2020 届 RSA 大会迎来了一位不速之客:新冠病毒(Covid-19)。大会参与者纷纷将打招呼的方式由握手改成了碰拳,并且整个莫斯克中心充满了随处可见的洗手消毒点。由于病毒的影响以及部分行业巨头公司(AT&T、IBM、Verizon)的退会,导致参与本次大会的人数下降了不少。
即便有很多人放弃了参会,但是 ESG 团队仍全程参与。以下是我们对 RSA 2020 的一些观察和想法:
1. 终端安全正在寻求下一步发展
我的同事 Dave Gruber 用一个词“无聊”总结了终端安全的当前发展状态。在过去,终端安全的与会者会带来一些高级分析案例或者利用终端检测与响应(EDR)进行统一终端保护的方法。而今年,他们更多的是在谈论云端工作负载均衡和对移动设备的支持。虽然负载均衡和移动端的支持是必要的,但是这对于 Dave 来说仅仅像打了一个补丁一样。
2. 平台化
对终端安全感到无聊的原因可能是因为相对一台更大的网络安全防护机器而言,它注定只是其中一个齿轮。之所以称它们为平台、下一代终端检测与响应(XDR)或者其他名字,是因为它们将终端安全、网络安全、云安全都集中到了一起。这将有助于更好地实现数据关联,更加稳定且准确的告警,以及更加简便的操作。思科、Palo Alto和趋势科技纷纷按照这些原则发布了对应的公告。尽管端到端的网络安全技术平台数会随着时间而激增,但是网络安全专业人士却是在一种以终端工具为基础的传统和文化中长大。因此在这个过渡过程中,成功的供应商将抓住客户,确保能帮助客户将这些平台融入到已建立的安全运营中心(SOC)中。
3. 首席信息安全官(CISO)需要帮助
近些年,我们已经听说“网络安全已成为董事会关注的问题”。尽管如此,目前大多数董事会成员已经是平均年龄 65 岁的具有大量商业经验的成功人士,即便这些数字证书真正“威胁”到了他们,他们也无法感知。与此同时,CISO 们也一直被要求保护好不断增长的关键信息资产,但令人担忧的是,在某些组织中,这一过程可能会退化为盲人摸象。CISO 们经常需要实时的风险管理、更加具体的指标体系,以及工具去管理运作一个企业的安全工作。我们就这些问题与大量 CISO 们进行深入讨论,并且还和供应商 Blue Lava 就相关解决方案进行了商讨。
4. 下一个趋势:API 安全
我的同事 Doug Cahill 十分关心这一领域的发展。这是一个历史不断重演的例子:工程师们雄心壮志地致力于这类无服务器应用开发,但是这些开发应用却远远超出安全专家的防 护经验。此外,这还产生了大量的不安全的 API,并且我们已经发现了大量由于这些漏洞所导致的安全风险。尽管 Doug 对此感到担忧,但他也对该领域的创新水平的发展感到十分欣慰,并认为我们将在 2020 年看到大量投资和并购活动发生在这个领域里。
5. 网络安全转移到云端
我的同事 John Grady 一直密切关注如何将网络和安全集成到云服务中。ESG 将此架构称为弹性云网关(ECG)。这具体是什么样的服务呢?它包括耳熟能详的云访问安全代理(CASB)、软件定义广域网(SD-WAN)、数据防泄漏(DLP)、web 应用安全等,但是 John 却认为这只是一个开始,因为用户希望将访问控制、防火墙、入侵检测防御系统以及 SSL/TSL 解密系统等安全防护措施混合起来,以便于他们能够(在网络边界处)将流量报文一次性全部拆解,然后对进出口的流量报文进行多种检测服务。请持续关注我们的报道,John 现在正在对弹性云网关(ECG)的趋势进行研究。
6. 邮件安全与应用安全的复兴
这些领域持续受到关注不是没有道理的。电子邮件仍然是主流的威胁载体,与此同时,像一些商业电子邮件泄露(BEC)等新型的漏洞利用变得越来越广泛。根据 FBI 的《 2019 年互联网犯罪报告》,互联网犯罪投诉中心“在 2019 年记录了 23,775 例有关 BEC 的投诉, 共计造成超过 17 亿美元的损失”。同时,诸如应用安全这类长期不受关注的领域也逐渐受到关注,这是因为使用现代开发技术编写的关键性软件越来越多,如果我们不提高应用的安全性,那(作者注:我讨厌这个词)么我们身后的可被攻击的目标(漏洞)将日趋增长。
7. 安全运营中心(SOC)的规模和作用范围
安全运营中心(SOC)曾经被理解为与安全信息和事件的管理系统(SIEM)类似,但如今它的扩张变化已经远超SIEM。其包括威胁情报平台、网络流量分析、终端检测与响应(EDR)/下一代终端检测与响应(XDR)、安全编码与自动化响应(SOAR) 等。当然,我不得不承认,如今大量的企业组织每天都在收集、处理和分析数量级达 TB 的数据,他们需要消息总线(例如Kafka、RabbitMQ)、流处理器(例如Apache Spark等)、图数据库、数据湖以及持续优化的数据通道。与此同时,一些新型应用,例如持续自动化渗透与攻击测试(CAPAT)和新型欺诈技术也被加入到了安全运营中心(SOC),以便于将预防、检测和响应整个流程打通和形成闭环。然而,满头白发的安全分析师可能从未预想过,有一日他们还需要兼职成为数据工程师或数据科学家。在当前的规模和广泛应用下,安全专业人才正积极地将安全运营中心(SOC)的基础设施和分析模型迁入到云端,那么,像Devo、Exabeam、Google、IBM、Micro Focus、Securonix、Splunk和Sumo Logic这样的云服务供应商都将迎来许多机遇。
尽管当前大会处于低迷的情况(受病毒影响导致与会人数减少),但 RSA仍然是网络安全思想领导力的核心,并且在未来会长期保持这个趋势。基于此,我相信将大会从(消费)贵的离谱的旧金山搬移到经济更加友好的地区是十分有必要的。因为我们需要鼓励商业、工业和网络安全业的人才都参与进来,而不是因这些高昂的花销把大部分人群拒之门外。