周一旧金山Moscone中心,人人都在谈论安全。Moscone中心周围的街区到处都是安保公司的广告。展会上人山人海。站在街边,你会听到路人热情或理性地从他们口中说出一些熟悉的名词和概念。这一天,RSA2018创新沙盒大赛冠军诞生,关于区块链、企业级云安全、DevSecOps的思想火花迸发。创新沙盒大赛下午13时30分,创新沙盒的年度重头戏开始了。万豪酒店走廊里的电视滚动着历年入围企业的现状和估值。很多公司都被收购了,运营公司的估值也不便宜。今年会议的主题是NowMatters。在数字经济如火如荼的今天,安全和数据隐私保护将对经济创新产生怎样的影响?如何在安全的前提下保持风险与成本的合理平衡?今年创新金沙盒子里的公司中,AI/机器学习概念占据了半壁江山,那么这意味着什么呢?对于这些问题,相信每个人都会有自己的答案。既然安全赋能业务创新已经成为安全行业的共识,我们应该清醒地看到,面对这些挑战,安全行业提供的技术和方法远远不能满足要求。祝贺BigID成为“RSAC2018最具创新力创业公司”。由来自世界各地的风险资本家、企业家和安全公司领导组成的评委会从10名决赛选手中选出BigID作为获胜者。在过去五年中,竞赛的前十名入围者已获得超过12.5亿美元的投资。比特币、区块链和智能合约区块链基础研讨会座无虚席,内容主要涉及区块链原理、区块链安全分析、案例分享。从内容的深度来看,目的还是科普。原因是区块链在今年的RSA大会上首次独立呈现,是一门跨学科的综合性技术。该公司的CISO尚不清楚其起源的价值。但是区块链可以保证去中心化的信任,以及可逆性等技术原理,确实带来了很大的想象空间。在PoC案例中,嘉宾DavidChan介绍了去中心化的身份认证系统,可以解决政府、医院、药店等存储的用户身份不一致的问题。当然,要清醒地看到,区块链目前正处于泡沫期,指望它解决所有问题是不现实的。区块链技术在进入成熟应用之前,必须解决大量的技术问题,提供合理的业务相关特性。例如,在公司破产法中,有要求在一定期限内撤销交易,因此电子交易的区块链应用也应提供相关机制,这就需要修改区块链的交易机制或提供额外的中间件。总之,从研讨会的议题和与会者的积极态度来看,区块链在国外也受到了关注。CSA峰会:Cloud2018:来自CSA美国管理局联邦风险与认证管理项目FedRAMP总监MattGoodrich的企业级安全交流《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例学习和联邦政府的云未来)》。FedRAMP是美国版的云安全规范,FedRAMP(TheFederalRiskandAuthorizationManagementProgram)联邦风险和认证管理项目是一个跨政府部门的项目,他提供了一套标准的方法用于安全评估、认证和持续监控云项目产品和服务。FedRAMP是与GSA、NIST、DHS、DOD、NSA、OMB、联邦CIO委员会及其工作组以及私营行业网络安全和云专家密切合作的结果。FedRAMP评估流程由机构或云服务提供商(CSP)启动,使用符合FISMA且基于NIST800-53rev3的FedRAMP要求开始安全认证,并启动与FedRAMPPMO的合作。云服务商CSP必须贯彻FedRAMP对其IT环境的各项安全要求,并聘请FedRAMP认可的第三方评估机构(3PAO)进行独立评估审计云系统安全,并利用FedRAMP为自有企业提供安全评估包考试。FedRAMP计划的目标是通过可重用的评估和授权流程加速安全云解决方案的采用;增强对云解决方案安全性的信心;使用一套FedRAMP批准的安全基线标准进行内部或外部云产品认证一种一致的认证方法,确保与当前最先进的安全实践保持一致的安全方法;通过安全评估增强信心;并增加自动化和近乎实时的数据,以持续监控安全性。从目前来看,政府上云趋势明显。相应地,认证和保护工作也在紧锣密鼓地加强。FedRAMP与CSA云安全联盟合作,利用大量行业力量在认证等方式上引导行业标准,为政府提供云保驾护航。国内保险专家可以借鉴美国的做法。安全多样性多样性是使优秀组织变得伟大和成功的核心。在今年的安全多元化研讨会上,具有不同背景、观点和经验的演讲者听取了与会者的意见。主题“以不同的方式思考”侧重于受不断变化的世界影响的持续思维方式,这个世界正在迅速发展并引发道德、商业、社会和情感方面的变化,需要不断审查我们的定义。DevOpsConnect:DevSecOpsDevSecOps说起来容易做起来难。FannieMae在实践中总结出一些实施原则,包括与原有开发流程的结合、加强开发团队的安全培训、减少编码阶段的问题、尝试实现自动化等。值得后来者参考。总结NowMatters,数字经济大潮下,安防行业要有紧迫感,要么迎头赶上,要么被潮流抛弃。公众和社会期待更好的技术和解决方案的诞生。继续前进!
