2018年04月18日
根據(jù)RSA 2018大會提交的議題資料,可以發(fā)現(xiàn)我們正處于安全領(lǐng)域的一大關(guān)鍵性時刻,明天就要開始的大會也必將滿載激動人心的精彩內(nèi)容。除了即將出臺的全球性重大政策與法規(guī)之外,DevOps、自動化以及機器學(xué)習(xí)也已經(jīng)證明了自身獲得成功的能力(無論對好人還是壞人來說)。身份與補丁安裝再次得到關(guān)注。物聯(lián)網(wǎng)的發(fā)展速度并沒有放緩,ICS與供應(yīng)鏈攻擊讓我們擔(dān)憂。密碼已經(jīng)消亡(當(dāng)然,這已經(jīng)不是密碼第一次被宣判死刑)。還有虛假新聞?!在討論保護世界以及全人類乃至設(shè)備而努力的時候,人為錯誤確定、一定以及肯定會成為重要的議題。
下面,讓我們一起來看RSAC2018大會已經(jīng)收到的內(nèi)容當(dāng)中所體現(xiàn)出的一些重要趨勢:
1. 人工智能
在之前的討論當(dāng)中,我們一直都將人工智能視為一大核心議題。從今年的情況來看,人工智能開始越來越多地同云計算的普及扯上關(guān)系。2016年的提交內(nèi)容顯示出人們對于機器接管世界的恐懼心理; 但著眼于2017年,情況似乎走向了另一個極端——人類開始休假,相當(dāng)一部分工作開始由機器進行代勞。而在2018年的提交內(nèi)容中,我們終于看到討論從極端回歸中立,即我們開始努力在人與機器之間建立起健康的共生關(guān)系,二者不再是一方完全取代另一方的關(guān)系。我們正在學(xué)習(xí)如何利用人工智能成果來補充、放大并強化我們的活動——當(dāng)然,我們也意識到其中仍存在著一些局限,特別是在對更多新的應(yīng)用領(lǐng)域的探索當(dāng)中。我們看到人工智能與機器學(xué)習(xí)迎來了更多實際應(yīng)用方向,包括自動駕駛車輛、虛假新聞檢測、生物識別認證、缺陷檢測與預(yù)測、IT配置驗證以及DevOps等等——這份清單極為豐富,甚至有人開始呼吁為此制定一份以道德為立足點的發(fā)展路線圖。也正是因為考慮到機器學(xué)習(xí)的重要地位,我們決定專門為其建立通道,旨在集中更多教育重點以進一步加速其發(fā)展。然而,我們并不是AI發(fā)展成熟的惟一受益者——好人與壞人都能夠享受到這一歷史性紅利。事實上,關(guān)于“黑帽AI”發(fā)動攻擊的報道正持續(xù)增加。而隨著Alexa與Siri被越來越多地引入更多人的日常生活,AI背后所隱藏的黑暗面與隱私含義也開始得到更為廣泛的關(guān)注。
2. 人為操縱
通過技術(shù)實施人為操縱在本屆大會上同樣成為關(guān)注焦點。因為當(dāng)掌握了由各方意圖所驅(qū)動的情感思維與行為(最典型的例子自然是2016年的美國總統(tǒng)大選)之后,我們自然能夠?qū)崿F(xiàn)心理推動,并借此以多年為周期對攻擊目標(biāo)的聲譽造成嚴(yán)重危害。考慮到在對方未作準(zhǔn)備的前提下操縱意見并實施后續(xù)行動實在極為簡單,一部分與會者擔(dān)心與財務(wù)報告、社交媒體帖子以及健康記錄等相關(guān)的微小數(shù)據(jù)變化極有可能對個人、組織、國家乃至全球范圍造成長期持久且極為嚴(yán)重的惡劣影響。而隨著技術(shù)的進步,創(chuàng)建照片、錄音甚至是視頻都開始變得非常容易……因此,我們該采取哪些保護措施以確保我們思維與數(shù)據(jù)的完整性?在我們看來,第一步自然是對這一攻擊向量展開探索。
3. ICS與供應(yīng)鏈攻擊
供應(yīng)鏈攻擊之于2017年,正如勒索軟件之于2016年。今年的頭條新聞中充斥著以往只有好萊塢編劇們才想得到的攻擊活動——這不僅僅是那種令人驚呼“哇哦”的攻擊,而真正開始對全球關(guān)鍵信息基礎(chǔ)設(shè)施造成實際影響。NotPetya的出現(xiàn)給制造行業(yè)敲響了警鐘,提醒他們應(yīng)該更為清醒地供應(yīng)鏈安全性加以審查。與其它類型的網(wǎng)絡(luò)威脅一樣,ICS(工業(yè)控制系統(tǒng))攻擊在過去幾年中一直呈現(xiàn)出規(guī)模性與復(fù)雜度上的雙重升級,而這自然源自工業(yè)系統(tǒng)連接性的不斷增強。此次提交的意見集中在ICS網(wǎng)絡(luò)攻擊的獨特性上,包括攻擊者的意圖、復(fù)雜性與能力、對ICS與自動化流程的熟悉程度(今年的自動化攻擊活動開始大幅增加)等等。此外,我們也開始探索一些由供應(yīng)鏈攻擊造成的“附帶損害”,即一輪攻擊給供應(yīng)鏈中的其它無關(guān)方帶來的損害。為什么人們對于目前的威脅形勢普遍表現(xiàn)出恐慌情緒?這是因為數(shù)量龐大的核心基礎(chǔ)設(shè)施仍以過時的技術(shù)為基礎(chǔ),其包含大量接觸點且會引發(fā)極為嚴(yán)重的影響。
4. 區(qū)塊鏈
我們注意到今年區(qū)塊鏈技術(shù)也成為一大關(guān)注重點,特別是對其從理論到實際應(yīng)用的探討。隨著區(qū)塊鏈技術(shù)的升級與擴展,一些人指出有必要為其制定真正的標(biāo)準(zhǔn)與安全協(xié)議。區(qū)塊鏈正越來越多地作為物聯(lián)網(wǎng)、支付(無論實際規(guī)模如何,特別是點對點支付)、身份、ICO、忠誠度計劃、共享資源分配以及聯(lián)網(wǎng)設(shè)備等的有效解決方案。內(nèi)容提交者們正積極探索區(qū)塊鏈技術(shù)中的分布式信任模型與可用性能夠如何作為安全解決方案實現(xiàn)用戶管理與自身管理,并借此幫助企業(yè)改進運營能力、安全性并帶來新的服務(wù)類型。此外,壞人們當(dāng)然也不會錯過區(qū)塊鏈這一重要機遇。我們對于區(qū)塊鏈內(nèi)容的深度分享很感興趣,因此計劃組織一場以區(qū)塊鏈為核心議題的研討會。
5. 物聯(lián)網(wǎng)與醫(yī)療設(shè)備
與往年一樣,本屆會議上仍然包含大量物聯(lián)網(wǎng)內(nèi)容——其主要集中在解決方案層面,而不再是以往的問題發(fā)現(xiàn)。我們正在學(xué)習(xí)如何一口吞下這塊規(guī)模可觀的“大蛋糕”。最重要的是,我們還考慮到與醫(yī)療設(shè)備相關(guān)黑客攻擊及保護手段的意見數(shù)量,部分相關(guān)內(nèi)容甚至具有極為可觀的深度——包括一位醫(yī)療設(shè)備從業(yè)者將加入進來,把討論的層次由以往的安全對話升級至真正的解決方案水平。我們將考慮技術(shù)性解決方案是否足以解決醫(yī)療行業(yè)所面臨的挑戰(zhàn)(盡管大量遺留設(shè)備早在聯(lián)網(wǎng)時代之前就已經(jīng)制造并部署完成),抑或需要配合監(jiān)管制度才有可能建立起真正可行且可靠的方案。另外,人們還關(guān)注如何對來自這些設(shè)備的數(shù)據(jù)進行調(diào)查,呼吁行業(yè)更好地管理這些遠超必要數(shù)據(jù)量的收集信息,同時確保不在未經(jīng)原始擁有者許可的前提下進行共享。在這方面,隱私與安全再次成為重要的對話內(nèi)容。
6. 情報共享
或者更準(zhǔn)確地講,應(yīng)該叫情報匱乏!去年的大會在情報共享方面提出了大量意見,以至于我們甚至為其專門組織了一場為期半天的研討會。今年……呃,所提交的意見主要集中在組織機構(gòu)在與外部各方進行情報共享時所出現(xiàn)的無數(shù)實際問題。一些人探討了情報共享所面臨的技術(shù)挑戰(zhàn),而這些挑戰(zhàn)往往要求參與方配合情境信息才能真正運用相關(guān)情報,否則一切將毫無意義。其他人則感嘆各類組織機構(gòu)往往使用不同的標(biāo)準(zhǔn)與執(zhí)行方式,這種相互沖突的行事方針導(dǎo)致行業(yè)標(biāo)準(zhǔn)實際上無從起效。也有一些提交者探討了情報共享的商業(yè)意義:其會幫助組織機構(gòu)獲得市場優(yōu)勢、觸發(fā)法律責(zé)任抑或違反隱私承諾?就目前來看,我們似乎僅僅出于熱情而進行情報共享……但人們已經(jīng)意識到,只要方法正確,這樣做確實能夠帶來一定收益。
7. 身份
今年,密碼又死了,但身份機制卻非常活躍,且其討論范圍遠遠超出了設(shè)備應(yīng)當(dāng)在高度自動化背景下所需要識別并保證的程度。我們正在努力管理、追蹤并保障各類組織機構(gòu)當(dāng)中人與機器間的相互關(guān)系,而此類數(shù)字在物聯(lián)風(fēng)領(lǐng)域正呈現(xiàn)出指數(shù)級的增長。更具體地講,在交換信息之前先回答對方“是誰”的問題,已經(jīng)成為安全從業(yè)人員所面臨的最為重要的挑戰(zhàn)——提交者們認為,必須使用強有力且可信的身份保證機制才能作出回應(yīng)。然而,我們該如何更好地實現(xiàn)這一目標(biāo)?很明顯,我們需要立足云環(huán)境、移動設(shè)備、供應(yīng)鏈以及各類端點找到確切有效的創(chuàng)新性解決方案。
8. 基礎(chǔ)設(shè)施
除了ICS攻擊之外,或者說正是因此受到啟發(fā),今年的提交內(nèi)容中也包含大量與基礎(chǔ)設(shè)施相關(guān)的議題。我們還注意到,與DNS以及端點相關(guān)的內(nèi)容亦有所增加。我們發(fā)現(xiàn)此次提交的內(nèi)容中包含大量與軟件定義邊界相關(guān)的資料,包括DISA暗網(wǎng)、Jericho、零信任模型以及谷歌BeyondCorp等等。這一切在過去幾年內(nèi)都得到了一定關(guān)注,但今年似乎再次被與會者們所重視,而這很可能預(yù)示著未來的趨勢走向。更具體地講,最終用戶開始討論這些議題,而不僅只有供應(yīng)商在為此作出承諾。另外,我們也看到更多與修復(fù)相關(guān)的討論,這很可能源自人們對勒索軟件活動與Equifax安全違規(guī)等事件的擔(dān)憂。在這方面,自動化概念與監(jiān)管要求再度出場——人們開始爭論是否應(yīng)將補丁更新視為強制性制度。
9. GDPR、風(fēng)險管理與恢復(fù)能力
GDPR及其對全球各類組織機構(gòu)帶來的重大影響(也許還包括其它具備同樣顛覆性效果的標(biāo)準(zhǔn)與政策)在今年的提交內(nèi)容中占據(jù)了相當(dāng)可觀的比例。正因為如此,我們同樣決定組織一場以GDPR為核心議題的研討會。眾多供應(yīng)商已經(jīng)投身于這股潮流,認為這將帶來一種神奇且獨一無二的普適性解決方案; 但在另一方面,最終用戶則指出對于組織機構(gòu)內(nèi)部的安全要求遵守工作而言,人與流程要比技術(shù)更為重要。這不禁讓我們想起了易捷航空公司支付安全部門負責(zé)人John Elliott在2017年RSAC倫敦大會上作出的一場精彩演講。一方面,隱私與數(shù)據(jù)保護之間的摩擦正持續(xù)升級,另一方面業(yè)務(wù)支持與客戶參與信息確實息息相關(guān)。而在這場拉鋸戰(zhàn)中,我們還將見證區(qū)塊鏈、物聯(lián)網(wǎng)以及人工智能的持續(xù)加入并在其中扮演越來越重要的角色。我們還注意到,人們對于合規(guī)性乃至治理層面的風(fēng)險管理與恢復(fù)能力表達出高度重視,并希望通過商業(yè)視角從整體層面看待風(fēng)險因素——這種趨勢有可能掀起一波網(wǎng)絡(luò)保險與網(wǎng)絡(luò)風(fēng)險保障、真實安全成本衡量以及安全評級(包括供應(yīng)商代碼安全性與工具安全功能等)的討論。我們希望能夠利用企業(yè)當(dāng)中同一類別的度量工具對安全的有效性加以衡量及驗證。
10. 人的因素
令人耳目一新的是,我們還注意到一項明確的線索,即提交者們開始將員工作為安全工作中的基本個體與單位。我們密切關(guān)注著如何建立一支強大的團隊以實現(xiàn)最理想的安全態(tài)勢,而在此之中意識與思維、教育背景、年齡、性別以及經(jīng)驗等因素的多樣性將非常重要。這不僅僅是在討論男女之間的差異,而是在圍繞著更為宏觀的多樣性展開討論。有人指出,主流媒體對Equifax安全違規(guī)事件的報道以及高管背景的多樣性狀況(例如‘僅擁有音樂學(xué)位的人怎么可能負責(zé)安全工作?’等質(zhì)疑)確實應(yīng)當(dāng)引起重視——人們認為,對不同教育背景的粗暴否定影響到我們保障安全的能力與彈性水平。當(dāng)然作為前提、起點乃至持續(xù)性基礎(chǔ),我們也需要建立起有效的教育與培訓(xùn)機制。良好網(wǎng)絡(luò)安全勞動力框架(NICE Cybersecurity Workforce Framework)似乎就是個很好的答案,提交者們認為其可用于快速發(fā)現(xiàn)最適合執(zhí)行特定安全工作的人員選項。我們還看到更多關(guān)于全球范圍內(nèi)優(yōu)秀項目的評論意見,這些項目也確實幫助特定人群在網(wǎng)絡(luò)安全方面取得了成功。我們對這類對話及慶典活動很感興趣,為了保證這種多元化態(tài)勢,我們決定在本屆RSA大會中為其召開一場專題研討會。
當(dāng)然,這十條重點絕對不足以涵蓋此次我們收到的超過2100份議題資料的全部趨勢。我們注意到以量子計算為核心的議題開始增加,也有一些人開始對合法入侵感到擔(dān)憂——他們認為近期的一些案例可能意味著合法入侵的黑客也許終將逃避牢獄之災(zāi)。同樣的,人們也越來越關(guān)注對地緣政治的研究——我們是否會因為世界上某些地區(qū)的爭端而受到影響(這里人們反復(fù)使用了‘巴爾干化’這一表述)?當(dāng)然,也有不少人提到了其有趣的數(shù)字化轉(zhuǎn)型之旅以及關(guān)于源代碼開放(開源軟件的普及度正持續(xù)提升)的安全性擔(dān)憂。由于這種安全感缺失的存在,我們在越來越多的議題中注意到“安全債務(wù)”這一說法。
最后,我們對于2018年RSA大會所收到的議題感到興奮與激動,也欣慰于我們與大家建立起的這種協(xié)同工作與持續(xù)交流的關(guān)系。RSA大會最為重要的主題,永遠是建立社區(qū)力量并增加面對面交流的機會。在共同努力讓世界變得更加安全的同時,我們也要始終保持這樣的交流能力。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)、動漫設(shè)計、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。