1)前言当你跌倒时,站起来!这就是Resilience(弹性)。注:Resilience和Resiliency是替代拼写,可译为elasticity、toughness、resilience。本条统一为“弹性”。2020年,一场突如其来的疫情考验着全人类,让RSAC2021“韧性”的主题比以往任何时候都更能引起共鸣。RSA2021于旧金山时间5月17日8:00(北京时间当晚23:00)举行。这是RSA大会历史上第一次以在线虚拟会议的形式举行。360安全专家团队和营销团队首次夜守,为安全行业传递RSA的声音。2)变的是形式,不变的是热情。RSA会议始于1991年,由美国RSA公司发起。正好30岁。就在RSA算法家喻户晓的同时,RSA大会也成为了全球公认的最权威的年度安全盛会。近年来,现场参会人数已达4万至5万人。今年最大的变化是使用在线虚拟会议。RSAC最先由RSA发起,RSA的名字来源于在密码学和安全界享有盛誉的RSA算法的三位创造者。其中最著名的R(Rivest)和S(Shamir)都在场。此外,还有著名的DH算法的创造者之一迪菲。3)什么是“弹性”RSA大会每年都有一个主题(Theme),本次会议的主题就是Resilience(弹性)。由于我们跟踪了美军和美国网络安全技术的发展,我们很早就意识到“弹性”可能会成为某个圈子RSAC的主题。例如:2017年,MITRE发布了?(Cyber??ResiliencyDesignPrinciples)。2018年,MITRE发布了《网络弹性指标、有效性度量和评分》(Cyber??ResiliencyMetrics,MeasuresofEffectiveness,andScoring)。2018年,美国国防部在《国防部网络战略2018》中提出了“增强美国关键基础设施的弹性”的战略方针。2019年11月,NIST正式发布SP800-160(第2卷)《开发网络弹性系统:一种系统安全工程方法》(DevelopingCyber??ResilientSystems:ASystemsSecurityEngineeringApproach)。2019年11月,美国国土安全部和国务院联合发布《关键基础设施安全和弹性指南》。2020年,兰德公司发布了报告《度量网络空间安全和网络弹性》(MeasuringCyber??securityandCyber??Resiliency)。弹性来自“网络弹性”和“业务弹性”等概念。乍一看,这更像是一个业务连续性的概念,往往与备份/恢复手段密切相关。但“韧性”是一个很大的概念。NISTSP800-160(Volume2)提出的网络弹性解决方案(也称为网络弹性工程框架)更加权威和全面(如下图所示)。它将网络弹性定义为预防、抵抗、恢复和适应对包含网络资源的系统施加的不利条件、压力、攻击或损害的能力。图-NISTSP800-160(Volume2)NetworkResilienceSolutions从上图可以看出,网络弹性的目的是预防、防御、恢复和适应。这与安全界众所周知的PPDRR(Prevention-Protection-Detection-Response-Recovery)安全模型的覆盖范围大致相同。NISTSP800-160特别解释了为什么网络弹性的范围定义如此广泛。同时特别强调,所有关于网络弹性的讨论都必须基于以下两点:聚焦于维护使命或业务功能;并且基于对手一定会突破防御并长期存在于组织系统中的假设。弹性非常重要,因为没有它,政府可能会关闭,企业可能会倒闭甚至破产。试想一下,全球大流行在多大程度上导致您无法在现场工作,以及它对业务连续性的影响有多大,这就是远程办公突然变得如此重要的原因。最近在美国发生的“youtube”勒索事件或许就是本次大会主题意义重大的最好证明。强调弹性意味着网络安全的重点已经从攻击预防转移到增强网络弹性:既然入侵无法避免,维持业务正常运行并从攻击中快速恢复是更现实的选择。4)开启“Resilient”之旅开幕式的第一场演讲来自RSACEORohitGhai的《弹性之旅》(AResilientJourney)。RohitGhai认为,2020年网络安全经受住了全球疫情和网络攻击的考验。但下一个考验随时到来,我们必须踏上韧性之旅。根据RohitGhai的说法,正确设置框架对于解决问题至关重要。网络弹性是解决网络安全行业问题的好方法。网络安全行业的共同目标不是避免跌倒,而是跌倒后重新站起来。这是韧性。RohitGhai非常擅长讲故事。他通过分享三个故事来传达他提高韧性的框架:老虎、飞机和缝纫机:第一个故事是关于老虎的。这是指2020年上映的《虎王》电影,产生了超过2亿的观众。这是由于其容错架构的设计。这给我们带来了如何在当今混乱的环境中控制安全性。解决方案分为三种:一是预测,需要具备安全检测、评估、可见性、威胁情报、模拟攻击等能力;另一个是零信任:零信任非常非常重要。最重要的是限制信任而不是过度放大信任。三是网络分段:包括东西分段和南北分段,将所有受攻击的部分隔离开来。就像我们戴口罩一样,不仅是为了保护自己,也是为了保护他人。第二个故事是关于飞机的。在第二次世界大战中,盟军希望为战斗机提供更多保护,因此他们与哥伦比亚大学的一位统计学家合作。统计人员在检查执行任务返回的受损飞机时,并没有对弹孔较多的区域(例如机翼)进行加固,而是对弹孔较少的区域(例如尾翼和驾驶舱)进行了加固。这种反常识的能力来自于一个众所周知的心理现象——幸存者偏差:很多时候,我们只能算幸存者,而不能算崩溃者。但是仔细一想,你就会恍然大悟,原来被击落的飞机,很可能是打在了那些弹孔较少的部位!飞机的故事让我们想起了今天的问题:如何优先考虑风险最大的地区?从网络到端点,从云到物联网,所有这些都需要结合在一起,以实现基于风险的智能优先级排序,以保护那些最重要的领域。即使跌倒,我们也能承受风险。第二个故事是关于缝纫机的。在印度的封锁期间,每个人都被要求呆在家里。印度一个协会的妇女在家里使用缝纫机为医院和政府做贡献。这个故事告诉我们,社区共同成长,因此他们可以发挥更重要的作用。同样,在网络安全方面,也需要包容性和培育安全社区的必要性。只有这样,才能发挥更大的价值。RSA大会起到了这样的作用。RohitGhai还举了一个青年黑客行善的案例,呼吁:“我们永远不要放弃这些人才,而是要招募越来越多的人才,然后共同成长,而不是培养敌人。”最后,RohitGhai提醒我们:我们还没有遇到全球网络疫情,说明我们还没有经过全面的测试。韧性之旅才刚刚开始。老虎、飞机和缝纫机这三个故事教会了我们如何少跌倒、更快地站起来、更有韧性。5)Cyber??securityforanInclusiveFuture的第二个主题演讲来自思科董事长兼首席执行官ChuckRobbins。他的演讲题目是《面向包容性未来的网络安全》(Cyber??securityforanInclusiveFuture)。ChuckRobbins指出,面对疫情和新的混合世界,每个行业的每个组织都致力于保持业务弹性。我们的目标是为所有人建设一个更具包容性的未来,安全必须是一切的中心。他强调了联系的重要性。对于落后的地区,如果能连接起来,再给一些合适的技术,就可以大大改变现状。因此,我们需要扩大这种连通性给人类带来的机会,并且需要确保这种连通性。因此,疫情后的复苏必须是包容性的复苏,也必须是安全的复苏。ChuckRobbins还强调了零信任、XDR和安全人才培训的重要性。6)安全需要直言不讳。第三场演讲是《影响网络安全变化的大实话》(TellingHardTruthstoImpactChangeinCyber??security),来自VMware全球治理、风险与合规总监AngelaWeinman和NetflixDVD信息安全总监JimmySanders。两位演讲者都声称热衷于推动安全变革。他们认为,新的劳动力模型和日益复杂的入侵要求安全领导者说出真相并采取行动。总之,本次演讲的核心是讲真话,解决实际问题,目的是增强网络安全的韧性。第一个事实是风险管理不善。安全隐患缺乏重点。而如果不能准确识别和判断风险,我们就很难迅速从危害的影响中恢复过来。要以风险为驱动因素,衡量投入/产出的价值,将有限的资源投入到最值得优先考虑的领域。第二个事实是,传统的安全实践正在拖后腿。我们必须创造一个包容的环境,不同的想法可以在同一个舞台上竞争,每个人的声音都可以被听到,最好的、最先进的想法会在这里获胜。这将改善我们的整体安全态势。第三个真理是安全不是一项单独的运动。在过去的一年里,正是相互沟通帮助我们度过了难关。这正是安全社区的价值所在。需要大家的努力,需要同行的配合。这反映了“滚雪球效应”,因为所有伟大的想法都是相互依存的。7)数学卓越奖接下来是RSA会议奖“数学领域卓越奖”的颁奖环节。该奖项表彰来自大学和研究实验室的被提名者,他们是密码学领域的先驱,其工作具有持久的价值。今年“数学领域卓越奖”的获得者是法国国家科学院高级研究员大卫·波因切瓦尔。他擅长实用协议的设计和分析,并提高其安全性,不仅可以推进密码学理论,还可以降低现实世界的商业风险。8)TheCryptographers'PanelRSA大会每年开幕日都会将“TheCryptographers'Panel”(密码学家小组)作为必看项目。密码学的创始人和领导者讨论了网络安全行业面临的最紧迫的问题。有意思的是,所讨论的话题在会前并不公布,有时话题分歧很大,想来就来。此次,主持人RossAnderson与RonaldRivest、AdiShamir、ZulfikarRamzan同台,畅谈比特币、责任披露、量子计算机、机器学习与AI安全、供??应链安全、工程隐私、网络弹性等话题.最后,主持人罗斯·安德森还对惠特菲尔德·迪菲进行了专访。当主持人问到:未来的网络安全会是什么样子?WhitfieldDiffie回答说:人们既要自由又要联系。但是我们的自由受到了限制。我们现在享有的自由,在未来可能会非常难得。那时,我们可能会怀念现在拥有的隐私。9)期待你的发现是的,在介绍了开幕式的主题演讲后,你需要继续发现你感兴趣的话题。这次会议的议题很多。官方说法是24个内容主题(Track)和200多个特定主题(session)。而具体议程似乎有500个之多。讨论相对较多的领域包括:弹性;零信任;威胁情报;安全框架(如MITREATT&CK攻击框架和MITREShield防御框架、NISTCSF网络安全框架等);5G网络和边缘计算;物联网安全;云安全;供应链安全;AI攻防;数据安全和个人隐私等。此外,作为安全行业的技术风向标,创新沙盒也必须引起重视。评选出的10大创新产品包括:1)异常邮件网关;2)Apiiro公司-SDL产品;3)Axis安全公司——零信任产品;4)CapePrivacy公司-加密机器学习平台;5)DEDUCE公司-身份安全验证平台;6)OPENRAVEN公司-云数据安全平台;7)Satori公司-数据访问安全平台;8)STRATA公司-多云身份管理平台;9)WABBI公司-DevSecOps基础设施平台;10)WIZ-云基础设施安全平台。可见,云安全、零信任、身份安全、数据访问安全是关注的重点。10)后记Resilience是宣言,是人类不屈不挠的决心!尤其是当安防行业汇聚一堂,展现出更大的韧性和应变能力。当你我每个人都能尽自己的一份力量时,世界将变得更安全、更美好。NISTNetworkResilienceGuidelines特别指出:“网络弹性领域的指导来自于对威胁态势的理解,尤其是对APT的理解。”威胁态势和安全创新动力,基于以360安全大脑为核心的数字安全能力体系和安全生态系统,为国家、行业、城市、政府和企业的数字化转型和网络/业务韧性保驾护航。从实践的角度来看,以360安全大脑为核心的数字安全能力体系将“弹性”的概念更进一步,因为它是一个具有“主动弹性”的实践系统。360数字安全能力体系简单来说就是基于海量安全大数据的安全能力、实战安全专家团队、漏洞挖掘能力、安全对抗知识库、APT猎杀能力、云公共服务的融合。其目的是创造一种“主动的弹性”,它同时具有情境意识、自我意识和改进能力。它不仅能够在损坏时继续发挥作用,而且能够主动“看到”损坏、预测损坏,并在损坏发生之前做好准备。此前,360多次率先发现全球0day漏洞攻击,得益于该协同系统的“主动识别”功能。现在我们国家、城市、行业、企事业单位建设的业务系统越来越复杂,以至于没有人能解释清楚他们整个运作的本质。主动识别复杂分布式系统引发的系统安全故障,主动发现和解决重大漏洞,主动揭露“不为人知的未知数”,可以更好地发现和应对突发事件。
