RSA 2018关于网络安全的探讨着眼于当下、脚踏实地

■胡立

美国信息安全大会RSA 2018前几天刚刚结束，会议上的大量议题引起广泛探讨。总体看来，这次的议题似乎没有什么创新之处，但仔细研究就能发现，撇去新技术的泡沫、经历过2017年至今大大小小的安全事件之后，关于网络安全的探讨更加着眼于当下、更加脚踏实地。

当下有哪些安全问题？厂商应当关注哪些领域？网络安全行业未来会如何发展？如何应对安全问题？通过RSA 2018大会上的一些重要议题，也许可以管中窥豹、见微知著。

物联网与工控安全——万物互联时代的挑战与机遇

长期以来，物联网安全一直在安全领域占据着重要地位。小到家庭温度计、智能电视，大到智能汽车、工业控制系统，这些联网设备不具有统一的安全标准，凸显出的安全问题也数量庞大、各不相同。由于物联网与人们的生活息息相关，其安全的重要程度也不言而喻。ESET全球安全专家花费数月时间测试了12款物联网设备，结果发现这些设备存在未加密的固件升级问题、未加密的摄像机视频流、明文通信，密码存储未设置保护等安全缺陷。此外，与漏洞不大相关的过度分享数据所涉及的隐私问题也是物联网安全的另一个痛点。对于这些问题，需要物联网设备制造商和终端用户联合采取措施，并注重系统每一个环节的安全。

在RSA展会上，有很多专注于物联网安全的厂商，其中一个有代表性的就是Lynx软件技术公司。他们认为可以通过将内核、内存、应用程序、系统和其他资源互相隔离的方式，打造更加安全的物联网环境。当然，对于开发而言可能效率会有所减缓，但这种方法对于航空电子设备、医疗设备等与人身安全密切相关、对安全要求更为严格的领域而言至关重要。

RSA的议程安排还突出了对工控安全的重视。其中有一项议题解析了黑客对工业系统的安全辅控系统SIS所发起的攻击。其代表是2017年年底的Triton/TriSIS事件，这个攻击针对工业环境中最高风险组件，危及工控系统中生产事故及人身安全的最后一道防线。由于工业领域的设备数量庞大、组成复杂，操作系统更新和危险防护措施都难以及时落地，一旦其中一项遭遇攻击，将造成严重威胁。

RSA大会还专门设置了 ICS、IoT、Car HACKING的sandbox环节，以及包含“关键基础设施保护快速上手指南”“应对关键基础设施内部威胁”“工业IoT漏洞利用的影响”“用黑客的思维去做工程师的工作”等议题在内的专题演讲。

综合来看，各大厂商均建议工业企业要制定IT和OT的安全策略，分析IT和OT对CIA和AIC的优先排序，从架构上和配置上整体考虑安全防护、应用SOC/NOC进行网络管理和危险探测、建立IT和OT一体化的安全团队等。各厂商的具体解决方案也有一些可参考的创新之处，如UPTAKE公司提出对工业大数据进行安全监测和响应，盘点工业企业资产、获得全面的安全可见性、对威胁进行分类、调查以及补救来解决工业企业OT安全问题。Monaca公司则倡导用加密的方式从基础开始建立可信度，保障工业控制系统和工业物联网（IIOT）的安全，提供支持 ARM、MicroChip、ST、Atmel等 30多种嵌入式平台的类OpenSSL信任平台，可以源代码方式提供，开发者将之编译进不同目标设备，确保联网设备安全。此外，还有多家公司提出SDN平台、混合基础设施和智能制造全覆盖、安全且可信的数字基础架构等多种解决方案来应对工控安全问题。

挑战往往意味着机遇，随着万物互联进一步扩大广度、加大深度，安全威胁将越来越多，不论是政府部门、监管机构、安全厂商还是用户的安全意识都将提高，相关政策法规、创新技术、产品等也会越来越多，逐渐落地。

数据与隐私保护成为新风口

近期沸沸扬扬的 Facebook数据泄露，即将实施的GDPR，以及在RSA 2018大会的“创新沙盒”环节获得冠军、专注隐私保护的BigID公司，都预示着当下的一个风口：数据与隐私保护。

在当地时间4月18日进行的主题演讲环节上，SANS研究所的主任Alan Paller和SANS三位研究员Ed Skoudis、James Lyne、Johannes Ullrich总结分析了5种最危险的的网络攻击：存储库和云存储数据泄漏、大数据反匿名处理和相关性分析、攻击者将通过挖矿机将受损系统货币化、硬件缺陷、不追求利益的工业控制性攻击。

SANS渗透测试课程负责人Ed Skoudis认为，当今的软件构建方式依托于庞大的在线代码库，通过代码库协作、云存储数据并托管关键应用程序，这在带来便利的同时也吸引了攻击者的目光。攻击者针对这类存储库和云存储基础架构，寻找密码、加密密钥、访问令牌和TB级敏感数据。

他也谈到了攻击者目标的转变——从计算机转变到数据，也就是收集来自不同来源的数据并将其融合在一起，识别用户身份，查找业务弱点和机会，或以其他方式破坏组织。因此，企业组织除了采取防护措施之外，还要分析其数据可能遭遇的风险。

对此，Ed Skoudis表示，应该考虑雇用或分配一名专门的“数据管理员”，来跟踪和管理数据资产，甚至培训系统架构师和开发人员如何保护云中的数据资产。他表示，云服务商提供的服务可以利用机器学习和人工智能来扫描客户的数据，以发现违规行为，帮助客户分类和维护其基础架构中的数据。而企业也应当采取多种工具，定期审查与存储在云中的数据资产相关的访问日志，检测并预防通过代码库导致的数据泄露。

SANS研究院院长，SANS互联网风暴中心主任Johannes Ullrich提到了当下大热的加密货币挖矿和硬件缺陷。他认为这两点对于企业而言也是很大的风险。他提醒企业检测挖矿行为，及时修复漏洞。同时，强调开发人员要学会创建安全软件，不完全依赖硬件去解决安全问题。因为一旦硬件出错，整个系统都会蒙受性能损失，这也与之前Meltdown和Spectre漏洞相呼应。在硬件层面，也要像软件一样，对系统内的数据进行认证和加密。

对于各个环节错综复杂的数据问题，Ed Skoudis表示，要将数据作为一项资产来关注，而且需要更加重视隐私和公司治理的共同合作。

区块链技术在重复AI的发展轨迹

区块链技术是RSA 2018大会上另一个争议性较大的话题。一些人认为区块链是实现GDPR合规的关键，而有些人则质疑这一技术落地的可能性。还有一些参会者则对于区块链技术完全一无所知。

前两年，AI成为IT行业的绝对热点，所有的议题、所有的从业者都展开了轰轰烈烈的探讨。炒作的泡沫破灭之后，深思熟虑者回归技术落地，盲目参与者依然游走在边缘。如今，区块链技术也走上了AI的发展轨迹，正处于前期的概念探讨阶段和初步落地阶段。

围绕新兴技术的炒作总会给开发人员带来创新压力，在这种压力下，很多开发人员往往会忽略安全而一味求新，结果可能导致一系列问题。最近的研究结果表明，大多数企业并没有将区块链技术应用于生产实践，实际应用于生产的企业只占3%，28%的组织正积极测试区块链、20%的组织正处于发现或评估阶段、4%的企业正在测试或试用区块链技术、2%的企业正在测试或开发区块链产品。

在RSA 2018大会上，来自Verizon和Linux基金会等企业的代表强调，要为安全创新概念化设定基准问题，并分享了关于区块链建设的经验。企业在应用区块链技术，收集要求时，需要涉及信任模型、管理、身份和保密等内容。区块链只是一个工具，并非一项业务。企业厂商需要摆正态度，不能把区块链当做灵丹妙药，而应当从实际应用角度来思考其在安全领域的发展。

目前，企业对区块链技术的应用仍处于探索阶段，到2019年的大会上，采用区块链技术的产品或解决方案或许会成为亮点。

网络安全没有银弹

进入2018，网络世界的安全问题似乎并未减少，安全事件频发，信息泄露依然严重。RSA 2018大会上发布的ISACA网络安全报告指出，81%的安全专业人员表示自己的企业在2018年已经遭遇了网络攻击，50%的受访者表示2018年至今所遭遇的网络攻击已经超过了2017年的总和。此外，还有31%的企业表示公司董事会还没有充分确认企业安全的优先级。而技术水平过关的安全人才依旧有很大缺口。此外，网络安全问题已经延伸到网络的各个角落，不论是个人公民、私人公司还是政府机构都难以幸免。

这是否意味着我们所处的网络世界安全环境越来越严峻了呢？并不是，网络安全也许正变得更好，这是RSA总裁Rohit Ghai的观点。在RSA 2018大会上，Rohit Ghai发表了主题演讲，他认为，网络安全正变得更好，人们逐渐放弃了“银弹”思维，对安全有了更加正确的认知，安全业务正着眼当下，更加务实。

当前，企业正采取商业驱动的安全方法来管理数字风险。风险本身并不是威胁，太多或者太少的风险才容易带来问题。在应对风险过程中，存在“金发女郎效应”（即刚刚好的状态），企业的目标就是引入机器学习、人工智能等当下热门且已经日趋成熟的新技术，在数字化世界中达到这种状态。

着眼当下，脚踏实地

远离“银弹”思维后，当下就成了焦点。这也是RSA 2018大会的主题“Now Matters”所要传达的理念。

1.DevSecOps——安全融入开发运营

RSA 2018大会上的一项报告表明，在企业开发生命周期中，应用安全实践的年增长率达到15%。拥有成熟DevOps实践的公司中，有59%的公司将安全自动化纳入了开发过程，有88%的公司投资于应用程序安全培训；有63%的公司表示会利用安全产品来识别容器中的漏洞。越来越多的企业意识到将安全纳入开发运营的重要性，并预计或已经采取措施落实DevSecOps。

Contino的联合创始人兼首席技术官Benjamin Wootton认为，仅仅在DevOps过程中采取安全思维是不够的，需要全面落地DevSecOps，将安全当做软件交付过程中的基础原则。这不仅关乎开发、部署和安全的自动化，还涉及改变整个组织的架构（技术团队和其他团队），这都决定着整个软件的开发周期。如果安全人员意识到这一点，就会发现，DevSecOps会成为所有大组织的选择。

2.组建可靠的安全团队

然而，仅仅依靠新技术还是不够的。新技术有助于提高安全成效，但是依照墨菲定律，新技术就等同于新的漏洞，技术既是目标，也是武器。因此，技术背后的人也是安全发展的另一个重点。在技术成为双刃剑的时候，安全团队的水平决定着企业的安全业务水平。面对日益复杂的攻击环境，单纯的防御已经不再有效，有些威胁甚至是“防不住”的，企业需要升级应急响应策略，在响应之外，也要关注攻击事件本身，分析攻击手段、漏洞特征等，做好威胁情报与其他安全技术的整合，将整个团队联动起来。

ISACA的数据显示，填补网络安全职位所需的时间有所缩短、安全管理人员的合格人选数量有所提高、企业招聘安全员工的预算有所提高，这些对于安全团队建设而言，无疑是好消息。

3.内外兼顾

除了复杂的网络环境和黑客攻击带来的外部威胁，在企业内网中，各种企业内员工的违规操作或恶意窃取事件也不断被曝光，成为另一类重大安全隐患。因此，在RSA 2018大会上，安全负责人已经开始将身份认证以及数据安全视为新的安全边界，围绕这些话题展开了探讨。有调查显示，企业内部员工的行为表现往往是危及企业数据安全的关键因素，60%的情况下攻击者能够在几分钟之内搞定一家企业的网络入侵。而企业供应链也成为网络攻击者的新目标。供应商、渠道商常常受到专业人员、资金投入等方面的局限，无法为其所服务的网络资源提供可靠的安全防护，成为企业遭受攻击的一个重要渠道。

因此，企业在应对外部威胁的同时，也要加强对内部员工的审核和安全意识培训，由内到外切实保护好企业安全。

当然，在任何国家和地区，网络安全都离不开政府的行动和政策。不论是欧盟的GDPR还是我国的《网络安全法》，都确保了网络安全工作有法可依、有据可查。政策先行，策略才能落实，这也是RSA总裁Rohit Ghai所倡导和强调的。

与以往相比，商业利益相关者对网络安全的投入更多，网络安全即将成为董事会级别的事情。这只是网络安全工作的本质，我们最大的成就是永远不要登上头条。

这句话，大概也是所有企业的心声。