從大(dà)會議題看2018年網絡安全趨勢

根據RSA 2018大(dà)會提交的議題資(zī)料，可以發現我(wǒ)們正處于安全領域的一(yī)大(dà)關鍵性時刻，明天就要開(kāi)始的大(dà)會也必将滿載激動人心的精彩内容。除了即将出台的全球性重大(dà)政策與法規之外(wài)，DevOps、自動化以及機器學習也已經證明了自身獲得成功的能力(無論對好人還是壞人來說)。身份與補丁安裝再次得到關注。物(wù)聯網的發展速度并沒有放(fàng)緩，ICS與供應鏈攻擊讓我(wǒ)們擔憂。密碼已經消亡(當然，這已經不是密碼第一(yī)次被宣判死刑)。還有虛假新聞?!在讨論保護世界以及全人類乃至設備而努力的時候，人爲錯誤确定、一(yī)定以及肯定會成爲重要的議題。

下(xià)面，讓我(wǒ)們一(yī)起來看RSAC2018大(dà)會已經收到的内容當中(zhōng)所體(tǐ)現出的一(yī)些重要趨勢：

1. 人工(gōng)智能

在之前的讨論當中(zhōng)，我(wǒ)們一(yī)直都将人工(gōng)智能視爲一(yī)大(dà)核心議題。從今年的情況來看，人工(gōng)智能開(kāi)始越來越多地同雲計算的普及扯上關系。2016年的提交内容顯示出人們對于機器接管世界的恐懼心理; 但着眼于2017年，情況似乎走向了另一(yī)個極端——人類開(kāi)始休假，相當一(yī)部分(fēn)工(gōng)作開(kāi)始由機器進行代勞。而在2018年的提交内容中(zhōng)，我(wǒ)們終于看到讨論從極端回歸中(zhōng)立，即我(wǒ)們開(kāi)始努力在人與機器之間建立起健康的共生(shēng)關系，二者不再是一(yī)方完全取代另一(yī)方的關系。我(wǒ)們正在學習如何利用人工(gōng)智能成果來補充、放(fàng)大(dà)并強化我(wǒ)們的活動——當然，我(wǒ)們也意識到其中(zhōng)仍存在着一(yī)些局限，特别是在對更多新的應用領域的探索當中(zhōng)。我(wǒ)們看到人工(gōng)智能與機器學習迎來了更多實際應用方向，包括自動駕駛車(chē)輛、虛假新聞檢測、生(shēng)物(wù)識别認證、缺陷檢測與預測、IT配置驗證以及DevOps等等——這份清單極爲豐富，甚至有人開(kāi)始呼籲爲此制定一(yī)份以道德爲立足點的發展路線圖。也正是因爲考慮到機器學習的重要地位，我(wǒ)們決定專門爲其建立通道，旨在集中(zhōng)更多教育重點以進一(yī)步加速其發展。然而，我(wǒ)們并不是AI發展成熟的惟一(yī)受益者——好人與壞人都能夠享受到這一(yī)曆史性紅利。事實上，關于“黑帽AI”發動攻擊的報道正持續增加。而随着Alexa與Siri被越來越多地引入更多人的日常生(shēng)活，AI背後所隐藏的黑暗面與隐私含義也開(kāi)始得到更爲廣泛的關注。

2. 人爲操縱

通過技術實施人爲操縱在本屆大(dà)會上同樣成爲關注焦點。因爲當掌握了由各方意圖所驅動的情感思維與行爲(最典型的例子自然是2016年的美國總統大(dà)選)之後，我(wǒ)們自然能夠實現心理推動，并借此以多年爲周期對攻擊目标的聲譽造成嚴重危害。考慮到在對方未作準備的前提下(xià)操縱意見并實施後續行動實在極爲簡單，一(yī)部分(fēn)與會者擔心與财務報告、社交媒體(tǐ)帖子以及健康記錄等相關的微小(xiǎo)數據變化極有可能對個人、組織、國家乃至全球範圍造成長期持久且極爲嚴重的惡劣影響。而随着技術的進步，創建照片、錄音甚至是視頻(pín)都開(kāi)始變得非常容易……因此，我(wǒ)們該采取哪些保護措施以确保我(wǒ)們思維與數據的完整性?在我(wǒ)們看來，第一(yī)步自然是對這一(yī)攻擊向量展開(kāi)探索。

3. ICS與供應鏈攻擊

供應鏈攻擊之于2017年，正如勒索軟件之于2016年。今年的頭條新聞中(zhōng)充斥着以往隻有好萊塢編劇們才想得到的攻擊活動——這不僅僅是那種令人驚呼“哇哦”的攻擊，而真正開(kāi)始對全球關鍵信息基礎設施造成實際影響。NotPetya的出現給制造行業敲響了警鍾，提醒他們應該更爲清醒地供應鏈安全性加以審查。與其它類型的網絡威脅一(yī)樣，ICS(工(gōng)業控制系統)攻擊在過去(qù)幾年中(zhōng)一(yī)直呈現出規模性與複雜(zá)度上的雙重升級，而這自然源自工(gōng)業系統連接性的不斷增強。此次提交的意見集中(zhōng)在ICS網絡攻擊的獨特性上，包括攻擊者的意圖、複雜(zá)性與能力、對ICS與自動化流程的熟悉程度(今年的自動化攻擊活動開(kāi)始大(dà)幅增加)等等。此外(wài)，我(wǒ)們也開(kāi)始探索一(yī)些由供應鏈攻擊造成的“附帶損害”，即一(yī)輪攻擊給供應鏈中(zhōng)的其它無關方帶來的損害。爲什麽人們對于目前的威脅形勢普遍表現出恐慌情緒?這是因爲數量龐大(dà)的核心基礎設施仍以過時的技術爲基礎，其包含大(dà)量接觸點且會引發極爲嚴重的影響。

4. 區塊鏈

我(wǒ)們注意到今年區塊鏈技術也成爲一(yī)大(dà)關注重點，特别是對其從理論到實際應用的探讨。随着區塊鏈技術的升級與擴展，一(yī)些人指出有必要爲其制定真正的标準與安全協議。區塊鏈正越來越多地作爲物(wù)聯網、支付(無論實際規模如何，特别是點對點支付)、身份、ICO、忠誠度計劃、共享資(zī)源分(fēn)配以及聯網設備等的有效解決方案。内容提交者們正積極探索區塊鏈技術中(zhōng)的分(fēn)布式信任模型與可用性能夠如何作爲安全解決方案實現用戶管理與自身管理，并借此幫助企業改進運營能力、安全性并帶來新的服務類型。此外(wài)，壞人們當然也不會錯過區塊鏈這一(yī)重要機遇。我(wǒ)們對于區塊鏈内容的深度分(fēn)享很感興趣，因此計劃組織一(yī)場以區塊鏈爲核心議題的研讨會。

5. 物(wù)聯網與醫療設備

與往年一(yī)樣，本屆會議上仍然包含大(dà)量物(wù)聯網内容——其主要集中(zhōng)在解決方案層面，而不再是以往的問題發現。我(wǒ)們正在學習如何一(yī)口吞下(xià)這塊規模可觀的“大(dà)蛋糕”。最重要的是，我(wǒ)們還考慮到與醫療設備相關黑客攻擊及保護手段的意見數量，部分(fēn)相關内容甚至具有極爲可觀的深度——包括一(yī)位醫療設備從業者将加入進來，把讨論的層次由以往的安全對話(huà)升級至真正的解決方案水平。我(wǒ)們将考慮技術性解決方案是否足以解決醫療行業所面臨的挑戰(盡管大(dà)量遺留設備早在聯網時代之前就已經制造并部署完成)，抑或需要配合監管制度才有可能建立起真正可行且可靠的方案。另外(wài)，人們還關注如何對來自這些設備的數據進行調查，呼籲行業更好地管理這些遠超必要數據量的收集信息，同時确保不在未經原始擁有者許可的前提下(xià)進行共享。在這方面，隐私與安全再次成爲重要的對話(huà)内容。

6. 情報共享

或者更準确地講，應該叫情報匮乏!去(qù)年的大(dà)會在情報共享方面提出了大(dà)量意見，以至于我(wǒ)們甚至爲其專門組織了一(yī)場爲期半天的研讨會。今年……呃，所提交的意見主要集中(zhōng)在組織機構在與外(wài)部各方進行情報共享時所出現的無數實際問題。一(yī)些人探讨了情報共享所面臨的技術挑戰，而這些挑戰往往要求參與方配合情境信息才能真正運用相關情報，否則一(yī)切将毫無意義。其他人則感歎各類組織機構往往使用不同的标準與執行方式，這種相互沖突的行事方針導緻行業标準實際上無從起效。也有一(yī)些提交者探讨了情報共享的商(shāng)業意義：其會幫助組織機構獲得市場優勢、觸發法律責任抑或違反隐私承諾?就目前來看，我(wǒ)們似乎僅僅出于熱情而進行情報共享……但人們已經意識到，隻要方法正确，這樣做确實能夠帶來一(yī)定收益。

7. 身份

今年，密碼又(yòu)死了，但身份機制卻非常活躍，且其讨論範圍遠遠超出了設備應當在高度自動化背景下(xià)所需要識别并保證的程度。我(wǒ)們正在努力管理、追蹤并保障各類組織機構當中(zhōng)人與機器間的相互關系，而此類數字在物(wù)聯風領域正呈現出指數級的增長。更具體(tǐ)地講，在交換信息之前先回答對方“是誰”的問題，已經成爲安全從業人員(yuán)所面臨的最爲重要的挑戰——提交者們認爲，必須使用強有力且可信的身份保證機制才能作出回應。然而，我(wǒ)們該如何更好地實現這一(yī)目标?很明顯，我(wǒ)們需要立足雲環境、移動設備、供應鏈以及各類端點找到确切有效的創新性解決方案。

8. 基礎設施

除了ICS攻擊之外(wài)，或者說正是因此受到啓發，今年的提交内容中(zhōng)也包含大(dà)量與基礎設施相關的議題。我(wǒ)們還注意到，與DNS以及端點相關的内容亦有所增加。我(wǒ)們發現此次提交的内容中(zhōng)包含大(dà)量與軟件定義邊界相關的資(zī)料，包括DISA暗網、Jericho、零信任模型以及谷歌BeyondCorp等等。這一(yī)切在過去(qù)幾年内都得到了一(yī)定關注，但今年似乎再次被與會者們所重視，而這很可能預示着未來的趨勢走向。更具體(tǐ)地講，最終用戶開(kāi)始讨論這些議題，而不僅隻有供應商(shāng)在爲此作出承諾。另外(wài)，我(wǒ)們也看到更多與修複相關的讨論，這很可能源自人們對勒索軟件活動與Equifax安全違規等事件的擔憂。在這方面，自動化概念與監管要求再度出場——人們開(kāi)始争論是否應将補丁更新視爲強制性制度。

9. GDPR、風險管理與恢複能力

GDPR及其對全球各類組織機構帶來的重大(dà)影響(也許還包括其它具備同樣颠覆性效果的标準與政策)在今年的提交内容中(zhōng)占據了相當可觀的比例。正因爲如此，我(wǒ)們同樣決定組織一(yī)場以GDPR爲核心議題的研讨會。衆多供應商(shāng)已經投身于這股潮流，認爲這将帶來一(yī)種神奇且獨一(yī)無二的普适性解決方案; 但在另一(yī)方面，最終用戶則指出對于組織機構内部的安全要求遵守工(gōng)作而言，人與流程要比技術更爲重要。這不禁讓我(wǒ)們想起了易捷航空公司支付安全部門負責人John Elliott在2017年RSAC倫敦大(dà)會上作出的一(yī)場精彩演講。一(yī)方面，隐私與數據保護之間的摩擦正持續升級，另一(yī)方面業務支持與客戶參與信息确實息息相關。而在這場拉鋸戰中(zhōng)，我(wǒ)們還将見證區塊鏈、物(wù)聯網以及人工(gōng)智能的持續加入并在其中(zhōng)扮演越來越重要的角色。我(wǒ)們還注意到，人們對于合規性乃至治理層面的風險管理與恢複能力表達出高度重視，并希望通過商(shāng)業視角從整體(tǐ)層面看待風險因素——這種趨勢有可能掀起一(yī)波網絡保險與網絡風險保障、真實安全成本衡量以及安全評級(包括供應商(shāng)代碼安全性與工(gōng)具安全功能等)的讨論。我(wǒ)們希望能夠利用企業當中(zhōng)同一(yī)類别的度量工(gōng)具對安全的有效性加以衡量及驗證。

10. 人的因素

令人耳目一(yī)新的是，我(wǒ)們還注意到一(yī)項明确的線索，即提交者們開(kāi)始将員(yuán)工(gōng)作爲安全工(gōng)作中(zhōng)的基本個體(tǐ)與單位。我(wǒ)們密切關注着如何建立一(yī)支強大(dà)的團隊以實現最理想的安全态勢，而在此之中(zhōng)意識與思維、教育背景、年齡、性别以及經驗等因素的多樣性将非常重要。這不僅僅是在讨論男女之間的差異，而是在圍繞着更爲宏觀的多樣性展開(kāi)讨論。有人指出，主流媒體(tǐ)對Equifax安全違規事件的報道以及高管背景的多樣性狀況(例如‘僅擁有音樂學位的人怎麽可能負責安全工(gōng)作?’等質疑)确實應當引起重視——人們認爲，對不同教育背景的粗暴否定影響到我(wǒ)們保障安全的能力與彈性水平。當然作爲前提、起點乃至持續性基礎，我(wǒ)們也需要建立起有效的教育與培訓機制。良好網絡安全勞動力框架(NICE Cybersecurity Workforce Framework)似乎就是個很好的答案，提交者們認爲其可用于快速發現最适合執行特定安全工(gōng)作的人員(yuán)選項。我(wǒ)們還看到更多關于全球範圍内優秀項目的評論意見，這些項目也确實幫助特定人群在網絡安全方面取得了成功。我(wǒ)們對這類對話(huà)及慶典活動很感興趣，爲了保證這種多元化态勢，我(wǒ)們決定在本屆RSA大(dà)會中(zhōng)爲其召開(kāi)一(yī)場專題研讨會。

當然，這十條重點絕對不足以涵蓋此次我(wǒ)們收到的超過2100份議題資(zī)料的全部趨勢。我(wǒ)們注意到以量子計算爲核心的議題開(kāi)始增加，也有一(yī)些人開(kāi)始對合法入侵感到擔憂——他們認爲近期的一(yī)些案例可能意味着合法入侵的黑客也許終将逃避牢獄之災。同樣的，人們也越來越關注對地緣政治的研究——我(wǒ)們是否會因爲世界上某些地區的争端而受到影響(這裏人們反複使用了‘巴爾幹化’這一(yī)表述)?當然，也有不少人提到了其有趣的數字化轉型之旅以及關于源代碼開(kāi)放(fàng)(開(kāi)源軟件的普及度正持續提升)的安全性擔憂。由于這種安全感缺失的存在，我(wǒ)們在越來越多的議題中(zhōng)注意到“安全債務”這一(yī)說法。

最後，我(wǒ)們對于2018年RSA大(dà)會所收到的議題感到興奮與激動，也欣慰于我(wǒ)們與大(dà)家建立起的這種協同工(gōng)作與持續交流的關系。RSA大(dà)會最爲重要的主題，永遠是建立社區力量并增加面對面交流的機會。在共同努力讓世界變得更加安全的同時，我(wǒ)們也要始終保持這樣的交流能力。