图说:阿里安全资深技术专家铁花在美国RSA大会的阿里展台上讲解全链路风险防控技术理念
简介
以“Better”为主题的全球安全顶会RSA 2019近日正式落幕,这场在美国旧金山举行的“安全奥林匹克”,吸引了4万多人参会,超过600家企业参展,还有超过550个分会场涵盖云安全、机器学习、区块链等众多技术主题。
阿里安全防控端负责人、资深技术专家铁花,2006年入职阿里,历经淘宝、来往、阿里安全等技术团队,2008年开始从事安全工作,是淘宝最早SDL的建立及实施人、淘宝第一代web安全解决方案的开发者、安全静态代码扫描平台的创建者。
此次参展,他也带回了他的见解和思考,全文如下:
今年的RSA基本围绕“三纵四横”,其中三纵包括.基础设施、基础开发框架和公众(包含以政府提出的监管);“四横”包括网络安全、数据安全、业务安全、新安全攻击面。
一、基础设施
首先从参展的厂商来看已有不少厂商开始基于云做自己的安全产品,其次有较多的厂商开始做以云厂商为基础的网络安全产品,从密钥的管理、资产管理、全端网络安全防控产品、云安全架构到云SIEM可以说产品已经较为丰富有了较多的可选择项。在参加论坛有一个比较有意思的环节,有一个讲如何在云上做网络安全的论坛到快开始了门口仍然排了3排人在等待入场。从基础设施上来看云无疑已经成了众多业务方的第一选择,也使得市场上厂商也开始基于云做更合适的安全产品。
二、基础开发框架
随着Serverless的提出,以及AWS Lambda的推广,本次RSA大会中已经不止一个论坛speaker开始着重讲如何检测serverless类的接口,在Lambda的使用中需要注意哪些安全细节。不过在参展的厂商并未看到特别提到此类技术细节的产品,相对来说sandbox中倒是有一个针对API安全的产品Salt Security值得大家去了解下。未来如果serverless开发框架成为主流,不知道当前的安全厂商将如何应对,是市场份额被缩小,又或是被革命。
除了serverless,展商中展示最多的就是Google之前提出的zero trust,在展台中已有不少基于zero trust的理念做的认证产品。
还有另外一个层面勉强也算新基础开发框架就是AI算法的使用,不管是论坛还是展商本次大会都有大量的AI使用,可见网络安全+AI也已经是到了较为普遍应用的程度。
三、公众(包含以政府提出的监管)
在网络安全这块,面对公众的解释及政府监管基本在本次大会上没有看到有任何提及,虽然没有提及面对大众的感知,本届RSA大会却有几个论坛直接讨论如何评估网络安全的有效性,必要性其中也有提及了以业务风险的角度去衡量(虽然没有人直接讲具体某个业务安全怎么做)。针对网络安全的难衡量性MITRE组织的ATT&CK Framework开始崭露头角,不仅有对应的论坛介绍如何使用还有厂商直接给出了基于ATT&CK做的全端网络安全防护产品。
四、数据安全
当下几乎所有公司都把数据当成了公司核心资产,基于数据做信息化、智能化都脱离不开数据其中也包含个人数据。从一个论坛了解到像GOOGLE竟然有社会学家教授作为访问学者会去参与AI规则的制定以及对公众的沟通和技术的科普。可以说大部分社会上不了解硅谷技术的人以及政府,当涉及到个人信息以及AI的时候都会非常敏感甚至恐惧,尤其是政府甚至会在不是非常了解的情况下出台规章制度。这时候在美国会有专门的社团去给大众进行知识科普,以求能让社会更容易接受先进技术。另一方面相关的公司都会和政府去解释及平衡规章制度。
五、业务安全
很遗憾整个展商及论坛并没有专门讲这块内容的。可能和定位或者特定行业问题受众小有关,更有可能是安全厂商没有办法找到合适的场景去深入了解落地形成通用的安全产品。
六、新安全攻击面
新的攻击面展商里基本没有涉及,不过Sandbox里倒是有个基于固件的扫描加固产品Eclypsium算是为数不多的针对新攻击面的产品了。论坛中有部分讲到了未来可能面临的危险包括5G、在智慧医疗、智能出行、监控等层面投入的大量的IoT设备的使用,还有AI可能对人产生的影响。
对未来安全技术的思考
1. 基于云厂商的安全生态思考
随着云、混合云慢慢的变成了各个公司是基础设施,安全在其中也慢慢凸显出来,可以毫不夸张的说安全可以成为云厂商的助力,也可能成为云厂商的阻力。这其中包含云自身的安全性,以及对于云用户的安全生态。
a.云自身的安全
随着各大公司以云为基础设施,这其中很大一部分的网络安全问题也就直转嫁到了云厂商。云厂商自身的安全决定了以其为基础设施的各大公司的安全,也许在不远的将来能看到更多安全厂商与云厂商的强强合作。
b.云技术设施之上的安全生态
基于云的安全生态,也许在不久后就将成为一个云厂商是否成熟的标志。成熟的云厂商将会吸引更多的安全厂商基于云设施进行开发各类解决不同业务安全问题和网络安全问题的产品,同时一个好的安全生态也会反哺云市场两两相互促进。从RSA展商及sandbox的产品来看已有AWS已经开始在培养这个良性的安全生态,云厂商安全的开放建设已然成为云厂商下一个竞争的赛道。
2. 结合业务风险的网络安全思考
a.以业务风险为核心
当安全从业人员每天在处理各种漏洞各种网络攻击的时候,经常容易产生意识上的混淆。我们是一直在面对漏洞,网络攻击还是在面对由于使用漏洞和网络攻击带来的业务风险?很少有人去关心为什么会有人来在某处尝试漏洞挖掘和攻击,比如:为什么要在这个地方尝试找出XSS漏洞?真实目的是什么?带来什么样的业务风险?所以一定要以业务风险为核心,从业务的视角去真正的抓出背后的意图。假如业务都没有了,那作为该业务的安全也不会继续存在了。
同时一定要有一个明确的范围和标准。核心资产是什么?核心业务是什么?需要保障到什么标准?当明确职责范围及核心业务后再看依赖是什么需要提供什么样的保障才能满足核心业务的安全标准。当然安全标准必须是一个合理的可接受的范围,因为还需要考虑安全带来的成本。
b.以低成本有效性及可靠性为核心
当我们去解决业务风险的时候一定要在考虑成本的前提下保障有效性及可靠性。当前业务面对的风险无论从对抗性还是成本上看,在单点一线上去解决几乎不可能同时满足有效性、可靠性和低成本。所以我们在解决业务风险的时候一定要全链路通盘的去考虑,在搞清楚对方怎么搞我们的前提下,还要搞清楚我们在哪个地方哪个环节去解决风险问题是成本最低的,持续有效性是最好的。在做基础设施的时候我们经常提security by design,在面对业务风险点时候我们同样需要考虑全链路上的对抗风险by design不能只在一个单点上进行对抗。
c.面向未来依托新技术创新为核心
面对业务风险,除了考虑成本的前提下用已知成熟的手段去处理,我们还要持续的考虑创新用新的方式方法不同的角度去解决问题。只有用创新性的新思路新方法才能让安全业务有质的变化。在当前面对海量的业务数据以及海量的安全采集数据,如何让这些海量的数据变成有效的信息,如何将有效的信息变成每个业务环节需要关注的知识点对抗点,机器代替人的AI技术必不可缺,因为数据的量、要求时效的已经完全不是人能解决了。如何有效的使用AI,如何有效的结合AI和人工的经验,以及如何有效的分配AI和人工已经成为了当下必须思考和去解决的问题。
最后借用2019RSA大会的主题“better”结尾,当我们面对昨天的问题的时候能有better的解决方案夯实缺失,当我们面对今天的问题的时候能有better的思考路径,当我们面对明天的问题的时候能有better的设计。