“在过去的12到24个月中,严重安全事件的发生数量持续走高。换言之,安全事务的关注范畴不能仅仅局限于合规性检查本身,”RSA大会项目委员会主席Hugh Thompson指出。
2013 RSA大会将于本月26号在旧金山的莫斯康展览中心举行,届时将有数千位与会者共济一堂、聆听安全业界高管们谈论自己的产品路线图,借以了解在攻击活动日益复杂化的当下如何更有针对性地处理安全事务。
随处可见的网络安全问题给了众多厂商一个机会,来展示他们对于安全的理解、产品解决方案以及行业领导力。此前,每年的RSA大会都是主流IT业的一片绿洲。然而,当RSA大会在向世人展示诸如数据防泄漏、Web安全、密钥管理等安全技术的最新成果时,企业的CIO们实际上只关心企业运营自动化。尽管安全是IT管理中资金支持较少的一个部分,但是RSA大会对其关注的热度却从未减退。
信息安全备受瞩目
不管在CIO们眼中的安全是什么样子,网络安全的新闻充斥着我们能接触到的所有信息传播资源:报纸、杂志、电视新闻等等。暂且回顾一下2013年开年的两个月内发生的与安全有关的新闻事件:
1. 美国国土安全部发布警告的Java软件漏洞,建议用户禁用Java浏览器插件
2. 美国国防部宣布,它打算增加4000名雇佣的网络安全专家(从900到4900)(1/28)
3. Anonymous 黑客组织攻击美国司法部的web服务器,以抗议美国政府以数字盗窃罪名起诉电脑神童亚伦斯沃茨导致他自杀身亡(1/26)
4. 纽约时报声明受到网络攻击(1/30)
5. 《华尔街日报》声明受到网络攻击(1/31)
6. 美国总统奥巴马宣布对网络空间一项行政命令对网络空间(2/18)
7. 苹果公司和Facebook声明受到网络攻击(2/19)
8. 汉堡王和吉普的推特主页被攻击(2/20)
9. Mandiant发布一份报告, 声称发现中国军方和网络间谍活动有关(2/20)
10. 美国全国广播公司网站在遭到网络攻击之后无法访问(2/21)
我们不得不承认,在今年之前,信息安全是IT中不太被重视的一部分。然而参看最近的一些事件以及政府态度,不难看出CEO、立法者、军事领袖,甚至国家元首都开始给予信息安全更多的关注。
RSA适时地提供给了一个可以给众多关注不同安全领域的厂商一个展示自己的平台。一起讨论,共同进步。厂商可以在大会上通过别人的演讲以及展出的产品来评估国际网络安全形势,描述能够以怎样的方式规避安全风险,解决安全问题,提供大的解决方案,并展示真正的网络安全情报和技术。
风险管理决定企业信息安全
合规性方案对于大多数IT安全团队而言仍然属于争取预算的主要途径,但相较于传统的遵循视角,本届RSA大会将关注重点放在应用安全的基本原理以及基于风险的决策层面。根据安全专家的观点,这样的焦点转移标志着合规性行业将在成熟性方面达到新的水平。
RSA大会历来被视为安全专家的交流平台以及新兴安全技术趋势的展示舞台,但Thompson表示本届活动将主要关注近来诸多数据泄露事件所揭示出的实质性问题。
“我们发现近来针对性很强的攻击活动的发生并非源自潜伏着的恶意软件,而往往是由企业内部人士在安全决策方面的失误所引发,”Thompson解释道。“攻击者会把时间用于定位并追踪拥有访问权限的用户,并针对他们的日常习惯总结出量身订做的攻击方案。”
攻击者会利用配置不当的系统、未及时安装补丁的应用实例或者窃取合法用户的验证资质来实施网络入侵活动。有鉴于此,本届RSA大会的重点之一就是如何优先考虑并总结出足以解决这些根本问题的实践方案。在为期四天的大会上,举办方安排了多场讨论会,意在帮助与会者研究如何收集正确的数据并以此为基础制定风险决策。
2月26号,由RSA CSO Eddie Schwartz主持的CISO研讨会将深入分析信息风险管理方面的最新趋势。
而在2月27号,一个专家小组还将尝试解答困扰许多企业的难题:为什么我们仍然无法收集并利用真正有意义的指标,进而制定出切实有效的安全决策。该单元的主题为“企业风险管理:获取指标为什么如此困难?”
大数据议题精彩纷呈
Thompson还表示,大数据分析也将成为本次活动的重要议题。包括RSA、EMC安全部门以及IBM在内的多家安全厂商已经针对Hadoop软件框架集成推出了安全产品。
尽管上述方案已经进入市场,但安全专家们仍然认为大数据安全性分析工作尚处于起步阶段。本月27号的专项研讨将在Forrester研究公司高级分析师Rick Holland的主持下进行,题为“规模庞大、不容失败:大数据时代下CISO眼中的规模化安全”。届时将有多位来自不同企业的安全高管到场,尝试解答为什么规模的扩展对于威胁检测工作影响重大。
Holland认为大数据已经成为一种典型的浮夸型营销宣传术语,并补充称他希望研讨组成员能够明确“大数据”对于自己的日常工作意味着什么、他们又该如何将安全数据与业务分析相结合以实现运营目标。
“大数据是一家企业对于自身全部信息的汇聚成果,信息的有效性与正确性必须得到严格保障;一旦信息来源不纯粹、不受信或者无法分析,大数据就会成为妨害企业决策的坏数据,”Holland指出。“我个人没见过多少安全团队能够真正让大数据方案为安全目标服务。”
身份认证成为BYOD新短板
移动安全是本届RSA大会的另一大核心议题。随着智能手机与平板设备在业务环境中的日益普及,安全专家对于控制移动设备并从中获取直观业务资料的需求也愈发强烈。本次最值得关注的移动安全研讨有两轮,其一为本月26号由美国国家安全局移动安全专家Troy Lange所主持,他将在活动中确定移动设备中存在的安全漏洞以及业界该如何建立起更为有效的安全生态系统。其二则是将于本月28号召开的“移动安全大逃杀”研讨,多位杰出安全研究人员将组织辩论、尝试在探讨中追寻各套移动平台在安全性方面的是非曲直。
目前,很多企业都在与BYOD苦苦抗争,希望找出一套足以确保移动安全的管理政策。在本周与记者进行的电话会议上,Ramon Krikken——Gartner公司研究副总裁——明确指出,认为IT从业者能够通过简单部署技术来获得大量移动设备控制权的观点并不切合实际。企业正在努力对各类移动设备管理平台进行评估——目前这块市场中有几十种方案正在激烈竞争——但此类产品在成本与直观维护负担上仍然不甚理想,Krikken解释称。
“经过评估,企业用户往往发现这些方案要么会带来沉重的工作负担、要么无法彻底满足业务需求,”Krikken表示。
大规模密码泄露与身份盗用有望为本届大会中的身份管理议题注入新的活力,Thompson告诉我们。在过去几年中,身份管理这一议题隐隐有被并入其它单元的趋势,但在本届大会上项目委员会又将其带回独立轨道。大量薄弱甚至是默认内容的密码困扰着互联网安全,这对于网络犯罪分子而言无疑等同于开门揖盗,Thompson指出。
“讨论的重心不再是密码本身,而在于我们该选择怎样的方式来验明远程接入用户的真实身份,”他解释道。
曾在位于圣安东尼奥市的德克萨斯大学担任CISO的信息安全顾问Steve Werby也将在他的研讨会中与大家分享他的项目——一套足以对上万家顶级网站的密码政策及控制机制进行收集、评估及衡量的方案。这一环节的主题为“搞定上万家顶级网站的密码及控制工作”。Wiredreporter网站的Mat Honan(曾根据个人经历撰写了一系列身份盗用方面的文章)也将在定于2月28号举行的题为“以为密码能保护自己?请您三思”的研讨会中对VPN、双因素身份验证等一系列安保措施进行讨论。