一年一度的RSAC堪称是网络安全圈顶级盛会,吸引了世界各地信息安全从业者的广泛参与。有的希望通过RSAC了解到未来安全技术的发展趋势,有的将其视为世界级舞台来展示公司实力,还有的将其作为Social聚会良机。
近日,笔者有幸聆听了“安全喷子”程度先生关于RSAC 2020的一场直播,感触颇多,于是撰写了这篇杂记分享给大家。作为安全老兵,程度先生曾连续多年参加RSAC大会,今年由于疫情的特殊原因没能去现场,但是他对于RSAC热点趋势也是非常关心。结合程度先生直播所讲内容以及笔者自己理解,简单整理了一些今年RSAC主题、趋势、创新沙盒、事件响应 等方面的内容供大家了解。
‘Human’终于成为关注核心
RSAC2020主题是“Human Element”,可以理解为“以人为本”,也就是人将会成为安全最根本、最需要考虑一个因素。这是我们安全认知水平一大进步,也是RSAC二十多年中最具里程碑性质一次主题定义。防御者和攻击者所采用技术、策略虽然在不断迭代更新,但是唯一不变就是“我们人”,也就是说人在网络安全中所扮演角色永远都不会消失。对于安全而言,人永远是最不能忽视的一个因素。
虽然过去国内也有一些行业会议从人的角度来设计活动主题,比如2017年ISC大会主题“人是安全的尺度”。但是RSAC主题“Human Element”这个主题包含了一个更大的概念,包括网络安全人才短缺、行业人员之间沟通、安全专业人员发展、人是安全防御中最薄弱的一环等各种跟人相关方面。
这一点可以从今年的RSAC热词、创新沙盒等项目中也能看出一些映射。之前人们去RSAC会议,更多的是关注展会上出现的新技术、新场景、新应用,而忽略了人这个最根本因素。但是今年RSAC有所变化,比如首次亮相的“Engagement Zone”,旨在为参会人员创造一个更加方便社交的空间,让大家可以一起探讨解决方案、新的工作机会、结交新朋友等,这就充分考虑人本身因素。为此,RSAC还提出了一个“Braindate(大脑约会)”概念,为与会者预留会议空间,方便进行一对一或小组讨论。
Engagement Zone
十大网络安全趋势之“Product Security”
RSAC从收到的2400份演讲申请中,总结出了十大当下的网络安全趋势。考虑到之前也有一些媒体系统盘点过十大安全趋势,我这里重点谈下今年新出现概念“Product Security”。
RSAC2020新增了关于“产品安全和开源工具”议题,包含了保护开发生命周期与框架、连接产品和设备的安全性、开源代码安全、以及日益提升的CPSO(首席产品安全官)需求。有人将Product Security的管理者比喻成“麦田守望者”,待在一个角落里看着一群孩子在疯狂玩耍,但是一旦有人跑向悬崖边,Product Security Leader一定会第一时间冲出来拉住小孩。他们不会容忍接受风险,不会自己去开发代码等。但从本质上来说Product Security与DevSecOps一脉相承,都是将安全前置,甚至要求在代码开发之前就将安全因素纳入考虑范畴之中,而不是在后期不停去打补丁或者在外围增添安全设备。Product Security除了要考虑安全前置,还需要考虑开源工具安全。当下有很多高质量、能够迎合技术发展趋势的开源工具,在云安全、Serverless、容器等领域都出现了很多优秀的开源工具。从安全市场看也是如此,比如漏扫、IPS、IDS等都有相关开源软件,这些开源软件在某个阶段引领了整个市场发展。当然国内很多安全公司也吸收了一些开源软件思路,在此基础上新增一些客户安全诉求点。所以开源工具和商业化运转是一个相辅相成的过程,但是因为开源工具没有专业固定的人员去维护其安全性,因此在应用开源工具时候一定做好安全检查工作。
RSAC2020创新沙盒冠军将花落谁家?
除RSAC主题和十大安全趋势,大家都非常关注就是每年RSAC创新沙盒。目前RSAC官网公布创新沙盒十强,在各自领域都非常优秀。当然就个人而言,比较看好Elevate Security和Vulcan这两家公司能够夺得今年冠军。
Elevate Security公司产品服务非常契合今年的主题“Human Element”,帮助企业通过已经拥有的数据来给员工打分,观察操作的趋势,并提供个性化的交流,促使员工养成更好的安全习惯。其产品利用四大组件进行管理:通过Vision让安全管理员对员工行为及相关风险做出分析;Reflex负责运行基准评估,并对员工活动进行指标分析;Pulse负责为员工提供培训,帮助他们改善自己的高风险行为;Hacker's Mind则提供一种游戏化培训方案。
Elevate Security产品四个组件
看好Elevate Security是因为其“政治正确”,完美符合大会主题,而看好Vulcan是因为其尝试解决多年安全顽疾——漏洞修复难题。Vulcan这个名字也非常有意思,跟漏洞补丁相关,自己YY下难道是Vulnerability Scan这两个英文单词首尾各取3个字母?
做安全的都知道,打补丁绝对是一个费力不讨好事,而Vulcan这家公司尝试采用编排自动化方式提高安全运营者修复漏洞效率。Vulcan最大价值就是汇总了多个来源的漏洞信息库,继而减少安全运营人员维护压力。Vulcan集成涵盖威胁情报、风险评估、资产管理、SCA、DAST、SAST等几十个行业领先工具包,例如漏洞评估类Qualys、Tenable、Rapid7;SCA类WhiteSource、WhiteHat SCA、Blackduck等等产品,官方说明是能实现动态协调漏洞修复流程和大规模自动化。Vulcan能够这么做,也得益于国外友好2B生态环境,这种情况很难在国内市场看到,包括安全公司、甲方企业大家基本都运营维护着一套自有漏洞数据库。
当然,创新沙盒冠军也只是市场大众一个看法而已,创新沙盒的排名也并不代表绝对发展优势。国内安全从业者虽然可以从每年创新沙盒中分析判断出一些未来安全发展趋势,但是仍然要考虑国内企业IT建设水平、客户意愿度、接受度,不建议盲目、简单粗暴跟风,毕竟安全除了技术以外还需要考虑市场、意识等各方面问题。
个人最关注Incident Response
从本届RSA统计出近100个安全热词看,Top 10是云安全、数据安全、网络安全、黑客与威胁、应用安全、威胁情报、终端安全、管理与合规风险、人工智能、风险评估。其中云安全、数据安全、网络安全(Network security)已经连续三年排名前三,而新增热词是黑客与威胁(Hackers & threats)。当然就个人而言,比较关注排在第12位的Incident Response。
RSAC2020安全热词排名
众所周知,随着网络攻击技术和自制工具越来越先进,攻击者和网络犯罪组织变得越来越嚣张,与此同时组织机构想要检测入侵是否已经发生却变得越来越困难。没有任何一种技术能够100%检测到恶意活动。整个网络环境变得愈发复杂,传统基于特征值的被动检测技术效果变得越来越差。因此人们不得不主动出击去狩猎,也就是“威胁捕获”。威胁捕获是主动防御一个关键动作,也是更快、更精准实现事件响应一个非常重要的环节。这里建议大家将更多精力聚焦于事件响应上,而不是单纯防御上。
威胁捕获是一种聚焦于追踪攻击者以及攻击者在进行侦查、执行恶意软件、窃取敏感数据时留下痕迹的一种主动防御技术。威胁捕获不仅只是简单技术标记和报警可疑的活动,还需要应用人的分析能力以及对环境上下文的理解来更快速地确定何时发生了未授权的活动。这使得攻击可以更早被发现,在攻击者完成攻击目标之前阻止其恶意行为。当然,实践威胁捕获,需要有可用的工具可以帮助分析人员看清其组织网络中到底发生了什么,包括通过日志分析技术等。
目前,青藤也在事件响应方面做了很长时间研究,在产品和方案层面已经完成扎实工作,不用多久即将向市场推出威胁捕获相关产品服务,让我们拭目以待。
文章来源:网络