從RSA 2020大會的十大網絡安全熱門話題看行業未來發展

2020 年 2 月 19 日
筆記

目前在網絡安全行業有哪些熱門話題？即將在舊金山舉行的2020年RSA大會將為此提交一份出色的答卷。

RSAC組委會表明，他們收到了2400份網絡安全行業演講嘉賓的議題申請，在經過整理和審核之後，他們發佈了十大網絡安全熱門話題，安全人員可以此來判斷行業的總體趨勢。

「諸如零信任和無服務器，Kubernetes，量子，混沌工程，漏洞賞金和端點衰減（或復興）之類的關鍵詞比比皆是。」

「人是安全要素」（Human Element）是今年大會早已確定好的主題，許多提交的議題很難完全切中這一主題。負責RSA會議內容策展主管Britta Glade和內容策略師Kacy Zurkus在報告中說到：「絕大多數提交的議題側重將人的影響作為一種手段，幫助了解如何更好地利用通用框架、為風險管理決策者提供信息、緩解新興威脅以及建立以安全為中心的高效文化。」

十大熱門話題

人是安全要素：眾多議題都涉及安全方面的人為因素，與「數據、威脅、風險、隱私、管理和團隊」等內容交織探討。

設計、開發和維護安全產品：大會首次專門開設產品安全和開源工具討論環節，因為他們收到比以往更為深入的產品安全研發的技術文章，主題涵蓋用戶界面設計、人工智能、隱私、安全運營中心等。

IT和OT融合的安全：IT技術和運營技術融合的挑戰之一在於它們是「兩種不同的概念，供應鏈也不大相同」，因此，如果要成功地進行兩者協作，文化、理論變革應先行。

軟件工程流程安全：隨着企業相繼採用DevSecOps，對於安全工程的需求也不斷增長，提交的相關議題也越來越多，不僅包含風險管理，還包含在開發運營中的治理流程。

隱私與合規相生，與萬事萬物的交織：歐盟的《通用數據保護條例》讓「隱私」為人重視，企業業務對於「隱私」的把控也在不斷成熟。「在過去，隱私是「良好企業公民」可有可無的特質。現在隨着企業越來越注重用戶隱私的保護，隱私問題有成為核心業務和安全話題的趨勢。當然，這不僅是出於對合規的關注，而且還可以提供業務差異化和良好的用戶體驗。」

威脅情報和共享：情報共享一直是「網絡防禦」的基石，但是設備自動化是無法抵禦所有的網絡風險，尤其是當攻擊者利用社會工程手段時，比如欺詐問題或身份驗證問題等。「我們發現，提及自動化本身的弱點和挑戰的議題有所增加，其中不乏一些技術性很強且非常詳細的議題，並提供了指導和最佳實踐考慮。」

框架、框架還是框架：框架和自動化是一個很熱門的議題。「我們看到了大量與MITER ATT＆CK框架、NIST網絡安全框架、競爭性安全文化框架（CSCF）和信息風險因素分析（FAIR）框架相關的議題」，這可以作為公司持續改善治理和提高風險防範的部分管理流程。

安全意識和培訓：由於認識到培訓的價值，今年「網絡靶場」一詞很熱，即用於進攻性安全培訓的虛擬環境。另外，關於人類可持續性問題也很熱門。「一些議題談到了安全意識的道德和倫理問題，而另一些議題則強調需要更多地注意工作場所的壓力和心理健康，這對於安全從業人員來說尤其重要。」

溝通：眾所周知，企業CSO和CISO進行全方位溝通的重要性不言而喻，需要對進入其職權範圍的內容都要有所了解。此外，在安全攻防方面，比如「紫隊」（混合進攻與防禦），也在不斷通過合作保證團隊具有互補技能來增強安全防護。「紫隊」的協作表明溝通十分重要。

專業人才培養和團隊建設：「如何聘用、培訓、留住和激勵人才」仍然是新興的網絡安全行業重要且必要的關注點。確實，是否會有足夠的人員參與到每個開放的網絡安全角色扮演中來，仍待商榷。

正如組委會所說的，這些議題涉獵範圍廣，領域多。他們表示，「人類的知識和經驗是無窮無盡的，如果要說議題的廣度和深度，這十種趨勢只怕是蜻蜓點水。諸如零信任和無服務器，Kubernetes，量子，混沌工程，漏洞賞金和端點衰減（或復興）等其他關鍵詞還有很多！」

人是安全要素

毫無疑問，今年的RSA主題「人是安全要素」的關注度隱約呈上升趨勢，因為人為因素往往是許多信息安全系統的致命弱點。

當然，該主題涵蓋的內容不止於此。組委會表明，「相關議題探討了人機關係的持續發展、有意或無意地利用人性漏洞的軟件和平台的使用、隱私、機器學習等，我們也在這幾年的議題中不斷摸索未來趨勢。」

此外，整個行業也越來越關注安全行業人員的精神健康，今年的議題可以反映這一趨勢。「今年提交的議題似乎給了提議者主動權來解決更多敏感的人為因素的挑戰，比如不利的工作環境對個人和團隊的損害，安全人的自負為網絡安全工程項目帶來風險等。」

超越「Better」

許多行業都是如此，關注人類似乎很自然地是當務之急。和往年平淡無奇的主題相比，這個主題的特色在於更有亮點，比如「Better」（2019），「Now Matters」（2018），「Power of Opportunity」（2017年）。

在早些時候的主題就稍微怪異一些了，比如較為冗長的「The Great Cipher Mightier Than the Sword」（2012年）和「The Adventures of Alice & Bob」（2011年）。這些主題則更多地側重於歷史和密碼學專著，比如蘇格蘭人的瑪麗皇后和納瓦霍的「密碼竊聽者」，再到「西方密碼學之父」萊昂·巴蒂斯塔·阿爾貝蒂以及英國密碼學天才艾倫·圖靈等等。

網絡安全重要性與日俱增

可以肯定的是，RSA主題的演變表明了大會日益重要的意義以及網絡安全關注度的不斷攀升。2008年，有17000名參會者。十年後，這個數字已經增長到42000。

在2020年，RSA會議將開展數百場演講，邀請50多位演講者，包括美國網絡安全和基礎設施安全局局長Chris Krebs和魔術師Penn＆Teller。預計本次會議出席人數將達到45000。

數據表明，儘管今年的議題包羅萬象，但突出的一點將還是網絡安全與日俱增的重要性。與往常一樣，保障網絡安全不僅僅涉及到技術，還有人員、流程和系統。小到企業醫療系統，大到人類福祉和民主國家，網絡安全是每一個人的事情。

網絡安全防護之路道阻且長，但面對挑戰的勇氣也讓人熱血沸騰。

*參考來源：Bankinfosecurity，Sandra1432編譯，轉載請註明來自FreeBuf.COM