RSA 2018:从大会议题看2018年网络安全趋势

 

 

根据RSA 2018大会提交的议题资料,可以发现我们正处于安全领域的一大关键性时刻,而明年4月的大会也必将满载激动人心的精彩内容。除了即将出台的全球性重大政策与法规之外,DevOps、自动化以及机器学习也已经证明了自身获得成功的能力(无论对好人还是坏人来说)。身份与补丁安装再次得到关注。物联网的发展速度并没有放缓,ICS与供应链攻击让我们担忧。密码已经消亡(当然,这已经不是密码第一次被宣判死刑)。还有虚假新闻?!在讨论保护世界以及全人类乃至设备而努力的时候,人为错误确定、一定以及肯定会成为重要的议题。

下面,让我们一起来看RSAC2018大会已经收到的内容当中所体现出的一些重要趋势:

1. 人工智能

在之前的讨论当中,我们一直都将人工智能视为一大核心议题。从今年的情况来看,人工智能开始越来越多地同云计算的普及扯上关系。2016年的提交内容显示出人们对于机器接管世界的恐惧心理; 但着眼于2017年,情况似乎走向了另一个极端——人类开始休假,相当一部分工作开始由机器进行代劳。而在2018年的提交内容中,我们终于看到讨论从极端回归中立,即我们开始努力在人与机器之间建立起健康的共生关系,二者不再是一方完全取代另一方的关系。我们正在学习如何利用人工智能成果来补充、放大并强化我们的活动——当然,我们也意识到其中仍存在着一些局限,特别是在对更多新的应用领域的探索当中。我们看到人工智能与机器学习迎来了更多实际应用方向,包括自动驾驶车辆、虚假新闻检测、生物识别认证、缺陷检测与预测、IT配置验证以及DevOps等等——这份清单极为丰富,甚至有人开始呼吁为此制定一份以道德为立足点的发展路线图。也正是因为考虑到机器学习的重要地位,我们决定专门为其建立通道,旨在集中更多教育重点以进一步加速其发展。然而,我们并不是AI发展成熟的惟一受益者——好人与坏人都能够享受到这一历史性红利。事实上,关于“黑帽AI”发动攻击的报道正持续增加。而随着Alexa与Siri被越来越多地引入更多人的日常生活,AI背后所隐藏的黑暗面与隐私含义也开始得到更为广泛的关注。

 

2. 人为操纵

通过技术实施人为操纵在本届大会上同样成为关注焦点。因为当掌握了由各方意图所驱动的情感思维与行为(最典型的例子自然是2016年的美国总统大选)之后,我们自然能够实现心理推动,并借此以多年为周期对攻击目标的声誉造成严重危害。考虑到在对方未作准备的前提下操纵意见并实施后续行动实在极为简单,一部分与会者担心与财务报告、社交媒体帖子以及健康记录等相关的微小数据变化极有可能对个人、组织、国家乃至全球范围造成长期持久且极为严重的恶劣影响。而随着技术的进步,创建照片、录音甚至是视频都开始变得非常容易……因此,我们该采取哪些保护措施以确保我们思维与数据的完整性?在我们看来,第一步自然是对这一攻击向量展开探索。

 

3. ICS与供应链攻击

供应链攻击之于2017年,正如勒索软件之于2016年。今年的头条新闻中充斥着以往只有好莱坞编剧们才想得到的攻击活动——这不仅仅是那种令人惊呼“哇哦”的攻击,而真正开始对全球关键信息基础设施造成实际影响。NotPetya的出现给制造行业敲响了警钟,提醒他们应该更为清醒地供应链安全性加以审查。与其它类型的网络威胁一样,ICS(工业控制系统)攻击在过去几年中一直呈现出规模性与复杂度上的双重升级,而这自然源自工业系统连接性的不断增强。此次提交的意见集中在ICS网络攻击的独特性上,包括攻击者的意图、复杂性与能力、对ICS与自动化流程的熟悉程度(今年的自动化攻击活动开始大幅增加)等等。此外,我们也开始探索一些由供应链攻击造成的“附带损害”,即一轮攻击给供应链中的其它无关方带来的损害。为什么人们对于目前的威胁形势普遍表现出恐慌情绪?这是因为数量庞大的核心基础设施仍以过时的技术为基础,其包含大量接触点且会引发极为严重的影响。

4. 区块链

我们注意到今年区块链技术也成为一大关注重点,特别是对其从理论到实际应用的探讨。随着区块链技术的升级与扩展,一些人指出有必要为其制定真正的标准与安全协议。区块链正越来越多地作为物联网、支付(无论实际规模如何,特别是点对点支付)、身份、ICO、忠诚度计划、共享资源分配以及联网设备等的有效解决方案。内容提交者们正积极探索区块链技术中的分布式信任模型与可用性能够如何作为安全解决方案实现用户管理与自身管理,并借此帮助企业改进运营能力、安全性并带来新的服务类型。此外,坏人们当然也不会错过区块链这一重要机遇。我们对于区块链内容的深度分享很感兴趣,因此计划组织一场以区块链为核心议题的研讨会。

 

5. 物联网与医疗设备

与往年一样,本届会议上仍然包含大量物联网内容——其主要集中在解决方案层面,而不再是以往的问题发现。我们正在学习如何一口吞下这块规模可观的“大蛋糕”。最重要的是,我们还考虑到与医疗设备相关黑客攻击及保护手段的意见数量,部分相关内容甚至具有极为可观的深度——包括一位医疗设备从业者将加入进来,把讨论的层次由以往的安全对话升级至真正的解决方案水平。我们将考虑技术性解决方案是否足以解决医疗行业所面临的挑战(尽管大量遗留设备早在联网时代之前就已经制造并部署完成),抑或需要配合监管制度才有可能建立起真正可行且可靠的方案。另外,人们还关注如何对来自这些设备的数据进行调查,呼吁行业更好地管理这些远超必要数据量的收集信息,同时确保不在未经原始拥有者许可的前提下进行共享。在这方面,隐私与安全再次成为重要的对话内容。

 

6. 情报共享

或者更准确地讲,应该叫情报匮乏!去年的大会在情报共享方面提出了大量意见,以至于我们甚至为其专门组织了一场为期半天的研讨会。今年……呃,所提交的意见主要集中在组织机构在与外部各方进行情报共享时所出现的无数实际问题。一些人探讨了情报共享所面临的技术挑战,而这些挑战往往要求参与方配合情境信息才能真正运用相关情报,否则一切将毫无意义。其他人则感叹各类组织机构往往使用不同的标准与执行方式,这种相互冲突的行事方针导致行业标准实际上无从起效。也有一些提交者探讨了情报共享的商业意义:其会帮助组织机构获得市场优势、触发法律责任抑或违反隐私承诺?就目前来看,我们似乎仅仅出于热情而进行情报共享……但人们已经意识到,只要方法正确,这样做确实能够带来一定收益。

 

7. 身份

今年,密码又死了,但身份机制却非常活跃,且其讨论范围远远超出了设备应当在高度自动化背景下所需要识别并保证的程度。我们正在努力管理、追踪并保障各类组织机构当中人与机器间的相互关系,而此类数字在物联风领域正呈现出指数级的增长。更具体地讲,在交换信息之前先回答对方“是谁”的问题,已经成为安全从业人员所面临的最为重要的挑战——提交者们认为,必须使用强有力且可信的身份保证机制才能作出回应。然而,我们该如何更好地实现这一目标?很明显,我们需要立足云环境、移动设备、供应链以及各类端点找到确切有效的创新性解决方案。

 

8. 基础设施

除了ICS攻击之外,或者说正是因此受到启发,今年的提交内容中也包含大量与基础设施相关的议题。我们还注意到,与DNS以及端点相关的内容亦有所增加。我们发现此次提交的内容中包含大量与软件定义边界相关的资料,包括DISA暗网、Jericho、零信任模型以及谷歌BeyondCorp等等。这一切在过去几年内都得到了一定关注,但今年似乎再次被与会者们所重视,而这很可能预示着未来的趋势走向。更具体地讲,最终用户开始讨论这些议题,而不仅只有供应商在为此作出承诺。另外,我们也看到更多与修复相关的讨论,这很可能源自人们对勒索软件活动与Equifax安全违规等事件的担忧。在这方面,自动化概念与监管要求再度出场——人们开始争论是否应将补丁更新视为强制性制度。

 

9. GDPR、风险管理与恢复能力

GDPR及其对全球各类组织机构带来的重大影响(也许还包括其它具备同样颠覆性效果的标准与政策)在今年的提交内容中占据了相当可观的比例。正因为如此,我们同样决定组织一场以GDPR为核心议题的研讨会。众多供应商已经投身于这股潮流,认为这将带来一种神奇且独一无二的普适性解决方案; 但在另一方面,最终用户则指出对于组织机构内部的安全要求遵守工作而言,人与流程要比技术更为重要。这不禁让我们想起了易捷航空公司支付安全部门负责人John Elliott在2017年RSAC伦敦大会上作出的一场精彩演讲。一方面,隐私与数据保护之间的摩擦正持续升级,另一方面业务支持与客户参与信息确实息息相关。而在这场拉锯战中,我们还将见证区块链、物联网以及人工智能的持续加入并在其中扮演越来越重要的角色。我们还注意到,人们对于合规性乃至治理层面的风险管理与恢复能力表达出高度重视,并希望通过商业视角从整体层面看待风险因素——这种趋势有可能掀起一波网络保险与网络风险保障、真实安全成本衡量以及安全评级(包括供应商代码安全性与工具安全功能等)的讨论。我们希望能够利用企业当中同一类别的度量工具对安全的有效性加以衡量及验证。

 

10. 人的因素

令人耳目一新的是,我们还注意到一项明确的线索,即提交者们开始将员工作为安全工作中的基本个体与单位。我们密切关注着如何建立一支强大的团队以实现最理想的安全态势,而在此之中意识与思维、教育背景、年龄、性别以及经验等因素的多样性将非常重要。这不仅仅是在讨论男女之间的差异,而是在围绕着更为宏观的多样性展开讨论。有人指出,主流媒体对Equifax安全违规事件的报道以及高管背景的多样性状况(例如‘仅拥有音乐学位的人怎么可能负责安全工作?’等质疑)确实应当引起重视——人们认为,对不同教育背景的粗暴否定影响到我们保障安全的能力与弹性水平。当然作为前提、起点乃至持续性基础,我们也需要建立起有效的教育与培训机制。良好网络安全劳动力框架(NICE Cybersecurity Workforce Framework)似乎就是个很好的答案,提交者们认为其可用于快速发现最适合执行特定安全工作的人员选项。我们还看到更多关于全球范围内优秀项目的评论意见,这些项目也确实帮助特定人群在网络安全方面取得了成功。我们对这类对话及庆典活动很感兴趣,为了保证这种多元化态势,我们决定在本届RSA大会中为其召开一场专题研讨会。

 

当然,这十条重点绝对不足以涵盖此次我们收到的超过2100份议题资料的全部趋势。我们注意到以量子计算为核心的议题开始增加,也有一些人开始对合法入侵感到担忧——他们认为近期的一些案例可能意味着合法入侵的黑客也许终将逃避牢狱之灾。同样的,人们也越来越关注对地缘政治的研究——我们是否会因为世界上某些地区的争端而受到影响(这里人们反复使用了‘巴尔干化’这一表述)?当然,也有不少人提到了其有趣的数字化转型之旅以及关于源代码开放(开源软件的普及度正持续提升)的安全性担忧。由于这种安全感缺失的存在,我们在越来越多的议题中注意到“安全债务”这一说法。

 

最后,我们对于2018年RSA大会所收到的议题感到兴奋与激动,也欣慰于我们与大家建立起的这种协同工作与持续交流的关系。RSA大会最为重要的主题,永远是建立社区力量并增加面对面交流的机会。在共同努力让世界变得更加安全的同时,我们也要始终保持这样的交流能力。期待着能够在本届大会上与您会面!

(完)