伴随创新沙盒冠军的揭晓,今年的RSA信息安全大会(RSAC)也接近落下帷幕。从1991年到2021年,RSAC正好迎来了它的三十周年纪念日,而其也成长为目前在全球网络安全领域最权威的专业会议之一。
今年的RSAC,涉猎依旧广泛,覆盖AI安全、云安全、物联网安全、5G网络、边缘计算、供应链安全及数据安全与个人隐私等众多领域。不过,我们在关注RSAC本身所展示内容的同时,也应该更多去探究其背后的技术发展路线和行业发展趋势。聚焦最前沿,从五大议题出发,今天,百度首席安全科学家李康教授将就本届RSAC出现的热点关键词为大家带来深度解读。
关键词一:弹性
Resilience,弹性,是本届RSAC的主题。在网络安全领域,其主要被用于衡量一个组织在遭受数据泄露或网络攻击期间,能够预防、抵御、恢复、适应其业务正常运营的技术能力。
在今年RSAC的开幕演讲中,RSA CEO Rohit Ghai带来了名为A Resilient Journey(弹性之旅)的议题分享。他认为,保证弹性的核心要义在于,Rising up Stronger When We Inevitably Fall,跌倒之后能够迅速重新站起。
李康教授:
这次RSAC的主题公布得很早,而强调弹性也确实反映了当前网络安全事件频出的现状,以及风险之下安全行业如何变得更强。我们都知道,网络安全覆盖面是很广的,需要企业去解决的安全问题也有很多。我们讲安全、讲纵深防御,要关注的不仅是如何预防事故的发生,也需要关注事故发生后的溯源和整个IT系统的迅速恢复,从而保障企业能够以最快的速度回归到正常的运转。另外安全管理运营人员,甚至整个行业,都要不断通过过往的经验,提炼出对风险的预测判断能力,最高效地利用有限资源来降低整体风险。
实际上,在当前的网络安全防护水平下,我们的安全体系很难完全杜绝安全事件的发生。但是通过积极的演练,提前准备响应预案,快速识别事件,可以做到企业不会被一次攻击事件一下子打垮,而能否做到快速的修复,确保业务的正常运行,这是安全弹性的关键。
百度内部一直在这个方面做努力。同时在相对成熟的方面对我们的生态合作伙伴乃至整个安全社区提供支持。其中,不仅有包括规模化的抗 DDoS攻击这样的通用产品,也有像“智能威胁狩猎平台”这样能够实现一站式部署和统一纳管的智能化的企业一体化安全解决方案,把备份恢复、威胁溯源等能力整合在一起。
同时,另一个容易被大家忽略的问题弹性问题是合规。谈到攻击的损害,人们往往想到的是由于黑客和黑产的攻击会直接导致的企业业务受损。但是这些攻击引发的用户隐私受损往往还会引发企业在合规和数据保护等方面的处罚。从这个角度讲,合规检测也是提升企业安全Resilience的手段。百度在隐私合规检测方面非常注重技术投入。百度在做的史宾格安全及隐私合规平台已经在为多个企业提供服务,也希望通过这些技术手段提升整个安全生态的防御规范。
关键词二:创新沙盒冠军
作为每年RSAC最为备受关注的环节,成为创新沙盒冠军不仅需要关注技术的突破,也需要展现其商业化前景。
今年的赢家是专注于聚焦于应用安全、DevSecOps及云安全领域的Apiiro,这是一家来自以色列、成立不到三年的网络安全初创企业。其推出的Code Risk Platform可从应用程序、基础架构及源代码等因素出发,为开发人员提供360度全方位的安全和合规风险视图。
李康教授:
Apiiro是一家优秀的网络安全初创企业,团队有着扎实的行业背景。此次Apiiro获得了RSAC的创新沙盒冠军,成为Most Innovative Startup,大致可以归结为三个原因。
首先,它反映了市场诉求。去年发生的SolarWinds事件引发了人们对于代码供应链安全的担忧,这起针对IT管理平台的攻击事件波及范围极广,几乎囊括了整个美国的重要企业、政府部门和关键基础设施,造成了巨大的损失,这让很多企业客户极为关注这一领域的安全进展。其次,它契合了国际竞争环境的变化,各国都加强了对软硬件供应链的安全把控。更重要的,这是一个能让评委“兴奋”的产品,它让项目经理能够知晓代码在哪里,从哪里来,到哪里去。
其实,这并不是一个新问题。在开发流程中,我们已经有DevSecOps。但是它的主要功能是对自有代码的安全审查和安全流程,而缺乏对第三方代码库及自有开发代码的外部保管问题,这带来了一系列潜在的安全隐患。尽管大家现在大多都遵循DevSecOps的规范,但其更多是为开发人员所打造的,Apiiro的Code Risk Platform则正好弥补了为项目经理服务这里的空白。
关键词三:数据安全被持续关注
在此次RSAC创新沙盒环节中,另一个受到关注的情况是数据安全领域“选手”的增加。包括Cape Privacy、Open Raven和satori在内达到了三家,成为创新沙盒十强企业中主要业务涉及最多的领域,数据安全与隐私保护正在获得行业的持续高度关注。
李康教授:
数据安全与隐私保护是我们在AI时代所面临的重大议题,也是百度在网络安全领域的研究重点。其核心要讨论的问题在于,数据如何储存,如何管理,与如何利用。
在本次创新沙盒的企业中,我们看到它正在与机密计算、代码开源相结合,这将大大简化企业的上手流程。同时在本届RSAC的Keynote中,我也看到了更多关于数据安全与隐私保护法律法规的讨论。那么对于我们来说,这里的创新机会更多在于如何实现数据所有者、数据使用者和数据存储方之间的协同,并在各方不互信的情况下,如何推进基于数据的安全应用。
而就百度而言,我们在数据安全与隐私保护领域有着长期的投入,主要展开了面向三个方向的研究和内外部实践。包括基于硬件的方案,典型的代表是Teaclave,这是全球首个通用安全计算平台,在2020年初,我们将这一项目捐赠给了Apache基金会;同时百度也有基于机密计算的产品点石,具有MesaTEE、SMPC和隔离域多种版本,支持多种商业化的数据安全场景。另外百度也有基于算法的方案,比如百度联邦计算平台,引入了安全多方计算、同态加密学习等技术;再者我们还有应用于机器学习领域的PaddleFL,这是一个基于PaddlePaddle的开源联邦学习框架。
当然,这里我说的一个纯个人观点(不代表百度),就是涉及到多个参与方的数据安全通用解决方案目前仍然是基于TEE的方案有优势。我看到的纯基于MPC或者全同态加密算法的方案往往是针对特定的数据和应用方,而且对使用环境做了比较强的假设,比如对于第三方的依赖或者对于参与方的行为限制(假设)。我非常希望能看到这些工作能够在一个对抗性比较强的环境下的具体表现。从某种意义上讲,我觉得今天创新沙盒裁判的一些问题也是表达了这一方面的担忧。当然这纯属入我个人猜测,我希望有更多的通用解决方案落地,能让系统安全的人尝试使用,未来的发展我们拭目以待。
关键词四:举办形式
受到疫情防控的影响,本届RSAC首次采用了全虚拟的线上形式举办。这也是继BlackHat, DEF CON 等之后,又一个选择将线下活动整体迁移至线上环境举行的全球顶级网络安全专业会议。
李康教授:
与DEF CON和BlackHat不同,RSAC是更加偏商业化厂商展示的会议。在过去,参加RSAC的主要是两类人群。其一是网络安全厂商,他们要在这里展示自己的能力,探寻行业的趋势;其二便是企业客户,其中就包括大量非互联网行业的企业客户,RSAC是他们寻找解决方案,与网络安全厂商之间进行合作的平台与沟通渠道。
今年的RSAC采用了全线上的形式,实际上造成了大量企业客户的缺席,这对于RSAC和参展的网络安全厂商的影响还是很大的。当然,RSAC自己也在谋求弥补这个损失,比如设立Marketplace,让没有参展的企业可以获得一个线上入口。
其实这是目前整个线上会议形式普遍面临的一个问题,缺乏与用户、与市场的真实互动。那种我们走进一个真实的展馆,看到真实的产品展示,与人面对面进行沟通的感觉与反馈,依靠单向的视频流是无法实现的。 在这个方面,百度也在尝试提出解决方案。比如在今年3月,百度安全与DEF CON联手举办的DEF CON CHINA Party。这也是一个线上会议,但我们引入了VR技术,即百度VR“希壤”虚拟互动空间,它增加了交互的可能,使得参会者能够真实地参与到活动当中来,我们希望这会是未来线上会议的一种趋势。
关键词五:参展商减少?中国厂商缺席?
去年,RSAC吸引了700多家参展商、超过5万名专业观众到场。今年,据悉这一数据有所下降。其中,亚马逊、英特尔,以及知名的云计算独角兽Snowflake、2020创新沙盒的冠军Securiti,2018年创新沙盒的亚军Fortanix等等均未参展。当然还有由于地缘政治的原因,来自中国的网络安全厂商也出现了大面积的“缺席”。
李康教授:
的确,相较于去年,今年的RSAC的参展企业数量是有不小的下降的,也包括我们中国的网络安全厂商。在这之中,自然有来自疫情防控、中美竞争的影响。但我更想强调的还是我们在上一个关键词中所谈到的,会议形式的改变所导致的受众范围的缩小。
我们所看到的现象是,一些传统领域的专业网络安全厂商还是出席的RSAC,但一些综合类的、创新类的企业在这次并未参展,包括很多去年的创新沙盒十强。他们其实会更关注于与企业客户的互动,挖掘商业机会,而当前的这种线上会议形式所能达成的效果,和大家对它的定位是有所距离的,这也是现在我们让VR技术与会展场景相结合的机会所在。
关于本届RSAC的详细会议内容,可参阅其官方网站。
