。



来自：安全内参