信息化觀察網(wǎng)

 一年一度的全球安全盛會RSA將在美國時間2月13日開幕，數(shù)個熱點安全話題、技術(shù)趨勢和爭議問題受到全球信息安全界的關(guān)注。與此前的RSA大會不同，本屆大會很難說哪個或哪兩個主題會成為焦點。預(yù)計物聯(lián)網(wǎng)(IoT)安全、機器學(xué)習(xí)、安全運營分析與平臺、敲詐木馬等將是主要探討的話題。此外，美國新政府的網(wǎng)絡(luò)安全政策也將會得到重點關(guān)注。

今年RSA大會邀請到前美國國家安全局局長亞歷山大將軍，微軟公司總裁Brad Smith，美國國土安全委員會主席麥考爾(McCaul)，以及McAfee公司CEO Chris Young等重量級專家演講人。

機器學(xué)習(xí)興起

近來機器學(xué)習(xí)一直是安全界的熱門詞匯，本屆RSA大會應(yīng)該會延續(xù)對這一主題的關(guān)注。預(yù)計人工智能與機器學(xué)習(xí)話題將會是本屆RSA上的人氣之王，主要企業(yè)都會談?wù)撨@個話題。

目前，大大小小的安全廠商正從基于簽名的反病毒和惡意軟件產(chǎn)品轉(zhuǎn)向機器學(xué)習(xí)模式，而不再依賴現(xiàn)有的惡意軟件定義來檢測威脅。盡管由于存在某些缺陷，用戶對軟件的效果持續(xù)質(zhì)疑，近來傳統(tǒng)反病毒軟件一直受到業(yè)界的詬病。但使用機器學(xué)習(xí)的高級威脅檢測產(chǎn)品，是否可以真的取代反病毒軟件，目前還有待觀察。

一些安全專業(yè)人士認為，機器學(xué)習(xí)應(yīng)該被看作安全防御的智能層，可以實現(xiàn)某些分析的加速和自動化。這就是說，機器學(xué)習(xí)盡管目前作用有限，但不意味著它在適當(dāng)應(yīng)用案例中無法發(fā)揮重要作用。

對人工智能(機器學(xué)習(xí))的興趣實際上來自網(wǎng)絡(luò)安全用戶。在安全界追尋這種已知的未知過程中，大量增長的日志和報警給企業(yè)造成了巨大壓力：超過37%的安全人士每月需面對高達上萬條報警，而其中52%是讓人虛驚一場的假報警。想依靠人工發(fā)現(xiàn)和判斷所有的異常行為，幾乎是不太可能完成的任務(wù)。

物聯(lián)網(wǎng)安全與DDoS攻擊

物聯(lián)網(wǎng)的安全話題將是RSA討論的重要內(nèi)容之一。此前的多屆RSA大會也對IoT威脅有所探討，但主要是在理論層面，去年那場全球轟動的DDoS攻擊將物聯(lián)網(wǎng)的威脅變成現(xiàn)實。

與經(jīng)常占據(jù)媒體頭欄的數(shù)據(jù)泄露事件相比，DDoS攻擊雖然一直也在困擾著企業(yè)，但更多被視為小麻煩而不是主要威脅，直到2016年10月美國爆發(fā)了史無前例的DDoS攻擊：峰值流量超過1TB，導(dǎo)致美國東部大面積斷網(wǎng)。這次DDoS攻擊比以往都更受關(guān)注，原因是發(fā)起攻擊的Mirai僵尸網(wǎng)絡(luò)特性。預(yù)計一些安全廠商將發(fā)布應(yīng)對DDoS攻擊的新產(chǎn)品，但此次攻擊讓業(yè)界更擔(dān)心物聯(lián)網(wǎng)(IoT)的安全性問題。

僵尸網(wǎng)絡(luò)通常會劫持計算機發(fā)起攻擊，但Mirai僵尸網(wǎng)絡(luò)利用的是連接物聯(lián)網(wǎng)的智能設(shè)備，比如監(jiān)控攝像頭、數(shù)字視頻錄像機。也就是說，多年來一直負責(zé)維護計算機和移動計算設(shè)備安全的IT安全人員，現(xiàn)在要擔(dān)心下次的安全威脅可能來自空調(diào)監(jiān)視器、電梯甚至智能牙刷。

越來越多的機構(gòu)在部署物聯(lián)網(wǎng)設(shè)備，這給僵尸網(wǎng)絡(luò)提供了更大機會。作為唯一一家參與協(xié)同處置美國斷網(wǎng)事件的中國機構(gòu)，360發(fā)布的數(shù)據(jù)顯示，全球范圍內(nèi)實際受感染的設(shè)備IP數(shù)量超過60萬個。

在這種背景下，預(yù)計很多RSA與會者都希望了解如何應(yīng)對智能設(shè)備的安全威脅。在針對關(guān)鍵基礎(chǔ)設(shè)施的下一個創(chuàng)紀錄DDoS攻擊之前，希望安全業(yè)界能做好應(yīng)對準備。

從SIEM到安全運營與分析平臺架構(gòu)

隨著安全的重點從防護轉(zhuǎn)向檢測與響應(yīng)，傳統(tǒng)的日志管理與事件關(guān)聯(lián)產(chǎn)品已無法適應(yīng)安全需求。需要采用人工智能、機器學(xué)習(xí)算法進行實時的數(shù)據(jù)處理和分析。企業(yè)安全的運營與分析需求將推動整合：以SIEM產(chǎn)品為核心，整合成ESG集團所稱的安全運營與分析平臺架構(gòu)(SOAPA)。

過去安全分析和運營主要是基于日志和事件等數(shù)據(jù)，現(xiàn)在來自終端、網(wǎng)絡(luò)、威脅情報和惡意軟件的應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)和系統(tǒng)日志數(shù)據(jù)也被補充進來。

安全專家認為，安全運營與分析平臺架構(gòu)(SOAPA)將包括SIEM、終端檢測與響應(yīng)、事件響應(yīng)、網(wǎng)絡(luò)安全分析、機器學(xué)習(xí)算法和威脅情報、沙箱在內(nèi)的綜合性平臺，以便安全分析人員能夠采用不同工具，進行實時的數(shù)據(jù)挖掘和威脅處置。

目前國際領(lǐng)先的安全公司都朝這一方向發(fā)展，比如IBM收購了Resilient Systems，以獲取事件響應(yīng)平臺功能;Splunk收購Caspida以獲得機器學(xué)習(xí)算法。國內(nèi)的360企業(yè)安全也在2016年發(fā)布了名為新一代態(tài)勢感知及安全運營平臺(NGSOC)的創(chuàng)新產(chǎn)品，將EDR、威脅情報、安全分析、沙箱等功能集成到SOC中，大大提升了政企用戶發(fā)現(xiàn)和處置安全威脅的能力。

下一大終端套件

去年的RSA大會 重點關(guān)注了被稱為下一大終端安全的新品類。安全市場中的關(guān)注焦點開始轉(zhuǎn)移到終端防護，從而推動孕育了一大批新的安全初創(chuàng)公司。

研究機構(gòu) ESG在2016的研究發(fā)現(xiàn)，很多安全廠商發(fā)布了具有高級防護、檢測與響應(yīng)功能的終端安全新產(chǎn)品。其中，國內(nèi)企業(yè)安全領(lǐng)軍企業(yè)360也發(fā)布了包括EDR功能的終端安全防護系統(tǒng)。安全專家預(yù)計，今年將會看到新一代終端安全的逐漸成熟和不斷整合，終端安全不再是獨立的安全領(lǐng)域，安全廠商將會發(fā)布針對網(wǎng)絡(luò)安全和安全運營的開放API、生態(tài)伙伴和應(yīng)有場景。

特朗普效應(yīng)

RSA 大會過去一直都不乏爭議話題，安全人士認為今年也可能會關(guān)注另一個爭議話題。RSA 大會內(nèi)容經(jīng)理Glade 認為，網(wǎng)絡(luò)安全的話題從沒像現(xiàn)在這樣如此受到關(guān)注。美國總統(tǒng)選舉遭遇俄羅斯黑客攻擊，讓社會主流對國家網(wǎng)絡(luò)攻擊有所了解或者說至少進行了討論。目前美國新政府的網(wǎng)絡(luò)安全政策，及其對安全產(chǎn)業(yè)乃至更大商業(yè)環(huán)境的影響仍有很多未知，這將引發(fā)與會安全人士將會進行熱烈的討論。

一些科技企業(yè)、機構(gòu)和會議最近紛紛反對特朗普總統(tǒng)有關(guān)禁止中東七國穆斯林進入美國的行政命令，其中微軟、谷歌和英特爾在內(nèi)的公司還提交反對這一行政命令的法律文件。RSA大會聲稱沒有受到這一行政命令的影響。美國國土安全委員會主席麥考爾(McCaul)將在大會發(fā)布主題演講，他被報道推動了這一行政命令的發(fā)布，預(yù)計他對這一行政命令的支持，將會受到與會者的批評。

安全創(chuàng)新無界限

本屆大會的主題是“Power of Opportunity”，再次強調(diào)安全創(chuàng)新的意義：在傳統(tǒng)安全模式漸趨乏力之際，已經(jīng)沒有任何安全創(chuàng)新的界限。正是對創(chuàng)新的重視，除了每年的創(chuàng)新沙盒，10家安全創(chuàng)新企業(yè)將角逐“RSAC 2017最具創(chuàng)新安全初創(chuàng)企業(yè)大獎。

今年的RSA大會還特設(shè)了“RSAC初創(chuàng)企業(yè)展”，40家來自美國、以色列等國的初創(chuàng)安全企業(yè)在此展示其應(yīng)對安全挑戰(zhàn)的新思路。

在安全產(chǎn)業(yè)正在經(jīng)歷顛覆式創(chuàng)新之際，新的進入者或許能帶來應(yīng)對安全挑戰(zhàn)的新思路。