雷鋒網(wǎng)注：以“Better”為主題的全球安全頂會 RSA 2019 近日正式落幕，這場在美國舊金山舉行的“安全奧林匹克”吸引了 4 萬多人參會，超過 600 家企業(yè)參展，還有超過 550 個分會場涵蓋云安全、機器學習、區(qū)塊鏈等眾多技術主題。

阿里安全防控端負責人、資深技術專家鐵花，2006 年入職阿里，歷經(jīng)淘寶、來往、阿里安全等技術團隊，2008 年開始從事安全工作，是淘寶最早 SDL 的建立及實施人、淘寶第一代 web 安全解決方案的開發(fā)者、安全靜態(tài)代碼掃描平臺的創(chuàng)建者。

阿里安全資深技術專家鐵花

此次參展，他也帶回了對安全技術的思考，本文由阿里安全投稿，全文如下——

今年的 RSA 基本圍繞“三縱四橫”，其中三縱包括.基礎設施、基礎開發(fā)框架和公眾（包含以政府提出的監(jiān)管）；“四橫”包括網(wǎng)絡安全、數(shù)據(jù)安全、業(yè)務安全、新安全攻擊面。

一、基礎設施

從參展的廠商看，已有不少廠商開始基于云做自己的安全產(chǎn)品，其次有較多的廠商開始做以云廠商為基礎的網(wǎng)絡安全產(chǎn)品，從密鑰管理、資產(chǎn)管理、全端網(wǎng)絡安全防控產(chǎn)品、云安全架構到云 SIEM ，產(chǎn)品已經(jīng)有了較為豐富的可選擇項。

論壇有一個比較有意思的環(huán)節(jié)，有一個講如何在云上做網(wǎng)絡安全的論壇到快開始了門口仍然排了 3 排人在等待入場。從基礎設施上來看云無疑已經(jīng)成了眾多業(yè)務方的第一選擇，也使得市場上廠商也開始基于云做更合適的安全產(chǎn)品。

二、基礎開發(fā)框架

隨著 Serverless 的提出，以及 AWS Lambda 的推廣，本次 RSA 大會中已經(jīng)不止一個論壇 speaker 開始著重講如何檢測 serverless 類的接口，在 Lambda 的使用中需要注意哪些安全細節(jié)。不過在參展的廠商并未看到特別提到此類技術細節(jié)的產(chǎn)品，相對來說 sandbox 中倒是有一個針對 API 安全的產(chǎn)品 Salt Security 值得了解下。未來如果 serverless 開發(fā)框架成為主流，不知道當前的安全廠商將如何應對，是市場份額被縮小，又或是被革命。

除了serverless，展商中展示最多的就是Google之前提出的 zero trust，在展臺中已有不少基于 zero trust 的理念做的認證產(chǎn)品。

還有另外一個層面勉強也算新基礎開發(fā)框架就是 AI 算法的使用，不管是論壇還是展商本次大會，都有大量 AI 使用，可見“網(wǎng)絡安全+AI”已經(jīng)到了較為普遍應用的程度。

三、公眾（包含以政府提出的監(jiān)管）

在網(wǎng)絡安全這塊，基本在本次大會上沒有提及面對公眾的解釋及政府監(jiān)管，雖然沒有提及面對大眾的感知，本屆 RSA 大會卻有幾個論壇直接討論如何評估網(wǎng)絡安全的有效性，必要性其中也有提及了以業(yè)務風險的角度去衡量（雖然沒有人直接講具體某個業(yè)務安全怎么做）。

針對網(wǎng)絡安全的難衡量性 MITRE 組織的 ATT&CK Framework 開始嶄露頭角，不僅有對應的論壇介紹如何使用還有廠商直接給出了基于ATT&CK做的全端網(wǎng)絡安全防護產(chǎn)品。

四、數(shù)據(jù)安全

當下幾乎所有公司都把數(shù)據(jù)當成了公司核心資產(chǎn)，基于數(shù)據(jù)做信息化、智能化都脫離不開數(shù)據(jù)其中也包含個人數(shù)據(jù)。從一個論壇了解到像谷歌竟有社會學家作為訪問學者會去參與 AI 規(guī)則的制定以及對公眾的溝通和技術的科普?？梢哉f大部分社會上不了解硅谷技術的人以及政府，當涉及到個人信息以及 AI 時都會非常敏感甚至恐懼，尤其是政府甚至會在不是非常了解的情況下出臺規(guī)章制度。這時在美國會有專門的社團去給大眾進行知識科普，以求能讓社會更容易接受先進技術。另一方面相關的公司都會和政府去解釋及平衡規(guī)章制度。

五、業(yè)務安全

很遺憾整個展商及論壇并沒有專門講這塊內容的?？赡芎投ㄎ换蛘咛囟ㄐ袠I(yè)問題受眾小有關，更有可能是安全廠商沒有辦法找到合適的場景去深入了解落地形成通用的安全產(chǎn)品。

六、新安全攻擊面

新的攻擊面展商里基本沒有涉及，不過 Sandbox 里倒是有個基于固件的掃描加固產(chǎn)品Eclypsium算是為數(shù)不多的針對新攻擊面的產(chǎn)品了。論壇中有部分講到了未來可能面臨的危險包括5G、在智慧醫(yī)療、智能出行、監(jiān)控等層面投入的大量的IoT設備的使用，還有AI可能對人產(chǎn)生的影響。 

對未來安全技術的思考

1. 基于云廠商的安全生態(tài)思考

隨著云、混合云慢慢的變成了各個公司是基礎設施，安全在其中也慢慢凸顯出來，可以毫不夸張的說安全可以成為云廠商的助力，也可能成為云廠商的阻力。這其中包含云自身的安全性，以及對于云用戶的安全生態(tài)。

a.云自身的安全

隨著各大公司以云為基礎設施，其中很大一部分網(wǎng)絡安全問題直轉嫁到了云廠商。云廠商自身的安全決定了以其為基礎設施的各大公司的安全，也許在不遠的將來能看到更多安全廠商與云廠商的強強合作。

b.云技術設施之上的安全生態(tài)

基于云的安全生態(tài)，也許在不久后就將成為一個云廠商是否成熟的標志。成熟的云廠商將會吸引更多的安全廠商基于云設施進行開發(fā)各類解決不同業(yè)務安全問題和網(wǎng)絡安全問題的產(chǎn)品，同時一個好的安全生態(tài)也會反哺云市場兩兩相互促進。從 RSA 展商及 sandbox 的產(chǎn)品來看，已有 AWS 已經(jīng)開始在培養(yǎng)這個良性的安全生態(tài)，云廠商安全的開放建設已然成為云廠商下一個競爭的賽道。

2. 結合業(yè)務風險的網(wǎng)絡安全思考

a.以業(yè)務風險為核心

當安全從業(yè)人員每天在處理各種漏洞各種網(wǎng)絡攻擊時，經(jīng)常容易產(chǎn)生意識上的混淆。我們是一直在面對漏洞，網(wǎng)絡攻擊還是在面對由于使用漏洞和網(wǎng)絡攻擊帶來的業(yè)務風險？很少有人去關心為什么會有人來在某處嘗試漏洞挖掘和攻擊，比如：為什么要在這個地方嘗試找出 XSS 漏洞？真實目的是什么？帶來什么樣的業(yè)務風險？所以一定要以業(yè)務風險為核心，從業(yè)務的視角去真正的抓出背后的意圖。假如業(yè)務都沒有了，那作為該業(yè)務的安全也不會繼續(xù)存在了。

同時一定要有一個明確的范圍和標準。核心資產(chǎn)是什么？核心業(yè)務是什么？需要保障到什么標準？當明確職責范圍及核心業(yè)務后再看依賴是什么需要提供什么樣的保障才能滿足核心業(yè)務的安全標準。當然安全標準必須是一個合理的可接受的范圍，因為還需要考慮安全帶來的成本。

b.以低成本有效性及可靠性為核心

當我們去解決業(yè)務風險的時候一定要在考慮成本的前提下保障有效性及可靠性。當前業(yè)務面對的風險無論從對抗性還是成本上看，在單點一線上去解決幾乎不可能同時滿足有效性、可靠性和低成本，所以我們在解決業(yè)務風險的時候一定要全鏈路通盤考慮，在搞清楚對方怎么搞我們的前提下，還要搞清楚我們在哪個地方哪個環(huán)節(jié)去解決風險問題是成本最低的，持續(xù)有效性是最好的。在做基礎設施時我們經(jīng)常提security by design，在面對業(yè)務風險點時候我們同樣需要考慮全鏈路上的對抗風險by design不能只在一個單點上進行對抗。

c.面向未來依托新技術創(chuàng)新為核心

面對業(yè)務風險，除了考慮成本的前提下用已知成熟的手段去處理，我們還要持續(xù)的考慮創(chuàng)新用新的方式方法不同的角度去解決問題，只有用創(chuàng)新性的新思路新方法才能讓安全業(yè)務有質的變化。在當前面對海量的業(yè)務數(shù)據(jù)以及海量的安全采集數(shù)據(jù)，如何讓這些海量的數(shù)據(jù)變成有效的信息，如何將有效的信息變成每個業(yè)務環(huán)節(jié)需要關注的知識點對抗點，機器代替人的 AI 技術必不可缺，因為數(shù)據(jù)的量、要求時效的已經(jīng)完全不是人能解決了。如何有效的使用 AI，如何有效的結合 AI 和人工的經(jīng)驗，以及如何有效的分配 AI 和人工已經(jīng)成為了當下必須思考和去解決的問題。

最后借用 2019RSA 大會的主題“better”結尾，當我們面對昨天的問題時能有 better 的解決方案夯實缺失，當我們面對今天的問題時能有 better 的思考路徑，當我們面對明天的問題時能有 better 的設計。

雷鋒網(wǎng)注：想要閱讀更多網(wǎng)絡安全信息？你可以關注雷鋒網(wǎng)旗下微信公眾號“宅客頻道”，與更多安全專家一起解讀網(wǎng)絡安全未來。

雷峰網(wǎng)版權文章，未經(jīng)授權禁止轉載。詳情見轉載須知。