RSA 2018 : 360CERT 从RSAC2018看事件响应的崛起

 

RSAC2018精彩的前三天已经过去了,从爽口前菜似的Innovation Sandbox(创新沙盒)到连续两天的Keynote讲演。360网络安全响应中心(360-CERT)负责人蔡玉光旁观了新一年创新沙盒决赛中10家产品和评委间的唇枪舌战,3分钟陈述加3分钟问答短战后的艰难选择,即使是最终胜出的BigID,蔡玉光认为其在实践中还是有待检验的。

另一方面在聆听Rohit.Ghai主席的主题演讲“Cybersecurity Silver Linings“后,蔡玉光也感觉到RSAC在经历过网络安全最严峻的2017年后,面对不确定的未来表现出来的焦虑和务实,既有乌云背后的那道曙光/Silver Linings似的焦虑,也有在懂得“Life is either a daring adventure or nothing”后的趋于务实的“Now Matters/当务之急”。

 

Incident Response/事件响应的崛起

Ghai表示,2017年至今,从WannaCRY到各种泄密事件的相继爆发,再到2018年初芯片漏洞事件和FaceBook隐私数据问题的再次重磅来袭。一年间频发的事件让安全业界身处一线的应急安全人员疲惫不堪,急需保持一定的upbeat(乐观),更需要更务实的业界指导方向。

RSAC2018前夕,国内“数说安全”在统计整理RSAC相关企业关注的网络安全热词数据后表示,事件响应的热度有明显上升(从“绿色”转变为“黄色”)。

在去年举行的ISC2017安全大会中,ISC执行主席谭晓生明确表示“应急响应在网络空间安全防御中地位上升”。

种种事件表明事件响应俨然是进入一种常态,2018年的FaceBook隐私事件不会是最后一件,多数人都不会否认目前安全形势下事件响应工作的重要性

 

在RSAC2018看事件响应

事件应急本身是安全行业和具体应用行业都想极力避免的行动,它暗示着我们在局部或整体陷入失控。

Ghai主席的 “Cybersecurity Silver Linings“演讲中对全行业提出了三点共识,希望行业来共同行动:

  1. 逐步抛弃安全行业存在“银弹“的思想,要能够关注到细节安全的提升;
  2. 建议引入机器学习,人工智能等技术来进一步提升效率;
  3. 需要更好的团队合作来推进;

360蔡玉光在分析和旁听了RSAC2018部分关于事件响应的议题会议和展台后,认为关于事件响应工作,主要有两大亮点:

一、专注在被应急响应事件的本质,而非应急响应

应急响应工作,很多情况下就像2002年非典时期,表面需要进行一系列消毒和隔离等复杂繁琐的调度工作,但本质上还是要进一步分析非典病毒和整体形式来进一步解决问题,改善具体应急方案。同样的,今年在展台上我们能关注到很多厂商推出了自己对于热点事件后续的解读或解决方案,比如Intel和思科都提供了相关的供应链攻击解读和基于硬件的可信基础建设,多家厂商也提出了在云平台方面的响应方案:

 

二、威胁情报,机器学习,自动化/统一化的SIEM/SOC是驱动和优化事件响应的工具

经过一系列重大安全事件后,安全行业需要进一步的更务实的实现自动化和技术升级来应对未来频发的重大安全事件。

  1. 行业内目前已经逐步形成的威胁情报机制需要更为扎实的落地到安全厂商和具体客户层面,实现上下游、安全组织/社区间的技术联动。
  2. 引入机器学习,继续构建自动化的SIEM/SOC平台等,进一步的提高对抗威胁的效率。

最后,借着RSAC2018的“Now Matters“氛围,蔡玉光也呼吁大家,在未来各个安全社区/组织之间需进一步加强合作,开拓更好的大安全未来。

(完)