一年一度的全球安全盛会RSA将在美国时间2月13日开幕,数个热点安全话题、技术趋势和争议问题受到全球信息安全界的关注。与此前的RSA大会不同,本届大会很难说哪个或哪两个主题会成为焦点。预计物联网(IoT)安全、机器学习、安全运营分析与平台、敲诈木马等将是主要探讨的话题。此外,美国新政府的网络安全政策也将会得到重点关注。
今年RSA大会邀请到前美国国家安全局局长亚历山大将军,微软公司总裁Brad Smith,美国国土安全委员会主席麦考尔(McCaul),以及McAfee公司CEO Chris Young等重量级专家演讲人。
机器学习兴起
近来机器学习一直是安全界的热门词汇,本届RSA大会应该会延续对这一主题的关注。预计人工智能与机器学习话题将会是本届RSA上的人气之王,主要企业都会谈论这个话题。
目前,大大小小的安全厂商正从基于签名的反病毒和恶意软件产品转向机器学习模式,而不再依赖现有的恶意软件定义来检测威胁。尽管由于存在某些缺陷,用户对软件的效果持续质疑,近来传统反病毒软件一直受到业界的诟病。但使用机器学习的高级威胁检测产品,是否可以真的取代反病毒软件,目前还有待观察。
一些安全专业人士认为,机器学习应该被看作安全防御的智能层,可以实现某些分析的加速和自动化。这就是说,机器学习尽管目前作用有限,但不意味着它在适当应用案例中无法发挥重要作用。
对人工智能(机器学习)的兴趣实际上来自网络安全用户。在安全界追寻这种已知的未知过程中,大量增长的日志和报警给企业造成了巨大压力:超过37%的安全人士每月需面对高达上万条报警,而其中52%是让人虚惊一场的假报警。想依靠人工发现和判断所有的异常行为,几乎是不太可能完成的任务。
物联网安全与DDoS攻击
物联网的安全话题将是RSA讨论的重要内容之一。此前的多届RSA大会也对IoT威胁有所探讨,但主要是在理论层面,去年那场全球轰动的DDoS攻击将物联网的威胁变成现实。
与经常占据媒体头栏的数据泄露事件相比,DDoS攻击虽然一直也在困扰着企业,但更多被视为小麻烦而不是主要威胁,直到2016年10月美国爆发了史无前例的DDoS攻击:峰值流量超过1TB,导致美国东部大面积断网。这次DDoS攻击比以往都更受关注,原因是发起攻击的Mirai僵尸网络特性。预计一些安全厂商将发布应对DDoS攻击的新产品,但此次攻击让业界更担心物联网(IoT)的安全性问题。
僵尸网络通常会劫持计算机发起攻击,但Mirai僵尸网络利用的是连接物联网的智能设备,比如监控摄像头、数字视频录像机。也就是说,多年来一直负责维护计算机和移动计算设备安全的IT安全人员,现在要担心下次的安全威胁可能来自空调监视器、电梯甚至智能牙刷。
越来越多的机构在部署物联网设备,这给僵尸网络提供了更大机会。作为唯一一家参与协同处置美国断网事件的中国机构,360发布的数据显示,全球范围内实际受感染的设备IP数量超过60万个。
在这种背景下,预计很多RSA与会者都希望了解如何应对智能设备的安全威胁。在针对关键基础设施的下一个创纪录DDoS攻击之前,希望安全业界能做好应对准备。
从SIEM到安全运营与分析平台架构
随着安全的重点从防护转向检测与响应,传统的日志管理与事件关联产品已无法适应安全需求。需要采用人工智能、机器学习算法进行实时的数据处理和分析。企业安全的运营与分析需求将推动整合:以SIEM产品为核心,整合成ESG集团所称的安全运营与分析平台架构(SOAPA)。
过去安全分析和运营主要是基于日志和事件等数据,现在来自终端、网络、威胁情报和恶意软件的应用、数据库、网络和系统日志数据也被补充进来。
安全专家认为,安全运营与分析平台架构(SOAPA)将包括SIEM、终端检测与响应、事件响应、网络安全分析、机器学习算法和威胁情报、沙箱在内的综合性平台,以便安全分析人员能够采用不同工具,进行实时的数据挖掘和威胁处置。
目前国际领先的安全公司都朝这一方向发展,比如IBM收购了Resilient Systems,以获取事件响应平台功能;Splunk收购Caspida以获得机器学习算法。国内的360企业安全也在2016年发布了名为新一代态势感知及安全运营平台(NGSOC)的创新产品,将EDR、威胁情报、安全分析、沙箱等功能集成到SOC中,大大提升了政企用户发现和处置安全威胁的能力。
下一大终端套件
去年的RSA大会 重点关注了被称为下一大终端安全的新品类。安全市场中的关注焦点开始转移到终端防护,从而推动孕育了一大批新的安全初创公司。
研究机构 ESG在2016的研究发现,很多安全厂商发布了具有高级防护、检测与响应功能的终端安全新产品。其中,国内企业安全领军企业360也发布了包括EDR功能的终端安全防护系统。安全专家预计,今年将会看到新一代终端安全的逐渐成熟和不断整合,终端安全不再是独立的安全领域,安全厂商将会发布针对网络安全和安全运营的开放API、生态伙伴和应有场景。
特朗普效应
RSA 大会过去一直都不乏争议话题,安全人士认为今年也可能会关注另一个争议话题。RSA 大会内容经理Glade 认为,网络安全的话题从没像现在这样如此受到关注。美国总统选举遭遇俄罗斯黑客攻击,让社会主流对国家网络攻击有所了解或者说至少进行了讨论。目前美国新政府的网络安全政策,及其对安全产业乃至更大商业环境的影响仍有很多未知,这将引发与会安全人士将会进行热烈的讨论。
一些科技企业、机构和会议最近纷纷反对特朗普总统有关禁止中东七国穆斯林进入美国的行政命令,其中微软、谷歌和英特尔在内的公司还提交反对这一行政命令的法律文件。RSA大会声称没有受到这一行政命令的影响。美国国土安全委员会主席麦考尔(McCaul)将在大会发布主题演讲,他被报道推动了这一行政命令的发布,预计他对这一行政命令的支持,将会受到与会者的批评。
安全创新无界限
本届大会的主题是“Power of Opportunity”,再次强调安全创新的意义:在传统安全模式渐趋乏力之际,已经没有任何安全创新的界限。正是对创新的重视,除了每年的创新沙盒,10家安全创新企业将角逐“RSAC 2017最具创新安全初创企业大奖。
今年的RSA大会还特设了“RSAC初创企业展”,40家来自美国、以色列等国的初创安全企业在此展示其应对安全挑战的新思路。
在安全产业正在经历颠覆式创新之际,新的进入者或许能带来应对安全挑战的新思路。