緣起
從舊金山入關(guān)的時候,頭發(fā)花白的海關(guān)工作人員聽說是來參加RSAC會議的,問我:“你知道哪些加密算法嗎?你用什么工具來Coding?”
必須說,當這樣的兩個問題從海關(guān)人員的嘴里問出來,讓我感到很驚奇,以為碰到了少林寺的掃地僧,不由得一臉崇拜。老頭繼續(xù)說,他之前是一個數(shù)據(jù)庫管理員(DBA),后來從事Data Mining方向的工作,也算是一個同行了。
再一想也釋然,海關(guān)其實就是現(xiàn)實中的“網(wǎng)絡(luò)邊界”,保衛(wèi)美國國土及人民的安全是他們的重要職責,配備高技能的數(shù)據(jù)分析和信息安全人員的確是非常有必要的。
趨勢一:一個更安全的世界
三月份的舊金山還是陰雨綿綿,但莫斯康尼會展中心周圍卻人來人往,場內(nèi)氣氛更是熱鬧非凡,跟天氣的陰冷形成強烈的反差。今年RSAC的Slogan是Better,這也是自從1995年以來RSAC每年一個的主題詞中,最簡潔、有力的一個。至于Better如何闡釋則見仁見智:更堅固的安全方案?更清晰的風險預(yù)測算法?更智能的安全運維?都沒錯,但都只回答了一方面。RSAC官方的解釋是,讓我們一起創(chuàng)造一個更安全的數(shù)字世界,從而讓現(xiàn)實世界變得更加美好。
“... 技術(shù)始終必須向前發(fā)展。但這不是唯一的答案。確保更光明的未來需要我們所有人 - 從客戶到我們這些前線的每個人 - 都要變得更好。掌握最新的威脅。加入額外的時間。將安全放在第一位。最重要的是,永遠不要忘記我們在這里的根本原因:幫助確保一個更安全的世界,以便其他人可以專心主業(yè)來讓世界變得更好。”
RSA總裁Rohit Ghai和首席戰(zhàn)略官Niloofar Howe
趨勢二:信任 網(wǎng)絡(luò)空間存在的基礎(chǔ)
更好的世界需要信任的加持,在第一天的主題演講中,RSA總裁Rohit Ghai和首席戰(zhàn)略官Niloofar Howe一起為大家呈現(xiàn)了The Trust Landscape(信任愿景)。他們把網(wǎng)絡(luò)空間中的“信任”比喻為人類世界中的水,是網(wǎng)絡(luò)空間能夠存在的基礎(chǔ)。Rohit Ghai對參會者講到:“我們所保護的,不僅僅是商業(yè)應(yīng)用,基礎(chǔ)設(shè)施或者數(shù)據(jù)...我們在保護的是我們的信任”。
頗具諷刺的是,RSA算法的發(fā)明者之一、2002年圖靈獎的得主、以色列信息安全專家阿迪·沙米爾(Adi Shamir),也就是R-S-A三個字母中的S(其他兩位是Ronald Rivest和Leonard Adleman)因為沒有獲得美國的簽證而無法出席今年的會議。阿迪·沙米爾在視頻致辭中說:“如果像我這樣的人都不能去現(xiàn)場做主題演講, 也許我們該重新考慮在哪里組織(下一次RSAC)活動了。”
對于美國政府來說,不給阿迪·沙米爾頒發(fā)簽證或許可以認為是“零信任(Zero Trust)”安全理念的最佳實踐了。信任的前提是不信任,只有不相信任何人,才能去相信你能夠相信的。
RSA算法的發(fā)明者之一、2002年圖靈獎得主Adi Shamir
當今世界的“零信任”之路
自從2010年Forrester資深分析師John Kindervag第一次提出,并經(jīng)過Google BeyondCorp項目落地之后,業(yè)界已經(jīng)快速接受了“零信任”的安全理念。
數(shù)年后的今天,F(xiàn)orrester的分析師已經(jīng)被挖角到PAN成為其技術(shù)主管,PAN也開始“零信任”領(lǐng)導(dǎo)者的身份自居;在“零信任”理念基礎(chǔ)上發(fā)展出來微分域(Micro-segmentation)、軟件定義邊界(SDP)等技術(shù)也已經(jīng)走向成熟;Zscaler等獨角獸級別的企業(yè)在這個領(lǐng)域發(fā)展壯大;思科則在去年以23.5億美金的代價收購了Duo,在軟件定義邊界(SDP)上重新出發(fā)。
在今年的RSAC上,我們看到不管是傳統(tǒng)的防火墻廠商,還是云計算安全廠商,都在展示自己的“零信任”方案。筆者認為,“零信任”的架構(gòu)并沒有太多新的技術(shù),更貼近應(yīng)用的邊界劃分,更精細的資產(chǎn)管理,更加自適應(yīng)的安全策略,更高安全性的多因素身份認證技術(shù)(MFA),所有的這一切,都是“零信任”的具體實踐。
思科和Duo 的“零信任”安全之路
“零信任”安全模型的最佳實踐
微分域和流量可視化(Microsegmentation & Flow Visibility)被認為是解決云計算內(nèi)部安全問題的最佳技術(shù)方案之一,并連續(xù)三年上榜Gartner信息安全十大技術(shù)。
山石網(wǎng)科作為國內(nèi)最早投入到云計算安全領(lǐng)域的廠商之一,也是國內(nèi)第一批獲得VMware Ready認證的網(wǎng)絡(luò)安全廠商,早在2015年就發(fā)布了創(chuàng)新的分布式網(wǎng)絡(luò)側(cè)微分域產(chǎn)品山石云·格及虛擬化防火墻山石云·界。并陸續(xù)發(fā)布了關(guān)于微分域和可視化技術(shù)、零信任安全模型等技術(shù)白皮書,在業(yè)界獲得普遍認可。今年RSAC,山石網(wǎng)科再一次向用戶展示了以微分域和可視化技術(shù)為核心的云計算安全解決方案。
除了一些大牌廠商,今年RSAC“創(chuàng)新沙盒”演講冠軍的獲得者Axonius也是“零信任”領(lǐng)域的后起之秀。Axonius為客戶提供SAAS模式的資產(chǎn)管理及可視化產(chǎn)品,這是非常基礎(chǔ)和普通的安全技術(shù),卻是實現(xiàn)“零信任”的起點。
在日漸復(fù)雜的多云環(huán)境中的如何全面、準確的獲取資產(chǎn)的信息,并實現(xiàn)快速的安全響應(yīng)并不容易。Axonius在資產(chǎn)管理、漏洞管理和安全合規(guī)方面都有不同程度的微創(chuàng)新,獲獎雖然有一定的爭議,但也顯示了評委對“零信任”這個大方向的認可。
Axonius的SAAS資產(chǎn)管理產(chǎn)品
趨勢三:“無AI不安全”
McAfee高級副總裁兼首席技術(shù)官Steve Grobman在主題演講中探討了AI和機器學(xué)習這把雙刃劍。AI可以削弱公眾對技術(shù)的信任,也可以增強我們的技術(shù)手段以重建信任。
早在去年的RSAC上,我們就看到各廠商對于AI的追捧,今年更多的廠商的產(chǎn)品中都打上了AI的標記,幾乎已經(jīng)到了無AI不安全的程度。比如PAN展示了他們的Cortex威脅分析平臺,Lastline展示了采用AI和機器學(xué)習來進行更好的網(wǎng)絡(luò)分析(NTA)和威脅分析(APT)。
PAN的Cortex 威脅分析平臺
思科則展示了一項AI黑科技,不經(jīng)解密而憑借機器學(xué)習和統(tǒng)計分析就能發(fā)現(xiàn)加密流量中的惡意軟件。由于可以節(jié)省大量的用于解密的CPU資源,同時又完全兼容現(xiàn)有的部署,思科的這項技術(shù)如果有效的話,將會具有非常高的產(chǎn)業(yè)價值。
思科的AI黑科技
然而“技術(shù)無關(guān)道德”,AI可以幫助我們更好的檢測到威脅,也可以放大攻擊者的威脅,比如互聯(lián)網(wǎng)上的爬蟲尤其是惡意機器流量,亟需進行準確的識別和管理。互聯(lián)網(wǎng)上的機器流量的規(guī)模一度超過真實的流量,對用戶的業(yè)務(wù)來說這是很大的困擾。
我們是否還可以信任我們業(yè)務(wù)系統(tǒng)中的流量,抑或在面對爬蟲、薅羊毛時束手無策?針對這一情況,流量分發(fā)者們比如F5、Akamai、Radware都展示了他們的解決方案。
F5展示機器流量識別的商業(yè)價值
Akamai 展示如何應(yīng)對復(fù)雜的機器流量攻擊
山石網(wǎng)科AI基因
山石網(wǎng)科的Web應(yīng)用防火墻也采用最新的機器學(xué)習技術(shù)來進行爬蟲檢測。針對機器流量,傳統(tǒng)的靜態(tài)檢測方法(識別IP、User-agent)通常是無效的,需要綜合利用各種手段,包括和客戶端、服務(wù)器進行互動獲取設(shè)備指紋,并采用機器學(xué)習技術(shù)來進行建模,通過多維度的行為分析來分辨出正常流量、搜索引擎爬蟲和惡意機器流量,進而采用不同的管理措施。
除了“零信任”架構(gòu)和AI,本屆RSAC上圍繞信任的討論還可以引申到各個安全領(lǐng)域,比如DevSecOps、IOT安全、API安全等等。在云計算和敏捷交付的大趨勢下如何確保更好的安全,從而構(gòu)建一個真正可以信任的世界,或許我們都是在逐步摸索的過程中。主題演講的最后,Rohit Ghai和Niloofar Howe給出的建議是:
●意識到風險和信任并存
●人類和機器合作,而不是各自為戰(zhàn)
●建立信任鏈條
這三條建議可謂意味深長,在當前的安全現(xiàn)狀下,我們不可能阻擋所有的攻擊,更多的是要做好風險控制,把損失降到最小;在正視安全風險將會長期存在的前提下,充分發(fā)揮機器處理的優(yōu)勢,建立威脅信息的收集和共享機制,逐步建立和完善信任鏈條,提升整個安全產(chǎn)業(yè)的響應(yīng)和服務(wù)水平。
后記:
三十五年前,科幻大師阿西莫夫曾應(yīng)《多倫多星報紙》(The Star)的邀請,寫下了對 2019 年的猜想:計算機應(yīng)用變得普遍,「智能」機器將可能成為新興的行業(yè),太空旅行將會變得成熟,人類能夠“大規(guī)模登月”進行采礦工作,并將能量通過微波傳輸回地球。
如同阿西莫夫的預(yù)料一樣,計算機和AI技術(shù)的發(fā)展深刻改變了人類的生活,然而太空旅行的進度卻遠遠落后了。更糟糕的是,我們投入了太多的精力在虛擬的網(wǎng)絡(luò)世界中,信任的建立看起來仍然遙不可及。如果可以不去經(jīng)受這些人性的考驗,或許我們能像阿西莫夫預(yù)料的一樣,把更多的精力放在太空探索上,并取得輝煌的成就。或許這是人類社會更Better 的發(fā)展方向。
