ITBear旗下自媒体矩阵:

一位安全专家眼中的RSA 2015:改变和信心

   时间:2015-04-27 19:33:20 来源:互联网编辑:星辉 发表评论无障碍通道

作为360公司负责技术的副总裁,谭晓生是中国网络安全领域的一位领军人物,曾经连续三年参加RSA这一全球安全领域规模最大、最具影响力的行业大会,在他的眼中,每一年的RSA就是对未来安全趋势和安全方向的前瞻和预演,以下是谭晓生眼中刚刚落幕的RSA Conference 2015:

RSA大会是全球最大规模的企业信息安全领域的会议,每年的2月下旬或4月下旬固定在旧金山举行,我是连续第三年参加RSA大会,很高兴自己的会议吊牌下多了一个“LoyaltyPlus”的标签,好处自然还是有的:在听KeyNotes的时候可以提前进到宴会厅门口排队,可以提前进入会场,其他人可是在会中中心外面排队的哦!

大会关键词:改变

RSA大会每年都会有一个关键词,2013年是“Big Data(大数据)”,2014年是“Share,Learn, Secure(分享、学习、安全)”,2015年的关键词和美国总统奥巴马2008年总统竞选的关键词一样,没错,是“改变”(Change)! 众多演讲嘉宾在演说中也反复强调“改变”这个词,从参展厂商的参展产品上,我们也能感受到这种“改变”:曾经的RSA,各厂商摆出一大堆的做得各式各样的硬件设备,长得像交换机、路由器样子的,有多个网络端口、指示灯不断闪烁的、骨子里是个标准服务器或专用芯片制作的电路板的,行业人士称为“盒子”的、用户叫做“防火墙”、“下一代防火墙”、“UTM”、“IPS”、“IDS”的东西,但今年,会场很少见到这样的东西,各家的展台最长见到的是酷炫的一个大屏幕,大屏幕上在展示各种各样的“仪表盘(Dashboard)”、各种各样的攻击态势展示图、各种自动播放的讲稿,展台上出现频率最高的关键词是:Threat(威胁)、Breach(失陷)、Intelligence(情报)、Detection(检测)、Prevent(防护)。

RSA总裁Amit Yoran在名为“逃出信息安全的黑暗时代(Escaping Security Dark Age)”的主题演讲中说,2014年的安全形势是“Breach”的一年,而且大家都同意2014年是“Mega Breach”,2015年情况不会更好,会更糟糕,将会是“Super Mega Breach”的一年!Breach一词在英语中有“攻破”的意思,但么翻译成中文,“被黑了”?“被破了”?“被搞掂了”?“泄露了”?似乎都不够准确,在2015年4月25日,经参加会议的近百名安全专家在微信群中超过10小时的讨论,来自FireEye的华裔安全研究员韦韬建议翻译做“失陷”,2015年,我们可以预期有更多的漏洞被爆、更多的系统被攻破、更多的数据泄漏!Amit对网络安全形势的比喻是“我们在地图之外航行!”。

“改变”,是因为我们不得不变,“改变”,能否让我们逃离“信息安全的黑暗时代”?

被砸掉的“盒子”

防火墙,IPS,IDS,UTM,这些传统的网络安全产品的形态一般是一块或几块电路板被安装在一个长方体的铁皮盒子内,按照用户的需求,卖不同处理能力的铁皮盒子给用户,与需要工程师提供人工服务的安全服务,或通过互联网提供的“云服务“相比,业内人士戏称这种安全产品为“盒子”,因为盒子看得见摸得着,甚至可以拎一下有多重,用户感动买到手了一个实实在在的东西,至今还是国内企业网络安全产品销售的主要形态。

在2015 RSA大会上却看到了“砸盒子”的表演,如果说从来不生产盒子,以信息安全服务当作谋生方法的新锐厂商Zscaler砸盒子是为了吸引眼球的话,那么传统“盒子”制造商Fortinet的“砸盒子”就耐人寻味了。

与“盒子”相对的,是越来越频繁被提到的“情报”,展会中许多家安全态势管理、相应产品的提供商都声称自己的产品可以和FireEye、Arcsight等的“情报”连接,“情报”通常是快速变化的,通常不会通过“盒子”来提供,而安全态势管理,大家也知道,通常是跑在服务器上的一组软件来提供的功能,也不是通常意义上有多个网络端口,有指示灯闪烁,长得更像网络设备的信息安全设备应该完成的功能。

从趋势上来看,网络安全产品或服务可能会越来越少以“盒子”的形态出现,以服务形式提供的比重会加大,但有比较极端的安全人员断言“盒子”即将被淘汰,倒也未必如此:防火墙、IPS、IDS等传统网络安全设备,在对已知攻击的快速检测、拦截方面是非常有效的,只是,面对未知威胁攻击有些勉为其难,同样的,以安全情报为中心的新玩法,的确会有更大的概率检测到新型威胁,但复杂的逻辑处理所需要的时间决定了在快速阻断攻击方面会遇到巨大困难,在产品演进的过程中咱们还是要保持一个客观的心态,矫枉过正也不行。

缺乏亮点的“创新沙盒”

RSA大会有个很受欢迎的环节叫“创新沙盒(Innovation Sandbox)”,只给买了全部通票的观众参加的,每年会有10家创新公司去做展示,3分钟展示自己的产品、团队,3分钟回答评委的问题,评委中多数是投资人,今年的创新沙盒十个产品分别是:

Warateck:做了一个Java的安全容器;

Vectra:基于行为的网络攻击自动检测;

TrustInSoft:软件白盒安全检测;

Ticto:试图解决RFID的可视化安全识别问题;

SentinelOne:客户端安全防护产品;

SecurityDo:用大数据方法改进应急响应流程;

NexDefense:工业控制系统的安全防御;

FortScale:基于用户行为分析的威胁发现;

Cybereason:基于大数据与威胁情报的网络入侵检测;

BugCrowd:安全众测;

最后Waratek获得了第一名,但我和几位参会的同事有同样的感觉,今年的“创新沙盒”缺乏亮点,与2013,2014年相比,缺乏让人眼前一亮的创新产品、思路。

中国大陆的参展厂商

这次来参展的大陆安全厂商有:绿盟、天融信、华为、山石网科、飞天诚信、安恒、360、猎豹移动、中关村科技园、安天等,去年来参展的一些小厂商没有再来参展,应该说,大陆参展厂商的水平在逐年提高,今年来参展的厂商手中基本都有赖以为生的一手或几手“绝活”,比如安天的病毒查杀引擎、安恒的网站安全与数据库审计产品、山石网科的下一代防火墙、飞天诚信的UKey/硬件令牌、360的终端安全管控、大数据安全平台的那个,在华为、360、山石网科的展台前经常能看到人头攒动的场景,安天实验室的小站台前也一直洽谈者不断,与“江海客”肖新光打个招呼都得插他的空。

也有一些大陆厂商在展示的定位上存在问题:RSA大会是一个面向企业的信息安全产品/解决方案的会议,参会嘉宾基本是安全行业从业者以及会采购信息安全产品/解决方案的政府、企业客户,他们的关注点不是在个人安全产品, 选择在这里展示个人安全产品并不会取得很好的效果。





情报(Intelligence)、情报、情报在哪里?

从嘉宾的演讲到产品的展示,到处都能听到、看到大家对“正在发生什么”的关注,如果你根本不知道信息网络中正在发生什么攻击行为,哪些系统已经被搞掂了,哪些数据已经被泄漏了,那有效的防御当然无从谈起。Logrhythm、Lancope、Tripwire、damballa、Hexis、ForeScout等大大小小的公司都在谈通过可视化、异常检测来发现网络威胁,也都强调威胁情报的重要性,但,威胁情报从哪里来?把一个企业的所有系统的日志都收集了,甚至所有流量都监听了,然后用来做大数据分析,就有威胁情报了么?显然不是!

多数厂商提供的还是一套基于本地数据的分析工具,因为本地数据只覆盖了自己一家企业,甚至还面临从各系统采集到的日志数据已经损失了大量业务细节的问题,这些产品的有效性,我们还需要拭目以待,而真正能提供威胁情报的厂家少之又少,FireEye是最常被提起的一家。

云安全的现实

云计算给企业IT带来巨大便利的同时,其实也带来了新的安全隐患,在本次大会上来自Paypal的Scott Carlson对私有云的安全现实做了入木三分的分析:私有云的安全形势比公有云更严峻,因为商业竞争等原因,美国的公有云的服务商已经对安全比较关注,有专门的团队做安全方面的改进(相对而言国内的公有云市场在安全特性上还差得比较多啊!),但在私有云上首先面临缺乏安全标准问题,其次在Open Stack、Hypervisor、物理网络层上都有很多安全加强要做,私有云中对数据的保护方法也与传统IT不同,集中管控甚至会成为系统安全性上的弱点——系统的控制平面如果被突破了,一切都完了!

企业应用环境员工对公有云,比如云存储、Facebook、Twitter的使用也会成为一个安全问题,比如通过云存储共享文件时候可能会带来的泄密问题,CASB(Cloud Access Security Broker,云访问安全代理)的方法是一种解决思路,Netscope等公司做了这方面的一些尝试。

感觉美国的企业在云计算安全方面的关注度高,研究深度比国内公有云、私有云服务商要深不少,国内的厂商需要加油了。

NSA前局长亚历山大将军

RSA大会进入第四天的时候,部分参会人员已经开始离开,参加各个讲座的人员会减少,但周四上午Moscone西区3014会议室的门口依然排起了长队,这个会议的嘉宾是去年退休的美国国家安全局局长Keith Alexander,亚历山大将军。

斯诺登事件导致NSA广为人知,“收集一切、标记一切”指导思想下的大范围监听乃至主动入侵的情报获取手段让NSA与亚历山大将军都饱受质疑,两年后的今天,亚历山大在这个安全会议上会说些什么呢?

会议有个主持人与亚历山大将军对谈,从亚历山大为何会进西点军校谈起,也让大家知道原来亚历山大的同学中有好几个美国四星上将。亚历山大依然坚持认为自己和自己团队所做的事情是为了美国的国家安全,所做的事情是正确的,谈起团队工作的勤奋与效率依然透露着自豪, 在谈话的后半部分做出与美国国土安全部部长Jeh Johnson在会议第二天的主题演讲形成呼应:呼吁民间企业与政府在网络空间安全上合作,甚至呼吁网络安全工作者为政府效力,说在NSA这样的机构锻炼几年对自己的发展会非常有帮助。

在本届RSA大会中,现任美国国土安全部部长Jeh Johnson在会议第二天的主题演讲、密码学家的论坛、亚历山大将军的对话这三个环节都较多谈到了美国国家网络空间安全问题,谈到了政府和企业的合作问题,从会议现场的感受看,Jeh与亚历山大都是比较坚决的号召企业积极与政府合作,Jeh在演讲结束的时候甚至说到商业公司对数据加密,会造成国家对有安全有关信息获取的困难,号召企业积极与政府合作。而密码学家论坛中更是直接邀请了NSA密码破解专家Ed Giorgio做嘉宾,嘉宾们的意见中,除了有嘉宾觉得大规模收集信息会浪费大量资源,因为收集到的多数信息并没有什么用之外,对大规模信息收集并无太大的反对意见。

政府现任、前任官员出来公开呼吁企业与政府合作以弥补政府力量的不足,明确表达自己的诉求,这种方式值得我们借鉴。

儿童上网安全

今年RSA大会有一儿童上网安全的一系列话题,其中名为“进入树林:保护我们的年轻人免遭网络空间之狼的侵害(Into the Woods: Protecting Our Youth from the Wolves of Cyberspace)”论坛邀请到了13岁时候因为网络诱拐而被强暴、监禁的Alicia Kozakiewicz做嘉宾,Alicia以自己的亲身经历讲述了在网络空间的遭遇,自己的不幸以及幸运(被FBI破门救出),来自FBI、网络安全培训机构研究人员、取证专家以及儿童保护专家的嘉宾们分享了关于网络空间儿童保护的观点,而Alicia自己也已经投身儿童保护工作,积极推动Alicia法案在全美50个州的通过。

在美国网络安全公司工作的华人

在硅谷的网络安全公司中有很多华人,包括弓峰敏、卜铮、Dawn Song这样的大佬级人物、神话级人物,他们参与过或正在参与FireEye、Palo Alto Networks、Cyphort等明星企业的建造、壮大并成为高管,也包括韦韬、屈波这样安全研究的中间力量。会议最后一天有韦韬和Yulong的演讲:分享的针对手机指纹验证安全性研究的“刷还是不刷:对你手指的挑战(To Swipe or Not to Swipe: A Challenge for Your Fingers)”。

令人意外地连演说带演示提前分钟就结束了,研究的结果揭示了手机指纹验证的若干严重安全问题,事后听韦韬讲,演讲前遇到了巨大的压力,被迫删掉了很多也讲稿,即使这样,各大手机厂商也还是有高管或满意,或郁闷地离开了会议现场。

韦韬与他的同事们对基于指纹身份验证安全性的研究的价值毋庸置疑,各大手机厂商的敏感也可以理解,但遇到安全问题遮遮掩掩总不是正确的处理方法,期待各手机厂商对指纹身份验证的安全性提高有具体行动。

游艇上的麻辣小龙虾聚会

每年RSA大会或BlackHat期间,从国内来美国参会的朋友们总会组织一些聚会,今年安全宝的马杰组织了一场别开生面的“游艇麻辣小龙虾聚会”,一呼百应,最后成功登船的竟然达到80来人,马杰包下一艘游艇,来自国内安全行业的各位同仁与美国当地工作的华人信息安全工作者,甚至还包括几位老外,共同登船在旧金山湾游弋,品尝麻辣小龙虾!!!

当然,老美白人船长和厨师所做的“麻辣小龙虾”实在不敢恭维,远不如簋街的小龙虾好吃,但大家的兴致根本不在小龙虾身上,整艘游艇就是一个网络安全人员的大Party!不管是友商还是竞争对手,是美国的还是中国的,大家边吃、边喝、边聊,边拍照,三个小时很快就过去了,FireEye的韦韬、百度的Steve、传说中的网络安全女神 Dawn Song都现身这个Party,这种社交效果即使在国内也很难达到:凑齐这么多人、在相对封闭的环境、几乎不受日常工作影响,聚会结束拍合影的时候大家已经在计划明年RSA大会期间的聚会,或者今年BlackHat期间的聚会。





寄生的会议与形形色色的Party

因为安全从业人员的高度聚集,RSA大会期间会“寄生”一系列的与安全有关的会议,比如云安全联盟的会议、微软的会议、一些民间安全组织的会议,各安全公司也乐意在这个时候举办各种业务推展、社交的Party,比如今年360就选择在周二晚上举办了一个招待中外嘉宾的Party,弓峰敏、卜铮等硅谷届大佬出面捧场,360总裁齐向东亲自接待,还有大量来自信息安全圈、投资圈的外国嘉宾。周三晚是云安全联盟CSA的Party,也有40来名CSA成员单位的来宾参加。

Hugh Thompson的客人:与研究脑科学的企业生产率提升教练谈黑客,与来自好莱坞的大明星谈对索尼的入侵以及黑客电影

大会的压轴节目叫“Hugh Thompson的客人”,Hugh Thompson是RSA大会程序委员会的主席,这次请来的第一位客人是Srini Pillay,是剑桥NBG的CEO,一位通过脑科学研究来帮助企业提高生产效率的神人,Hugh和他谈论的话题包括黑客与常人到底有什么不同,黑客是不是一群“孤独的人”等等,说的对不对,各位看官想办法找视频看吧,坦率讲,我没完全听懂……

Hugh的第二位客人是好莱坞著名演员Alec Baldwin,话题自然是从索尼影业被入侵的事件谈起,谈黑客题材的电影,谈对个人信息泄露/入侵的顾虑等,Alec思维敏捷,反应迅速,一度让Hugh Thompson无从插话,大家可以预期的是,年底之前肯定会有类似索尼被入侵题材的黑客电影可以看。

信心

如果要说今年参加RSA大会的最大感受,是感觉到了自信:往年参加RSA,总会看到一些神乎其技的产品,让人觉得不能一眼看透,需要仔细看演示,小心翼翼地与展商交流,还得担心人家是不是因为我们长着一张东方面孔而拒绝给我们讲,今年在展会上看到的产品,基本是一眼就能看透,或者直接看出其中存在的问题,因为,很多路我们已经走过了!比如基于大数据方法、基于威胁情报做网路攻击检测,比如软件定义边界,比如终端安全上的加强等等,这些今年很热的概念,去年已经在我们的产品中得到实施。

“我们航行在地图之外”,对我们来说可能是一件好事情,大家都面临新的挑战,大家的起点可能差不多,未来谁能占得先机,看我们自己怎么做!

2016,我们旧金山莫斯科尼会议中心再见!

 

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version