故事

一位安全专家眼中的RSA2015改变和信

2019-05-14 19:47:21来源:励志吧0次阅读

作为360公司负责技术的副总裁,谭晓生是中国络安全领域的一位领军人物,曾连续三年参加RSA这一全球安全领域规模、影响力的行业大会,在他的眼中,每一年的RSA就是对未来安全趋势和安全方向的前瞻和预演,以下是谭晓生眼中刚刚闭幕的RSA Conference 2015:

RSA大会是全球范围的企业信息安全领域的会议,每年的2月下旬或4月下旬固定在旧金山举行,我是连续第三年参加RSA大会,很高兴自己的会议吊牌下多了一个LoyaltyPlus的标签,好处自然还是有的:在听KeyNotes的时候可以提前进到宴会厅门口排队,可以提前进入会场,其他人可是在会中中心外面排队的哦!

大会关键词:改变

RSA大会每年都会有一个关键词,2013年是Big Data(大数据),2014年是Share,Learn, Secure(分享、学习、安全),2015年的关键词和美国总统奥巴马2008年总统竞选的关键词一样,没错,是改变(Change)! 众多演讲佳宾在演说中也反复强调改变这个词,从参展厂商的参展产品上,我们也能感受到这种改变:曾经的RSA,各厂商摆出一大堆的做得各式各样的硬件设备,长得像交换机、路由器样子的,有多个络端口、指示灯不断闪烁的、骨子里是个标准服务器或专用芯片制作的电路板的,行业人士称为盒子的、用户叫做防火墙、下一代防火墙、UTM、IPS、IDS的东西,但今年,会场很少见到这样的东西,各家的展台长见到的是酷炫的一个大屏幕,大屏幕上在展现各种各样的仪表盘(Dashboard)、各种各样的攻击态势展示图、各种自动播放的讲稿,展台上出现频率的关键词是:Threat(威逼)、Breach(失陷)、Intelligence(情报)、Detection(检测)、Prevent(防护)。

RSA总裁Amit Yoran在名为逃出信息安全的黑暗时代(Escaping Security Dark Age)的主题演讲中说,2014年的安全形势是Breach的一年,而且大家都同意2014年是Mega Breach,2015年情况不会更好,会更糟,将会是Super Mega Breach的一年!Breach1词在英语中有攻破的意思,但么翻译成中文,被黑了?被破了?被搞掂了?泄露了?似乎都不够准确,在2015年4月25日,经参加会议的近百名安全专家在群中超过10小时的讨论,来自FireEye的华裔安全研究员韦韬建议翻译做失陷,2015年,我们可以预期有更多的漏洞被爆、更多的系统被攻破、更多的数据泄漏!Amit对络安全形势的比喻是我们在地图之外航行!。

改变,是因为我们不得不变,改变,能否让我们逃离信息安全的黑暗时期?

被砸掉的盒子

防火墙,IPS,IDS,UTM,这些传统的络安全产品的形态一般是一块或几块电路板被安装在一个长方体的铁皮盒子内,按照用户的需求,卖不同处理能力的铁皮盒子给用户,与需要工程师提供人工服务的安全服务,或通过互联提供的云服务相比,业内人士戏称这种安全产品为盒子,因为盒子看得见摸得着,乃至可以拎一下有多重,用户感动买到手了一个实实在在的东西,至今还是国内企业络安全产品销售的主要形态。

在2015 RSA大会上却看到了砸盒子的表演,如果说从来不生产盒子,以信息安全服务当作谋生方法的新锐厂商Zscaler砸盒子是为了吸引眼球的话,那么传统盒子制造商Fortinet的砸盒子就耐人寻味了。

与盒子相对的,是越来越频繁被提到的情报,展会中许多家安全态势管理、相应产品的提供商都声称自己的产品可以和FireEye、Arcsight等的情报连接,情报通常是快速变化的,通常不会通过盒子来提供,而安全态势管理,大家也知道,通常是跑在服务器上的一组软件来提供的功能,也不是通常意义上有多个络端口,有指示灯闪烁,长得更像络装备的信息安全设备应该完成的功能。

从趋势上来看,络安全产品或服务可能会愈来愈少以盒子的形态出现,以服务情势提供的比重会加大,但有比较极端的安全人员断言盒子即将被淘汰,倒也未必如此:防火墙、IPS、IDS等传统络安全设备,在对已知攻击的快速检测、拦截方面是非常有效的,只是,面对未知威胁攻击有些勉为其难,同样的,以安全情报为中心的新玩法,的确会有更大的几率检测到新型威逼,但复杂的逻辑处理所需要的时间决定了在快速阻断攻击方面会遇到巨大困难,在产品演进的过程中咱们还是要保持一个客观的心态,矫枉过正也不行。

缺少亮点的创新沙盒

RSA大会有个很受欢迎的环节叫创新沙盒(Innovation Sandbox),只给买了全部通票的观众参加的,每年会有10家创新公司去做展示,3分钟展示自己的产品、团队,3分钟回答评委的问题,评委中多数是投资人,今年的创新沙盒十个产品分别是:

Warateck:做了一个Java的安全容器;

Vectra:基于行为的络攻击自动检测;

TrustInSoft:软件白盒安全检测;

Ticto:试图解决RFID的可视化安全识别问题;

SentinelOne:客户端安全防护产品;

SecurityDo:用大数据方法改进应急响应流程;

NexDefense:工业控制系统的安全防御;

FortScale:基于用户行动分析的威逼发现;

Cybereason:基于大数据与威逼情报的络入侵检测;

BugCrowd:安全众测;

Waratek取得了名,但我和几位参会的同事有同样的感觉,今年的创新沙盒缺乏亮点,与2013,2014年相比,缺乏让人眼前一亮的创新产品、思路。

中国大陆的参展厂商

这次来参展的大陆安全厂商有:绿盟、天融信、华为、山石科、飞天诚信、安恒、360、猎豹移动、中关村科技园、安天等,去年来参展的一些小厂商没有再来参展,应该说,大陆参展厂商的水平在逐年提高,今年来参展的厂商手中基本都有赖以为生的一手或几手绝活,比如安天的病毒查杀引擎、安恒的站安全与数据库审计产品、山石科的下一代防火墙、飞天诚信的UKey/硬件令牌、360的终端安全管控、大数据安全平台的那个,在华为、360、山石科的展台前常常能看到人头攒动的场景,安天实验室的小站台前也一直洽谈者不断,与江海客肖新光打个招呼都得插他的空。

也有一些大陆厂商在展现的定位上存在问题:RSA大会是一个面向企业的信息安全产品/解决方案的会议,参会嘉宾基本是安全行业从业者和会采购信息安全产品/解决方案的政府、企业客户,他们的关注点不是在个人安全产品, 选择在这里展示个人安全产品并不会取得很好的效果。

情报(Intelligence)、情报、情报在哪里?

从嘉宾的演讲到产品的展示,到处都能听到、看到大家对正在发生什么的关注,如果你根本不知道信息络中正在产生甚么攻击行为,哪些系统已经被搞掂了,哪些数据已经被泄漏了,那有效的防御当然无从谈起。Logrhythm、Lancope、Tripwire、damballa、Hexis、ForeScout等大大小小的公司都在谈通过可视化、异常检测来发现络威胁,也都强调威胁情报的重要性,但,威胁情报从哪里来?把一个企业的所有系统的日志都收集了,甚至所有流量都监听了,然后用来做大数据分析,就有威逼情报了么?明显不是!

多数厂商提供的还是一套基于本地数据的分析工具,由于本地数据只覆盖了自己一家企业,甚至还面临从各系统采集到的日志数据已经损失了大量业务细节的问题,这些产品的有效性,我们还需要拭目以待,而真正能提供威逼情报的厂家少之又少,FireEye是常被提起的一家。

云安全的现实

云计算给企业IT带来巨大便利的同时,其实也带来了新的安全隐患,在本次大会上来自Paypal的Scott Carlson对私有云的安全现实做了入木三分的分析:私有云的安全形势比公有云更严峻,因为商业竞争等原因,美国的公有云的服务商已对安全比较关注,有专门的团队做安全方面的改进(相对而言国内的公有云市场在安全特性上还差得比较多啊!),但在私有云上首先面临缺乏安全标准问题,其次在Open Stack、Hypervisor、物理络层上都有很多安全加强要做,私有云中对数据的保护方法也与传统IT不同,集中管控甚至会成为系统安全性上的弱点系统的控制平面如果被突破了,一切都完了!

企业应用环境员工对公有云,比如云存储、Facebook、Twitter的使用也会成为一个安全问题,比如通过云存储同享文件时候可能会带来的泄密问题,CASB(Cloud Access Security Broker,云访问安全代理)的方法是一种解决思路,Netscope等公司做了这方面的一些尝试。

感觉美国的企业在云计算安全方面的关注度高,研究深度比国内公有云、私有云服务商要深很多,国内的厂商需要加油了。

NSA前局长亚历山大将军

RSA大会进入第四天的时候,部份参会人员已经开始离开,参加各个讲座的人员会减少,但周四上午Moscone西区3014会议室的门口仍然排起了长队,这个会议的佳宾是去年退休的美国国家安全局局长Keith Alexander,亚历山大将军。

斯诺登事件导致NSA广为人知,收集一切、标记一切指导思想下的大范围监听乃至主动入侵的情报获得手段让NSA与亚历山大将军都饱受质疑,两年后的今天,亚历山大在这个安全会议上会说些什么呢?

会议有个主持人与亚历山大将军对谈,从亚历山大为何会进西点军校谈起,也让大家知道原来亚历山大的同学中有好几个美国四星上将。亚历山大仍然坚持认为自己和自己团队所做的事情是为了美国的国家安全,所做的事情是正确的,谈起团队工作的勤奋与效率依然透露着自豪, 在谈话的后半部分做出与美国国土安全部部长Jeh Johnson在会议第二天的主题演讲形成呼应:呼吁民间企业与政府在络空间安全上合作,乃至呼吁络安全工作者为政府效率,说在NSA这样的机构锻炼几年对自己的发展会非常有帮助。

在本届RSA大会中,现任美国国土安全部部长Jeh Johnson在会议第二天的主题演讲、密码学家的论坛、亚历山大将军的对话这三个环节都较多谈到了美国国家络空间安全问题,谈到了政府和企业的合作问题,从会议现场的感受看,Jeh与亚历山大都是比较坚决的号召企业积极与政府合作,Jeh在演讲结束的时候乃至说到商业公司对数据加密,会造成国家对有安全有关信息获取的困难,号召企业积极与政府合作。而密码学家论坛中更是直接邀请了NSA密码破解专家Ed Giorgio做佳宾,佳宾们的意见中,除了有嘉宾觉得大规模收集信息会浪费大量资源,因为收集到的多数信息并没有什么用以外,对大规模信息收集并无太大的反对意见。

政府现任、前任官员出来公开呼吁企业与政府合作以弥补政府气力的不足,明确表达自己的诉求,这类方式值得我们借鉴。

儿童上安全

今年RSA大会有一儿童上安全的一系列话题,其中名为进入树林:保护我们的年轻人免遭络空间之狼的侵害(Into the Woods: Protecting Our Youth from the Wolves of Cyberspace)论坛邀请到了13岁时候因为络诱拐而被强暴、监禁的Alicia Kozakiewicz做佳宾,Alicia以自己的亲身经历讲述了在络空间的遭遇,自己的不幸和荣幸(被FBI破门救出),来自FBI、络安全培训机构研究人员、取证专家以及儿童保护专家的嘉宾们分享了关于络空间儿童保护的观点,而Alicia自己也已经投身儿童保护工作,积极推动Alicia法案在全美50个州的通过。

在美国络安全公司工作的华人

在硅谷的络安全公司中有很多华人,包括弓峰敏、卜铮、Dawn Song这样的大佬级人物、神话级人物,他们参与过或正在参与FireEye、Palo Alto Networks、Cyphort等明星企业的建造、壮大并成为高管,也包括韦韬、屈波这样安全研究的中间气力。会议一天有韦韬和Yulong的演讲:分享的针对指纹验证安全性研究的刷还是不刷:对你手指的挑战(To Swipe or Not to Swipe: A Challenge for Your Fingers)。

令人意外地连演说带演示提前分钟就结束了,研究的结果揭示了指纹验证的若干严重安全问题,事后听韦韬讲,演讲前遇到了巨大的压力,被迫删掉了很多也讲稿,即便这样,各大厂商也还是有高管或满意,或愁闷地离开了会议现场。

韦韬与他的同事们对基于指纹身份验证安全性的研究的价值毋庸置疑,各大厂商的敏感也可以理解,但遇到安全问题遮遮掩掩总不是正确的处理方法,期待各厂商对指纹身份验证的安全性提高有具体行动。

游艇上的麻辣小龙虾聚会

每年RSA大会或BlackHat期间,从国内来美国参会的朋友们总会组织一些聚会,今年安全宝的马杰组织了一场别开生面的游艇麻辣小龙虾集会,一呼百应,成功登船的竟然达到80来人,马杰包下一艘游艇,来自国内安全行业的各位同仁与美国当地工作的华人信息安全工作者,甚至还包括几位老外,共同登船在旧金山湾游弋,品尝麻辣小龙虾!!!

固然,老美白人船长和厨师所做的麻辣小龙虾实在不敢恭维,远不如簋街的小龙虾好吃,但大家的兴致根本不在小龙虾身上,整艘游艇就是一个络安全人员的大Party!不管是友商还是竞争对手,是美国的还是中国的,大家边吃、边喝、边聊,边拍照,三个小时很快就过去了,FireEye的韦韬、百度的Steve、传说中的络安全女神 Dawn Song都现身这个Party,这类社交效果即便在国内也很难到达:凑齐这么多人、在相对封闭的环境、几近不受日常工作影响,聚会结束拍合影的时候大家已经在计划明年RSA大会期间的聚会,或者今年BlackHat期间的聚会。

寄生的会议与五花八门的Party

因为安全从业人员的高度聚集,RSA大会期间会寄生一系列的与安全有关的会议,比如云安全联盟的会议、微软的会议、一些民间安全组织的会议,各安全公司也乐意在这个时候举办各种业务推展、社交的Party,比如今年360就选择在周二晚上举行了一个接待中外佳宾的Party,弓峰敏、卜铮等硅谷届大佬出面捧场,360总裁齐向东亲自接待,还有大量来自信息安全圈、投资圈的外国嘉宾。周三晚是云安全联盟CSA的Party,也有40来名CSA成员单位的来宾参加。

Hugh Thompson的客人:与研究脑科学的企业生产率提升教练谈黑客,与来自好莱坞的大明星谈对索尼的入侵以及黑客电影

大会的压轴节目叫Hugh Thompson的客人,Hugh Thompson是RSA大会程序委员会的主席,这次请来的位客人是Srini Pillay,是剑桥NBG的CEO,一位通过脑科学研究来帮助企业提高生产效率的神人,Hugh和他谈论的话题包括黑客与常人到底有甚么不同,黑客是否是一群孤独的人等等,说的对不对,各位看官想办法找视频看吧,坦率讲,我没完全听懂

Hugh的第二位客人是好莱坞演员Alec Baldwin,话题自然是从索尼影业被入侵的事件谈起,谈黑客题材的电影,谈对个人信息泄漏/入侵的顾虑等,Alec思惟敏捷,反应迅速,一度让Hugh Thompson无从插话,大家可以预期的是,年底之前肯定会有类似索尼被入侵题材的黑客电影可以看。

信心

如果要说今年参加RSA大会的感受,是感觉到了自信:往年参加RSA,总会看到一些神乎其技的产品,让人觉得不能一眼看透,需要仔细看演示,小心翼翼地与展商交流,还得担心人家是否是因为我们长着一张东方面孔而谢绝给我们讲,今年在展会上看到的产品,基本是一眼就能看透,或者直接看出其中存在的问题,因为,很多路我们已经走过了!比如基于大数据方法、基于威胁情报做路攻击检测,比如软件定义边界,比如终端安全上的加强等等,这些今年很热的概念,去年已在我们的产品中得到实行。

我们航行在地图之外,对我们来说可能是一件好事情,大家都面临新的挑战,大家的起点可能差不多,未来谁能占得先机,看我们自己怎样做!

2016,我们旧金山莫斯科尼会议中心再见!

宫颈炎白带带血怎么办
白带多粘稠怎么办
盆腔炎小腹痛的危害
分享到: