RSA 2018:從大會(huì)議題看2018年網(wǎng)絡(luò)安全趨勢(shì)
2018年04月18日
根據(jù)RSA 2018大會(huì)提交的議題資料�����,可以發(fā)現(xiàn)我們正處于安全領(lǐng)域的一大關(guān)鍵性時(shí)刻,明天就要開(kāi)始的大會(huì)也必將滿(mǎn)載激動(dòng)人心的精彩內(nèi)容���。除了即將出臺(tái)的全球性重大政策與法規(guī)之外���,DevOps、自動(dòng)化以及機(jī)器學(xué)習(xí)也已經(jīng)證明了自身獲得成功的能力(無(wú)論對(duì)好人還是壞人來(lái)說(shuō))�����。身份與補(bǔ)丁安裝再次得到關(guān)注�。物聯(lián)網(wǎng)的發(fā)展速度并沒(méi)有放緩,ICS與供應(yīng)鏈攻擊讓我們擔(dān)憂(yōu)��。密碼已經(jīng)消亡(當(dāng)然,這已經(jīng)不是密碼第一次被宣判死刑)�����。還有虛假新聞?!在討論保護(hù)世界以及全人類(lèi)乃至設(shè)備而努力的時(shí)候����,人為錯(cuò)誤確定、一定以及肯定會(huì)成為重要的議題���。
下面��,讓我們一起來(lái)看RSAC2018大會(huì)已經(jīng)收到的內(nèi)容當(dāng)中所體現(xiàn)出的一些重要趨勢(shì):
1. 人工智能
在之前的討論當(dāng)中����,我們一直都將人工智能視為一大核心議題��。從今年的情況來(lái)看�,人工智能開(kāi)始越來(lái)越多地同云計(jì)算的普及扯上關(guān)系。2016年的提交內(nèi)容顯示出人們對(duì)于機(jī)器接管世界的恐懼心理; 但著眼于2017年���,情況似乎走向了另一個(gè)極端——人類(lèi)開(kāi)始休假��,相當(dāng)一部分工作開(kāi)始由機(jī)器進(jìn)行代勞�。而在2018年的提交內(nèi)容中,我們終于看到討論從極端回歸中立����,即我們開(kāi)始努力在人與機(jī)器之間建立起健康的共生關(guān)系,二者不再是一方完全取代另一方的關(guān)系����。我們正在學(xué)習(xí)如何利用人工智能成果來(lái)補(bǔ)充、放大并強(qiáng)化我們的活動(dòng)——當(dāng)然��,我們也意識(shí)到其中仍存在著一些局限���,特別是在對(duì)更多新的應(yīng)用領(lǐng)域的探索當(dāng)中。我們看到人工智能與機(jī)器學(xué)習(xí)迎來(lái)了更多實(shí)際應(yīng)用方向�����,包括自動(dòng)駕駛車(chē)輛�����、虛假新聞檢測(cè)��、生物識(shí)別認(rèn)證��、缺陷檢測(cè)與預(yù)測(cè)、IT配置驗(yàn)證以及DevOps等等——這份清單極為豐富�,甚至有人開(kāi)始呼吁為此制定一份以道德為立足點(diǎn)的發(fā)展路線(xiàn)圖。也正是因?yàn)榭紤]到機(jī)器學(xué)習(xí)的重要地位��,我們決定專(zhuān)門(mén)為其建立通道�����,旨在集中更多教育重點(diǎn)以進(jìn)一步加速其發(fā)展����。然而,我們并不是AI發(fā)展成熟的惟一受益者——好人與壞人都能夠享受到這一歷史性紅利�。事實(shí)上,關(guān)于“黑帽AI”發(fā)動(dòng)攻擊的報(bào)道正持續(xù)增加�。而隨著Alexa與Siri被越來(lái)越多地引入更多人的日常生活,AI背后所隱藏的黑暗面與隱私含義也開(kāi)始得到更為廣泛的關(guān)注����。
2. 人為操縱
通過(guò)技術(shù)實(shí)施人為操縱在本屆大會(huì)上同樣成為關(guān)注焦點(diǎn)。因?yàn)楫?dāng)掌握了由各方意圖所驅(qū)動(dòng)的情感思維與行為(最典型的例子自然是2016年的美國(guó)總統(tǒng)大選)之后�,我們自然能夠?qū)崿F(xiàn)心理推動(dòng),并借此以多年為周期對(duì)攻擊目標(biāo)的聲譽(yù)造成嚴(yán)重危害�。考慮到在對(duì)方未作準(zhǔn)備的前提下操縱意見(jiàn)并實(shí)施后續(xù)行動(dòng)實(shí)在極為簡(jiǎn)單�����,一部分與會(huì)者擔(dān)心與財(cái)務(wù)報(bào)告、社交媒體帖子以及健康記錄等相關(guān)的微小數(shù)據(jù)變化極有可能對(duì)個(gè)人�、組織、國(guó)家乃至全球范圍造成長(zhǎng)期持久且極為嚴(yán)重的惡劣影響��。而隨著技術(shù)的進(jìn)步���,創(chuàng)建照片����、錄音甚至是視頻都開(kāi)始變得非常容易……因此�����,我們?cè)摬扇∧男┍Wo(hù)措施以確保我們思維與數(shù)據(jù)的完整性?在我們看來(lái)����,第一步自然是對(duì)這一攻擊向量展開(kāi)探索���。
3. ICS與供應(yīng)鏈攻擊
供應(yīng)鏈攻擊之于2017年�,正如勒索軟件之于2016年����。今年的頭條新聞中充斥著以往只有好萊塢編劇們才想得到的攻擊活動(dòng)——這不僅僅是那種令人驚呼“哇哦”的攻擊�,而真正開(kāi)始對(duì)全球關(guān)鍵信息基礎(chǔ)設(shè)施造成實(shí)際影響���。NotPetya的出現(xiàn)給制造行業(yè)敲響了警鐘�����,提醒他們應(yīng)該更為清醒地供應(yīng)鏈安全性加以審查�����。與其它類(lèi)型的網(wǎng)絡(luò)威脅一樣���,ICS(工業(yè)控制系統(tǒng))攻擊在過(guò)去幾年中一直呈現(xiàn)出規(guī)模性與復(fù)雜度上的雙重升級(jí),而這自然源自工業(yè)系統(tǒng)連接性的不斷增強(qiáng)���。此次提交的意見(jiàn)集中在ICS網(wǎng)絡(luò)攻擊的獨(dú)特性上���,包括攻擊者的意圖、復(fù)雜性與能力�、對(duì)ICS與自動(dòng)化流程的熟悉程度(今年的自動(dòng)化攻擊活動(dòng)開(kāi)始大幅增加)等等。此外�����,我們也開(kāi)始探索一些由供應(yīng)鏈攻擊造成的“附帶損害”,即一輪攻擊給供應(yīng)鏈中的其它無(wú)關(guān)方帶來(lái)的損害�����。為什么人們對(duì)于目前的威脅形勢(shì)普遍表現(xiàn)出恐慌情緒?這是因?yàn)閿?shù)量龐大的核心基礎(chǔ)設(shè)施仍以過(guò)時(shí)的技術(shù)為基礎(chǔ)���,其包含大量接觸點(diǎn)且會(huì)引發(fā)極為嚴(yán)重的影響��。
4. 區(qū)塊鏈
我們注意到今年區(qū)塊鏈技術(shù)也成為一大關(guān)注重點(diǎn)����,特別是對(duì)其從理論到實(shí)際應(yīng)用的探討���。隨著區(qū)塊鏈技術(shù)的升級(jí)與擴(kuò)展���,一些人指出有必要為其制定真正的標(biāo)準(zhǔn)與安全協(xié)議。區(qū)塊鏈正越來(lái)越多地作為物聯(lián)網(wǎng)�����、支付(無(wú)論實(shí)際規(guī)模如何���,特別是點(diǎn)對(duì)點(diǎn)支付)�����、身份�����、ICO��、忠誠(chéng)度計(jì)劃�、共享資源分配以及聯(lián)網(wǎng)設(shè)備等的有效解決方案��。內(nèi)容提交者們正積極探索區(qū)塊鏈技術(shù)中的分布式信任模型與可用性能夠如何作為安全解決方案實(shí)現(xiàn)用戶(hù)管理與自身管理�,并借此幫助企業(yè)改進(jìn)運(yùn)營(yíng)能力、安全性并帶來(lái)新的服務(wù)類(lèi)型��。此外��,壞人們當(dāng)然也不會(huì)錯(cuò)過(guò)區(qū)塊鏈這一重要機(jī)遇�����。我們對(duì)于區(qū)塊鏈內(nèi)容的深度分享很感興趣�����,因此計(jì)劃組織一場(chǎng)以區(qū)塊鏈為核心議題的研討會(huì)。
5. 物聯(lián)網(wǎng)與醫(yī)療設(shè)備
與往年一樣���,本屆會(huì)議上仍然包含大量物聯(lián)網(wǎng)內(nèi)容——其主要集中在解決方案層面����,而不再是以往的問(wèn)題發(fā)現(xiàn)�����。我們正在學(xué)習(xí)如何一口吞下這塊規(guī)?����?捎^的“大蛋糕”���。最重要的是��,我們還考慮到與醫(yī)療設(shè)備相關(guān)黑客攻擊及保護(hù)手段的意見(jiàn)數(shù)量�����,部分相關(guān)內(nèi)容甚至具有極為可觀的深度——包括一位醫(yī)療設(shè)備從業(yè)者將加入進(jìn)來(lái)��,把討論的層次由以往的安全對(duì)話(huà)升級(jí)至真正的解決方案水平�����。我們將考慮技術(shù)性解決方案是否足以解決醫(yī)療行業(yè)所面臨的挑戰(zhàn)(盡管大量遺留設(shè)備早在聯(lián)網(wǎng)時(shí)代之前就已經(jīng)制造并部署完成)���,抑或需要配合監(jiān)管制度才有可能建立起真正可行且可靠的方案。另外���,人們還關(guān)注如何對(duì)來(lái)自這些設(shè)備的數(shù)據(jù)進(jìn)行調(diào)查�����,呼吁行業(yè)更好地管理這些遠(yuǎn)超必要數(shù)據(jù)量的收集信息�,同時(shí)確保不在未經(jīng)原始擁有者許可的前提下進(jìn)行共享��。在這方面��,隱私與安全再次成為重要的對(duì)話(huà)內(nèi)容�。
6. 情報(bào)共享
或者更準(zhǔn)確地講,應(yīng)該叫情報(bào)匱乏!去年的大會(huì)在情報(bào)共享方面提出了大量意見(jiàn)��,以至于我們甚至為其專(zhuān)門(mén)組織了一場(chǎng)為期半天的研討會(huì)。今年……呃�����,所提交的意見(jiàn)主要集中在組織機(jī)構(gòu)在與外部各方進(jìn)行情報(bào)共享時(shí)所出現(xiàn)的無(wú)數(shù)實(shí)際問(wèn)題��。一些人探討了情報(bào)共享所面臨的技術(shù)挑戰(zhàn)�,而這些挑戰(zhàn)往往要求參與方配合情境信息才能真正運(yùn)用相關(guān)情報(bào),否則一切將毫無(wú)意義��。其他人則感嘆各類(lèi)組織機(jī)構(gòu)往往使用不同的標(biāo)準(zhǔn)與執(zhí)行方式�,這種相互沖突的行事方針導(dǎo)致行業(yè)標(biāo)準(zhǔn)實(shí)際上無(wú)從起效。也有一些提交者探討了情報(bào)共享的商業(yè)意義:其會(huì)幫助組織機(jī)構(gòu)獲得市場(chǎng)優(yōu)勢(shì)�、觸發(fā)法律責(zé)任抑或違反隱私承諾?就目前來(lái)看,我們似乎僅僅出于熱情而進(jìn)行情報(bào)共享……但人們已經(jīng)意識(shí)到�����,只要方法正確���,這樣做確實(shí)能夠帶來(lái)一定收益�����。
7. 身份
今年�,密碼又死了,但身份機(jī)制卻非?�;钴S����,且其討論范圍遠(yuǎn)遠(yuǎn)超出了設(shè)備應(yīng)當(dāng)在高度自動(dòng)化背景下所需要識(shí)別并保證的程度�����。我們正在努力管理�����、追蹤并保障各類(lèi)組織機(jī)構(gòu)當(dāng)中人與機(jī)器間的相互關(guān)系�����,而此類(lèi)數(shù)字在物聯(lián)風(fēng)領(lǐng)域正呈現(xiàn)出指數(shù)級(jí)的增長(zhǎng)�����。更具體地講�����,在交換信息之前先回答對(duì)方“是誰(shuí)”的問(wèn)題,已經(jīng)成為安全從業(yè)人員所面臨的最為重要的挑戰(zhàn)——提交者們認(rèn)為����,必須使用強(qiáng)有力且可信的身份保證機(jī)制才能作出回應(yīng)。然而���,我們?cè)撊绾胃玫貙?shí)現(xiàn)這一目標(biāo)?很明顯����,我們需要立足云環(huán)境�����、移動(dòng)設(shè)備��、供應(yīng)鏈以及各類(lèi)端點(diǎn)找到確切有效的創(chuàng)新性解決方案�。
8. 基礎(chǔ)設(shè)施
除了ICS攻擊之外,或者說(shuō)正是因此受到啟發(fā)�,今年的提交內(nèi)容中也包含大量與基礎(chǔ)設(shè)施相關(guān)的議題。我們還注意到�����,與DNS以及端點(diǎn)相關(guān)的內(nèi)容亦有所增加���。我們發(fā)現(xiàn)此次提交的內(nèi)容中包含大量與軟件定義邊界相關(guān)的資料�����,包括DISA暗網(wǎng)���、Jericho����、零信任模型以及谷歌BeyondCorp等等�����。這一切在過(guò)去幾年內(nèi)都得到了一定關(guān)注�,但今年似乎再次被與會(huì)者們所重視����,而這很可能預(yù)示著未來(lái)的趨勢(shì)走向。更具體地講��,最終用戶(hù)開(kāi)始討論這些議題��,而不僅只有供應(yīng)商在為此作出承諾���。另外�����,我們也看到更多與修復(fù)相關(guān)的討論�����,這很可能源自人們對(duì)勒索軟件活動(dòng)與Equifax安全違規(guī)等事件的擔(dān)憂(yōu)��。在這方面����,自動(dòng)化概念與監(jiān)管要求再度出場(chǎng)——人們開(kāi)始爭(zhēng)論是否應(yīng)將補(bǔ)丁更新視為強(qiáng)制性制度。
9. GDPR��、風(fēng)險(xiǎn)管理與恢復(fù)能力
GDPR及其對(duì)全球各類(lèi)組織機(jī)構(gòu)帶來(lái)的重大影響(也許還包括其它具備同樣顛覆性效果的標(biāo)準(zhǔn)與政策)在今年的提交內(nèi)容中占據(jù)了相當(dāng)可觀的比例�����。正因?yàn)槿绱?���,我們同樣決定組織一場(chǎng)以GDPR為核心議題的研討會(huì)。眾多供應(yīng)商已經(jīng)投身于這股潮流����,認(rèn)為這將帶來(lái)一種神奇且獨(dú)一無(wú)二的普適性解決方案; 但在另一方面�����,最終用戶(hù)則指出對(duì)于組織機(jī)構(gòu)內(nèi)部的安全要求遵守工作而言����,人與流程要比技術(shù)更為重要�����。這不禁讓我們想起了易捷航空公司支付安全部門(mén)負(fù)責(zé)人John Elliott在2017年RSAC倫敦大會(huì)上作出的一場(chǎng)精彩演講�����。一方面��,隱私與數(shù)據(jù)保護(hù)之間的摩擦正持續(xù)升級(jí)�,另一方面業(yè)務(wù)支持與客戶(hù)參與信息確實(shí)息息相關(guān)����。而在這場(chǎng)拉鋸戰(zhàn)中,我們還將見(jiàn)證區(qū)塊鏈����、物聯(lián)網(wǎng)以及人工智能的持續(xù)加入并在其中扮演越來(lái)越重要的角色����。我們還注意到�,人們對(duì)于合規(guī)性乃至治理層面的風(fēng)險(xiǎn)管理與恢復(fù)能力表達(dá)出高度重視,并希望通過(guò)商業(yè)視角從整體層面看待風(fēng)險(xiǎn)因素——這種趨勢(shì)有可能掀起一波網(wǎng)絡(luò)保險(xiǎn)與網(wǎng)絡(luò)風(fēng)險(xiǎn)保障�、真實(shí)安全成本衡量以及安全評(píng)級(jí)(包括供應(yīng)商代碼安全性與工具安全功能等)的討論。我們希望能夠利用企業(yè)當(dāng)中同一類(lèi)別的度量工具對(duì)安全的有效性加以衡量及驗(yàn)證����。
10. 人的因素
令人耳目一新的是,我們還注意到一項(xiàng)明確的線(xiàn)索����,即提交者們開(kāi)始將員工作為安全工作中的基本個(gè)體與單位。我們密切關(guān)注著如何建立一支強(qiáng)大的團(tuán)隊(duì)以實(shí)現(xiàn)最理想的安全態(tài)勢(shì)�����,而在此之中意識(shí)與思維�����、教育背景���、年齡����、性別以及經(jīng)驗(yàn)等因素的多樣性將非常重要。這不僅僅是在討論男女之間的差異��,而是在圍繞著更為宏觀的多樣性展開(kāi)討論�。有人指出,主流媒體對(duì)Equifax安全違規(guī)事件的報(bào)道以及高管背景的多樣性狀況(例如‘僅擁有音樂(lè)學(xué)位的人怎么可能負(fù)責(zé)安全工作?’等質(zhì)疑)確實(shí)應(yīng)當(dāng)引起重視——人們認(rèn)為����,對(duì)不同教育背景的粗暴否定影響到我們保障安全的能力與彈性水平。當(dāng)然作為前提��、起點(diǎn)乃至持續(xù)性基礎(chǔ)�,我們也需要建立起有效的教育與培訓(xùn)機(jī)制。良好網(wǎng)絡(luò)安全勞動(dòng)力框架(NICE Cybersecurity Workforce Framework)似乎就是個(gè)很好的答案���,提交者們認(rèn)為其可用于快速發(fā)現(xiàn)最適合執(zhí)行特定安全工作的人員選項(xiàng)。我們還看到更多關(guān)于全球范圍內(nèi)優(yōu)秀項(xiàng)目的評(píng)論意見(jiàn)��,這些項(xiàng)目也確實(shí)幫助特定人群在網(wǎng)絡(luò)安全方面取得了成功�。我們對(duì)這類(lèi)對(duì)話(huà)及慶典活動(dòng)很感興趣,為了保證這種多元化態(tài)勢(shì)��,我們決定在本屆RSA大會(huì)中為其召開(kāi)一場(chǎng)專(zhuān)題研討會(huì)。
當(dāng)然�,這十條重點(diǎn)絕對(duì)不足以涵蓋此次我們收到的超過(guò)2100份議題資料的全部趨勢(shì)。我們注意到以量子計(jì)算為核心的議題開(kāi)始增加���,也有一些人開(kāi)始對(duì)合法入侵感到擔(dān)憂(yōu)——他們認(rèn)為近期的一些案例可能意味著合法入侵的黑客也許終將逃避牢獄之災(zāi)����。同樣的��,人們也越來(lái)越關(guān)注對(duì)地緣政治的研究——我們是否會(huì)因?yàn)槭澜缟夏承┑貐^(qū)的爭(zhēng)端而受到影響(這里人們反復(fù)使用了‘巴爾干化’這一表述)?當(dāng)然��,也有不少人提到了其有趣的數(shù)字化轉(zhuǎn)型之旅以及關(guān)于源代碼開(kāi)放(開(kāi)源軟件的普及度正持續(xù)提升)的安全性擔(dān)憂(yōu)��。由于這種安全感缺失的存在����,我們?cè)谠絹?lái)越多的議題中注意到“安全債務(wù)”這一說(shuō)法。
最后���,我們對(duì)于2018年RSA大會(huì)所收到的議題感到興奮與激動(dòng)����,也欣慰于我們與大家建立起的這種協(xié)同工作與持續(xù)交流的關(guān)系。RSA大會(huì)最為重要的主題��,永遠(yuǎn)是建立社區(qū)力量并增加面對(duì)面交流的機(jī)會(huì)��。在共同努力讓世界變得更加安全的同時(shí)���,我們也要始終保持這樣的交流能力�。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)�、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”、“制度流程”���、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢(xún)�、評(píng)估、規(guī)劃�、管控、建設(shè)��、培訓(xùn)等����。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。
