從RSA看安全技術將來,雲安全生態及業務安全將成趨勢

以「Better」爲主題的全球安全頂會RSA 2019近日正式落幕，這場在美國舊金山舉行的「安全奧林匹克」，吸引了4萬多人蔘會，超過600家企業參展，還有超過550個分會場涵蓋雲安全、機器學習、區塊鏈等衆多技術主題。

阿里安全防控端負責人、資深技術專家鐵花，2006年入職阿里，歷經淘寶、來往、阿里安全等技術團隊，2008年開始從事安全工做，是淘寶最先SDL的創建及實施人、淘寶第一代web安全解決方案的開發者、安全靜態代碼掃描平臺的建立者。

圖爲：阿里安全資深技術專家鐵花在美國RSA大會講解全鏈路風險防控技術理念

這次參展，他也帶回了他的看法和思考，全文以下：

今年的RSA基本圍繞「三縱四橫」，其中三縱包括.基礎設施、基礎開發框架和公衆（包含以政府提出的監管）；「四橫」包括網絡安全、數據安全、業務安全、新安全攻擊面。

1、基礎設施

首先從參展的廠商來看已有很多廠商開始基於雲作本身的安全產品，其次有較多的廠商開始作以雲廠商爲基礎的網絡安全產品，從密鑰的管理、資產管理、全端網絡安全防控產品、雲安全架構到雲SIEM能夠說產品已經較爲豐富有了較多的可選擇項。在參加論壇有一個比較有意思的環節，有一個講如何在雲上作網絡安全的論壇到快開始了門口仍然排了3排人在等待入場。從基礎設施上來看雲無疑已經成了衆多業務方的第一選擇，也使得市場上廠商也開始基於雲作更合適的安全產品。

2、基礎開發框架

隨着Serverless的提出，以及AWS Lambda的推廣，本次RSA大會中已經不止一個論壇speaker開始着重講如何檢測serverless類的接口，在Lambda的使用中須要注意哪些安全細節。不過在參展的廠商並未看到特別提到此類技術細節的產品，相對來講sandbox中卻是有一個針對API安全的產品Salt Security值得你們去了解下。將來若是serverless開發框架成爲主流，不知道當前的安全廠商將如何應對，是市場份額被縮小，又或是被革命。

除了serverless，展商中展現最多的就是Google以前提出的zero trust，在展臺中已有很多基於zero trust的理念作的認證產品。

還有另一個層面勉強也算新基礎開發框架就是AI算法的使用，不論是論壇仍是展商本次大會都有大量的AI使用，可見網絡安全+AI也已是到了較爲廣泛應用的程度。

3、公衆（包含以政府提出的監管）

在網絡安全這塊，面對公衆的解釋及政府監管基本在本次大會上沒有看到有任何說起，雖然沒有說起面對大衆的感知，本屆RSA大會卻有幾個論壇直接討論如何評估網絡安全的有效性，必要性其中也有說起了以業務風險的角度去衡量（雖然沒有人直接講具體某個業務安全怎麼作）。針對網絡安全的難衡量性MITRE組織的ATT&CK Framework開始嶄露頭角，不只有對應的論壇介紹如何使用還有廠商直接給出了基於ATT&CK作的全端網絡安全防禦產品。

4、數據安全

當下幾乎全部公司都把數據當成了公司核心資產，基於數據作信息化、智能化都脫離不開數據其中也包含我的數據。從一個論壇瞭解到像GOOGLE居然有社會學家教授做爲訪問學者會去參與AI規則的制定以及對公衆的溝通和技術的科普。能夠說大部分社會上不了解硅谷技術的人以及政府，當涉及到我的信息以及AI的時候都會很是敏感甚至恐懼，尤爲是政府甚至會在不是很是瞭解的狀況下出臺規章制度。這時候在美國會有專門的社團去給大衆進行知識科普，以求能讓社會更容易接受先進技術。另外一方面相關的公司都會和政府去解釋及平衡規章制度。

5、業務安全

很遺憾整個展商及論壇並無專門講這塊內容的。可能和定位或者特定行業問題受衆小有關，更有多是安全廠商沒有辦法找到合適的場景去深刻了解落地造成通用的安全產品。

6、新安全攻擊面

新的攻擊面展商裏基本沒有涉及，不過Sandbox裏卻是有個基於固件的掃描加固產品Eclypsium算是爲數很少的針對新攻擊面的產品了。論壇中有部分講到了將來可能面臨的危險包括5G、在智慧醫療、智能出行、監控等層面投入的大量的IoT設備的使用，還有AI可能對人產生的影響。

對將來安全技術的思考

1. 基於雲廠商的安全生態思考

隨着雲、混合雲慢慢的變成了各個公司是基礎設施，安全在其中也慢慢凸顯出來，能夠絕不誇張的說安全能夠成爲雲廠商的助力，也可能成爲雲廠商的阻力。這其中包含雲自身的安全性，以及對於雲用戶的安全生態。

a.雲自身的安全

隨着各大公司以云爲基礎設施，這其中很大一部分的網絡安全問題也就直轉嫁到了雲廠商。雲廠商自身的安全決定了以其爲基礎設施的各大公司的安全，也許在不遠的未來能看到更多安全廠商與雲廠商的強強合做。

b.雲技術設施之上的安全生態

基於雲的安全生態，也許在不久後就將成爲一個雲廠商是否成熟的標誌。成熟的雲廠商將會吸引更多的安全廠商基於雲設施進行開發各種解決不一樣業務安全問題和網絡安全問題的產品，同時一個好的安全生態也會反哺雲市場兩兩相互促進。從RSA展商及sandbox的產品來看已有AWS已經開始在培養這個良性的安全生態，雲廠商安全的開放建設已然成爲雲廠商下一個競爭的賽道。

2. 結合業務風險的網絡安全思考

a.以業務風險爲核心

當安全從業人員天天在處理各類漏洞各類網絡攻擊的時候，常常容易產生意識上的混淆。咱們是一直在面對漏洞，網絡攻擊仍是在面對因爲使用漏洞和網絡攻擊帶來的業務風險？不多有人去關心爲何會有人來在某處嘗試漏洞挖掘和攻擊，好比:爲何要在這個地方嘗試找出XSS漏洞？真實目的是什麼？帶來什麼樣的業務風險？因此必定要以業務風險爲核心，從業務的視角去真正的抓出背後的意圖。假如業務都沒有了，那做爲該業務的安全也不會繼續存在了。

同時必定要有一個明確的範圍和標準。核心資產是什麼？核心業務是什麼？須要保障到什麼標準？當明確職責範圍及核心業務後再看依賴是什麼須要提供什麼樣的保障才能知足核心業務的安全標準。固然安全標準必須是一個合理的可接受的範圍，由於還須要考慮安全帶來的成本。

b.以低成本有效性及可靠性爲核心

當咱們去解決業務風險的時候必定要在考慮成本的前提下保障有效性及可靠性。當前業務面對的風險不管從對抗性仍是成本上看，在單點一線上去解決幾乎不可能同時知足有效性、可靠性和低成本。因此咱們在解決業務風險的時候必定要全鏈路通盤的去考慮，在搞清楚對方怎麼搞咱們的前提下，還要搞清楚咱們在哪一個地方哪一個環節去解決風險問題是成本最低的，持續有效性是最好的。在作基礎設施的時候咱們常常提security by design，在面對業務風險點時候咱們一樣須要考慮全鏈路上的對抗風險by design不能只在一個單點上進行對抗。

c.面向將來依託新技術創新爲核心

面對業務風險，除了考慮成本的前提下用已知成熟的手段去處理，咱們還要持續的考慮創新用新的方式方法不一樣的角度去解決問題。只有用創新性的新思路新方法才能讓安全業務有質的變化。在當前面對海量的業務數據以及海量的安全採集數據，如何讓這些海量的數據變成有效的信息，如何將有效的信息變成每一個業務環節須要關注的知識點對抗點，機器代替人的AI技術必不可缺，由於數據的量、要求時效的已經徹底不是人能解決了。如何有效的使用AI，如何有效的結合AI和人工的經驗，以及如何有效的分配AI和人工已經成爲了當下必須思考和去解決的問題。

最後借用2019RSA大會的主題「better」結尾，當咱們面對昨天的問題的時候能有better的解決方案夯實缺失，當咱們面對今天的問題的時候能有better的思考路徑，當咱們面對明天的問題的時候能有better的設計。