从旧金山入关的时候,头发花白的海关工作人员听说是来参加RSAC会议的,问我:“你知道哪些加密算法吗?你用什么工具来Coding?”
必须说,当这样的两个问题从海关人员的嘴里问出来,让我感到很惊奇,以为碰到了少林寺的扫地僧,不由得一脸崇拜。老头继续说,他之前是一个数据库管理员(DBA),后来从事Data Mining方向的工作,也算是一个同行了。
再一想也释然,海关其实就是现实中的“网络边界”,保卫美国国土及人民的安全是他们的重要职责,配备高技能的数据分析和信息安全人员的确是非常有必要的。
2019 RSAC莫斯康尼会展中心
趋势一:一个更安全的世界
三月份的旧金山还是阴雨绵绵,但莫斯康尼会展中心周围却人来人往,场内气氛更是热闹非凡,跟天气的阴冷形成强烈的反差。今年RSAC的Slogan是Better,这也是自从1995年以来RSAC每年一个的主题词中,最简洁、有力的一个。至于Better如何阐释则见仁见智:更坚固的安全方案?更清晰的风险预测算法?更智能的安全运维?都没错,但都只回答了一方面。RSAC官方的解释是,让我们一起创造一个更安全的数字世界,从而让现实世界变得更加美好。
“... 技术始终必须向前发展。但这不是唯一的答案。确保更光明的未来需要我们所有人 - 从客户到我们这些前线的每个人 - 都要变得更好。掌握最新的威胁。加入额外的时间。将安全放在第一位。最重要的是,永远不要忘记我们在这里的根本原因:帮助确保一个更安全的世界,以便其他人可以专心主业来让世界变得更好。”
RSA总裁Rohit Ghai和首席战略官Niloofar Howe
趋势二:信任 网络空间存在的基础
更好的世界需要信任的加持,在第一天的主题演讲中,RSA总裁#FormatImgID_4#Rohit Ghai和首席战略官Niloofar Howe一起为大家呈现了The Trust Landscape(信任愿景)。他们把网络空间中的“信任”比喻为人类世界中的水,是网络空间能够存在的基础。Rohit Ghai对参会者讲到:“我们所保护的,不仅仅是商业应用,基础设施或者数据...我们在保护的是我们的信任”。
颇具讽刺的是,RSA算法的发明者之一、2002年图灵奖的得主、以色列信息安全专家阿迪·沙米尔(Adi Shamir),也就是R-S-A三个字母中的S(其他两位是Ronald Rivest和Leonard Adleman)因为没有获得美国的签证而无法出席今年的会议。阿迪·沙米尔在视频致辞中说:“如果像我这样的人都不能去现场做主题演讲, 也许我们该重新考虑在哪里组织(下一次RSAC)活动了。”
对于美国政府来说,不给阿迪·沙米尔颁发签证或许可以认为是“零信任(Zero Trust)”安全理念的最佳实践了。信任的前提是不信任,只有不相信任何人,才能去相信你能够相信的。
RSA算法的发明者之一、2002年图灵奖得主Adi Shamir
当今世界的“零信任”之路
自从2010年Forrester资深分析师John Kindervag第一次提出,并经过Google BeyondCorp项目落地之后,业界已经快速接受了“零信任”的安全理念。
数年后的今天,Forrester的分析师已经被挖角到PAN成为其技术主管,PAN也开始“零信任”领导者的身份自居;在“零信任”理念基础上发展出来微分域(Micro-segmentation)、软件定义边界(SDP)等技术也已经走向成熟;Zscaler等独角兽级别的企业在这个领域发展壮大;思科则在去年以23.5亿美金的代价收购了Duo,在软件定义边界(SDP)上重新出发。
在今年的RSAC上,我们看到不管是传统的防火墙厂商,还是云计算安全厂商,都在展示自己的“零信任”方案。笔者认为,“零信任”的架构并没有太多新的技术,更贴近应用的边界划分,更精细的资产管理,更加自适应的安全策略,更高安全性的多因素身份认证技术(MFA),所有的这一切,都是“零信任”的具体实践。
思科和Duo 的“零信任”安全之路
“零信任”安全模型的最佳实践
微分域和流量可视化(Microsegmentation & Flow Visibility)被认为是解决云计算内部安全问题的最佳技术方案之一,并连续三年上榜Gartner信息安全十大技术。
山石网科作为国内最早投入到云计算安全领域的厂商之一,也是国内第一批获得VMware Ready认证的网络安全厂商,早在2015年就发布了创新的分布式网络侧微分域产品山石云·格及虚拟化防火墙山石云·界。并陆续发布了关于微分域和可视化技术、零信任安全模型等技术白皮书,在业界获得普遍认可。今年RSAC,山石网科再一次向用户展示了以微分域和可视化技术为核心的云计算安全解决方案。
除了一些大牌厂商,今年RSAC“创新沙盒”演讲冠军的获得者Axonius也是“零信任”领域的后起之秀。Axonius为客户提供SAAS模式的资产管理及可视化产品,这是非常基础和普通的安全技术,却是实现“零信任”的起点。
在日渐复杂的多云环境中的如何全面、准确的获取资产的信息,并实现快速的安全响应并不容易。Axonius在资产管理、漏洞管理和安全合规方面都有不同程度的微创新,获奖虽然有一定的争议,但也显示了评委对“零信任”这个大方向的认可。
Axonius的SAAS资产管理产品
趋势三:“无AI不安全”
McAfee高级副总裁兼首席技术官Steve Grobman在主题演讲中探讨了AI和机器学习这把双刃剑。AI可以削弱公众对技术的信任,也可以增强我们的技术手段以重建信任。
早在去年的RSAC上,我们就看到各厂商对于AI的追捧,今年更多的厂商的产品中都打上了AI的标记,几乎已经到了无AI不安全的程度。比如PAN展示了他们的Cortex威胁分析平台,Lastline展示了采用AI和机器学习来进行更好的网络分析(NTA)和威胁分析(APT)。
PAN的Cortex 威胁分析平台
思科则展示了一项AI黑科技,不经解密而凭借机器学习和统计分析就能发现加密流量中的恶意软件。由于可以节省大量的用于解密的CPU资源,同时又完全兼容现有的部署,思科的这项技术如果有效的话,将会具有非常高的产业价值。
思科的AI黑科技
然而“技术无关道德”,AI可以帮助我们更好的检测到威胁,也可以放大攻击者的威胁,比如互联网上的爬虫尤其是恶意机器流量,亟需进行准确的识别和管理。互联网上的机器流量的规模一度超过真实的流量,对用户的业务来说这是很大的困扰。
我们是否还可以信任我们业务系统中的流量,抑或在面对爬虫、薅羊毛时束手无策?针对这一情况,流量分发者们比如F5、Akamai、Radware都展示了他们的解决方案。
F5展示机器流量识别的商业价值
Akamai 展示如何应对复杂的机器流量攻击
山石网科AI基因
山石网科的Web应用防火墙也采用最新的机器学习技术来进行爬虫检测。针对机器流量,传统的静态检测方法(识别IP、User-agent)通常是无效的,需要综合利用各种手段,包括和客户端、服务器进行互动获取设备指纹,并采用机器学习技术来进行建模,通过多维度的行为分析来分辨出正常流量、搜索引擎爬虫和恶意机器流量,进而采用不同的管理措施。
除了“零信任”架构和AI,本届RSAC上围绕信任的讨论还可以引申到各个安全领域,比如DevSecOps、IOT安全、API安全等等。在云计算和敏捷交付的大趋势下如何确保更好的安全,从而构建一个真正可以信任的世界,或许我们都是在逐步摸索的过程中。主题演讲的最后,Rohit Ghai和Niloofar Howe给出的建议是:
●意识到风险和信任并存
●人类和机器合作,而不是各自为战
●建立信任链条
这三条建议可谓意味深长,在当前的安全现状下,我们不可能阻挡所有的攻击,更多的是要做好风险控制,把损失降到最小;在正视安全风险将会长期存在的前提下,充分发挥机器处理的优势,建立威胁信息的收集和共享机制,逐步建立和完善信任链条,提升整个安全产业的响应和服务水平。
后记:
三十五年前,科幻大师阿西莫夫曾应《多伦多星报纸》(The Star)的邀请,写下了对 2019 年的猜想:计算机应用变得普遍,「智能」机器将可能成为新兴的行业,太空旅行将会变得成熟,人类能够“大规模登月”进行采矿工作,并将能量通过微波传输回地球。
如同阿西莫夫的预料一样,计算机和AI技术的发展深刻改变了人类的生活,然而太空旅行的进度却远远落后了。更糟糕的是,我们投入了太多的精力在虚拟的网络世界中,信任的建立看起来仍然遥不可及。如果可以不去经受这些人性的考验,或许我们能像阿西莫夫预料的一样,把更多的精力放在太空探索上,并取得辉煌的成就。或许这是人类社会更Better 的发展方向。