雷鋒網(wǎng)注：以“Better”為主題的全球安全頂會(huì) RSA 2019 近日正式落幕，這場(chǎng)在美國舊金山舉行的“安全奧林匹克”吸引了 4 萬多人參會(huì)，超過 600 家企業(yè)參展，還有超過 550 個(gè)分會(huì)場(chǎng)涵蓋云安全、機(jī)器學(xué)習(xí)、區(qū)塊鏈等眾多技術(shù)主題。

阿里安全防控端負(fù)責(zé)人、資深技術(shù)專家鐵花，2006 年入職阿里，歷經(jīng)淘寶、來往、阿里安全等技術(shù)團(tuán)隊(duì)，2008 年開始從事安全工作，是淘寶最早 SDL 的建立及實(shí)施人、淘寶第一代 web 安全解決方案的開發(fā)者、安全靜態(tài)代碼掃描平臺(tái)的創(chuàng)建者。

阿里安全資深技術(shù)專家鐵花

此次參展，他也帶回了對(duì)安全技術(shù)的思考，本文由阿里安全投稿，全文如下——

今年的 RSA 基本圍繞“三縱四橫”，其中三縱包括.基礎(chǔ)設(shè)施、基礎(chǔ)開發(fā)框架和公眾（包含以政府提出的監(jiān)管）；“四橫”包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)安全、新安全攻擊面。

一、基礎(chǔ)設(shè)施

從參展的廠商看，已有不少廠商開始基于云做自己的安全產(chǎn)品，其次有較多的廠商開始做以云廠商為基礎(chǔ)的網(wǎng)絡(luò)安全產(chǎn)品，從密鑰管理、資產(chǎn)管理、全端網(wǎng)絡(luò)安全防控產(chǎn)品、云安全架構(gòu)到云 SIEM ，產(chǎn)品已經(jīng)有了較為豐富的可選擇項(xiàng)。

論壇有一個(gè)比較有意思的環(huán)節(jié)，有一個(gè)講如何在云上做網(wǎng)絡(luò)安全的論壇到快開始了門口仍然排了 3 排人在等待入場(chǎng)。從基礎(chǔ)設(shè)施上來看云無疑已經(jīng)成了眾多業(yè)務(wù)方的第一選擇，也使得市場(chǎng)上廠商也開始基于云做更合適的安全產(chǎn)品。

二、基礎(chǔ)開發(fā)框架

隨著 Serverless 的提出，以及 AWS Lambda 的推廣，本次 RSA 大會(huì)中已經(jīng)不止一個(gè)論壇 speaker 開始著重講如何檢測(cè) serverless 類的接口，在 Lambda 的使用中需要注意哪些安全細(xì)節(jié)。不過在參展的廠商并未看到特別提到此類技術(shù)細(xì)節(jié)的產(chǎn)品，相對(duì)來說 sandbox 中倒是有一個(gè)針對(duì) API 安全的產(chǎn)品 Salt Security 值得了解下。未來如果 serverless 開發(fā)框架成為主流，不知道當(dāng)前的安全廠商將如何應(yīng)對(duì)，是市場(chǎng)份額被縮小，又或是被革命。

除了serverless，展商中展示最多的就是Google之前提出的 zero trust，在展臺(tái)中已有不少基于 zero trust 的理念做的認(rèn)證產(chǎn)品。

還有另外一個(gè)層面勉強(qiáng)也算新基礎(chǔ)開發(fā)框架就是 AI 算法的使用，不管是論壇還是展商本次大會(huì)，都有大量 AI 使用，可見“網(wǎng)絡(luò)安全+AI”已經(jīng)到了較為普遍應(yīng)用的程度。

三、公眾（包含以政府提出的監(jiān)管）

在網(wǎng)絡(luò)安全這塊，基本在本次大會(huì)上沒有提及面對(duì)公眾的解釋及政府監(jiān)管，雖然沒有提及面對(duì)大眾的感知，本屆 RSA 大會(huì)卻有幾個(gè)論壇直接討論如何評(píng)估網(wǎng)絡(luò)安全的有效性，必要性其中也有提及了以業(yè)務(wù)風(fēng)險(xiǎn)的角度去衡量（雖然沒有人直接講具體某個(gè)業(yè)務(wù)安全怎么做）。

針對(duì)網(wǎng)絡(luò)安全的難衡量性 MITRE 組織的 ATT&CK Framework 開始嶄露頭角，不僅有對(duì)應(yīng)的論壇介紹如何使用還有廠商直接給出了基于ATT&CK做的全端網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。

四、數(shù)據(jù)安全

當(dāng)下幾乎所有公司都把數(shù)據(jù)當(dāng)成了公司核心資產(chǎn)，基于數(shù)據(jù)做信息化、智能化都脫離不開數(shù)據(jù)其中也包含個(gè)人數(shù)據(jù)。從一個(gè)論壇了解到像谷歌竟有社會(huì)學(xué)家作為訪問學(xué)者會(huì)去參與 AI 規(guī)則的制定以及對(duì)公眾的溝通和技術(shù)的科普?？梢哉f大部分社會(huì)上不了解硅谷技術(shù)的人以及政府，當(dāng)涉及到個(gè)人信息以及 AI 時(shí)都會(huì)非常敏感甚至恐懼，尤其是政府甚至?xí)诓皇欠浅Ａ私獾那闆r下出臺(tái)規(guī)章制度。這時(shí)在美國會(huì)有專門的社團(tuán)去給大眾進(jìn)行知識(shí)科普，以求能讓社會(huì)更容易接受先進(jìn)技術(shù)。另一方面相關(guān)的公司都會(huì)和政府去解釋及平衡規(guī)章制度。

五、業(yè)務(wù)安全

很遺憾整個(gè)展商及論壇并沒有專門講這塊內(nèi)容的?？赡芎投ㄎ换蛘咛囟ㄐ袠I(yè)問題受眾小有關(guān)，更有可能是安全廠商沒有辦法找到合適的場(chǎng)景去深入了解落地形成通用的安全產(chǎn)品。

六、新安全攻擊面

新的攻擊面展商里基本沒有涉及，不過 Sandbox 里倒是有個(gè)基于固件的掃描加固產(chǎn)品Eclypsium算是為數(shù)不多的針對(duì)新攻擊面的產(chǎn)品了。論壇中有部分講到了未來可能面臨的危險(xiǎn)包括5G、在智慧醫(yī)療、智能出行、監(jiān)控等層面投入的大量的IoT設(shè)備的使用，還有AI可能對(duì)人產(chǎn)生的影響。 

對(duì)未來安全技術(shù)的思考

1. 基于云廠商的安全生態(tài)思考

隨著云、混合云慢慢的變成了各個(gè)公司是基礎(chǔ)設(shè)施，安全在其中也慢慢凸顯出來，可以毫不夸張的說安全可以成為云廠商的助力，也可能成為云廠商的阻力。這其中包含云自身的安全性，以及對(duì)于云用戶的安全生態(tài)。

a.云自身的安全

隨著各大公司以云為基礎(chǔ)設(shè)施，其中很大一部分網(wǎng)絡(luò)安全問題直轉(zhuǎn)嫁到了云廠商。云廠商自身的安全決定了以其為基礎(chǔ)設(shè)施的各大公司的安全，也許在不遠(yuǎn)的將來能看到更多安全廠商與云廠商的強(qiáng)強(qiáng)合作。

b.云技術(shù)設(shè)施之上的安全生態(tài)

基于云的安全生態(tài)，也許在不久后就將成為一個(gè)云廠商是否成熟的標(biāo)志。成熟的云廠商將會(huì)吸引更多的安全廠商基于云設(shè)施進(jìn)行開發(fā)各類解決不同業(yè)務(wù)安全問題和網(wǎng)絡(luò)安全問題的產(chǎn)品，同時(shí)一個(gè)好的安全生態(tài)也會(huì)反哺云市場(chǎng)兩兩相互促進(jìn)。從 RSA 展商及 sandbox 的產(chǎn)品來看，已有 AWS 已經(jīng)開始在培養(yǎng)這個(gè)良性的安全生態(tài)，云廠商安全的開放建設(shè)已然成為云廠商下一個(gè)競爭的賽道。

2. 結(jié)合業(yè)務(wù)風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全思考

a.以業(yè)務(wù)風(fēng)險(xiǎn)為核心

當(dāng)安全從業(yè)人員每天在處理各種漏洞各種網(wǎng)絡(luò)攻擊時(shí)，經(jīng)常容易產(chǎn)生意識(shí)上的混淆。我們是一直在面對(duì)漏洞，網(wǎng)絡(luò)攻擊還是在面對(duì)由于使用漏洞和網(wǎng)絡(luò)攻擊帶來的業(yè)務(wù)風(fēng)險(xiǎn)？很少有人去關(guān)心為什么會(huì)有人來在某處嘗試漏洞挖掘和攻擊，比如：為什么要在這個(gè)地方嘗試找出 XSS 漏洞？真實(shí)目的是什么？帶來什么樣的業(yè)務(wù)風(fēng)險(xiǎn)？所以一定要以業(yè)務(wù)風(fēng)險(xiǎn)為核心，從業(yè)務(wù)的視角去真正的抓出背后的意圖。假如業(yè)務(wù)都沒有了，那作為該業(yè)務(wù)的安全也不會(huì)繼續(xù)存在了。

同時(shí)一定要有一個(gè)明確的范圍和標(biāo)準(zhǔn)。核心資產(chǎn)是什么？核心業(yè)務(wù)是什么？需要保障到什么標(biāo)準(zhǔn)？當(dāng)明確職責(zé)范圍及核心業(yè)務(wù)后再看依賴是什么需要提供什么樣的保障才能滿足核心業(yè)務(wù)的安全標(biāo)準(zhǔn)。當(dāng)然安全標(biāo)準(zhǔn)必須是一個(gè)合理的可接受的范圍，因?yàn)檫€需要考慮安全帶來的成本。

b.以低成本有效性及可靠性為核心

當(dāng)我們?nèi)ソ鉀Q業(yè)務(wù)風(fēng)險(xiǎn)的時(shí)候一定要在考慮成本的前提下保障有效性及可靠性。當(dāng)前業(yè)務(wù)面對(duì)的風(fēng)險(xiǎn)無論從對(duì)抗性還是成本上看，在單點(diǎn)一線上去解決幾乎不可能同時(shí)滿足有效性、可靠性和低成本，所以我們?cè)诮鉀Q業(yè)務(wù)風(fēng)險(xiǎn)的時(shí)候一定要全鏈路通盤考慮，在搞清楚對(duì)方怎么搞我們的前提下，還要搞清楚我們?cè)谀膫€(gè)地方哪個(gè)環(huán)節(jié)去解決風(fēng)險(xiǎn)問題是成本最低的，持續(xù)有效性是最好的。在做基礎(chǔ)設(shè)施時(shí)我們經(jīng)常提security by design，在面對(duì)業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)時(shí)候我們同樣需要考慮全鏈路上的對(duì)抗風(fēng)險(xiǎn)by design不能只在一個(gè)單點(diǎn)上進(jìn)行對(duì)抗。

c.面向未來依托新技術(shù)創(chuàng)新為核心

面對(duì)業(yè)務(wù)風(fēng)險(xiǎn)，除了考慮成本的前提下用已知成熟的手段去處理，我們還要持續(xù)的考慮創(chuàng)新用新的方式方法不同的角度去解決問題，只有用創(chuàng)新性的新思路新方法才能讓安全業(yè)務(wù)有質(zhì)的變化。在當(dāng)前面對(duì)海量的業(yè)務(wù)數(shù)據(jù)以及海量的安全采集數(shù)據(jù)，如何讓這些海量的數(shù)據(jù)變成有效的信息，如何將有效的信息變成每個(gè)業(yè)務(wù)環(huán)節(jié)需要關(guān)注的知識(shí)點(diǎn)對(duì)抗點(diǎn)，機(jī)器代替人的 AI 技術(shù)必不可缺，因?yàn)閿?shù)據(jù)的量、要求時(shí)效的已經(jīng)完全不是人能解決了。如何有效的使用 AI，如何有效的結(jié)合 AI 和人工的經(jīng)驗(yàn)，以及如何有效的分配 AI 和人工已經(jīng)成為了當(dāng)下必須思考和去解決的問題。

最后借用 2019RSA 大會(huì)的主題“better”結(jié)尾，當(dāng)我們面對(duì)昨天的問題時(shí)能有 better 的解決方案夯實(shí)缺失，當(dāng)我們面對(duì)今天的問題時(shí)能有 better 的思考路徑，當(dāng)我們面對(duì)明天的問題時(shí)能有 better 的設(shè)計(jì)。

雷鋒網(wǎng)注：想要閱讀更多網(wǎng)絡(luò)安全信息？你可以關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”，與更多安全專家一起解讀網(wǎng)絡(luò)安全未來。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。