RSA Conference 2017已经打破了记录。今年我们的常规会议收到的提交数量比以往任何一次都要多,我们获得了比之前的最高纪录还要多出将近500个提交。它们不是由僵尸物联网设备或者人工智能机器人提交的——而是来自活生生的、会呼吸的人类专家,他们渴望与安全社区分享自己的经验。我们由活生生的、会呼吸的人类组成的Program Committee肩负着审查所有提交的任务,让今年的RSA会议成为最好的一届盛会。
作为传统,我们将使用您的提交获得观察安全行业“灵魂的窗口”,所以这里是我们了解到的我们大家的灵魂:
1.物联网。物联网黑客已经引发了高度的关注,即使我86岁的邻居可以谈论他们。我是说真的。今年的提交表明,在承认物联网、过度捆绑的物品、以及我们缺乏关于到底发生了什么事情的知识带来的风险方面,大家的成熟程度大为提高了。我们现在正在分析物联网攻击可能造成的附带损害。一系列的问题——从设备如何连接到互联网到它们如何被生产制造出来——都导致了越来越多的担忧和具体的、可证明的例子表明攻击者能够如何利用不安全的连接设备。我们还在努力解决法律、政策和法规在这个新的、以物为主的世界中如何发展的问题。事实上,我们看到了以物联网为中心的分析的兴起,我们推动其进入了跟踪层面,引入了新的移动和物联网(Mobile & IoT Security)安全跟踪。
2.Ransomware(勒索软件)。我们今年已经受到了勒索软件提交的DDoS攻击——它们不仅仅是技术性的。甚至APT也没有这么迅速地扎根。勒索软件的真实体验震撼了世界,引发了我们行业各个角落——技术、政策、法律、业务经理和高管的热烈讨论。董事会甚至参与了行动。是因为我们对APT的集体经验,让我们能够更好地快速分享和讨论勒索软件吗?嗯。也许是这样吧!我们有一个强大的、全面的勒索软件提交,我们决定在周一用一整天的时间进行以Ransomware为专题的研讨会,将探讨其在技术、政策、合规性和财务等多个方面的影响。会议将讨论创新研究、现有案例研究,探索如何打击勒索软件,以及辩论你是否应该——以及何时——支付赎金。
3.框架和流程:老树新花。许多提交试图反思已经多年来支撑我们开展业务的机制和流程——ATM机、大型机、飞机与塔台的通信等等。它读起来像古老圣诞节鬼魂故事的重复,一个不重视安全的人从一开始就注定会成为受害者。我们认识到,在这个连接和数字化时代,我们必须从安全的角度重新审视一切。(投入“范式转换”,你让自己有望成为今年的流行词奖的候选人)。我们正在审视我们多年来做的事情以了解风险,我们正在努力开发一个共同的词汇表;过去我们彼此谈论的一些恐惧成了我们的挑战,而另一些人担心营销人员对某些术语的过度使用实际上搅混了水。我们的提交者们并没有漏掉DevOps在这里的机会及其对应用程序安全性的影响,令人兴奋的是,有更多的最终用户组织分享他们的经验,推动着这个市场走向成熟。因此,今年的Application Security DevOps(应用程序安全DevOps)跟踪是非常强大的。
4.再也不要经历的地狱般的疯狂!去年,我们评论了INAMOIBW(“这不是一个是与否的问题,而是一个什么时间的问题”),这让我们痛不欲生,我们悲伤但耐心地等待着转机。今年我们正在反击,不过我们当然并不天真。我们有我们的“拳击手套”,我们派出了我们的猎人,我们积极地欺骗(更多内容请参看第八条)。我们中的一些人似乎乐在其中。预言似乎要被预防取代,或至少被放在和预防同等的地位上,预防是我们面对威胁应该做的工作。此外,许多传统上不被允许对某些主题公开发表意见的最终用户组织提交了论述——今年这种情况远胜于以往。这显示了一个转变,这种转变对于我们的行业来说是非常健康的。
5.情报共享。我们已经从讨论“信息共享”转向讨论“情报共享”,这显示了共享的价值观的成熟。我们似乎还确定并启动了重点群体——ISAOs、ISAC、CERT,Sector Coordinating Councils等,它们在全力应对标准和框架,触发必要的法律和隐私对话并导致对于什么最有效的健康分析。我们在这里的工作处于由行业、地理或监管驱动因素定义的成熟度曲线的不同阶段,而我们似乎正在经历成长的痛苦。这里的机会很清晰,而且需求也很急迫,所以我们正在发起一个新的星期一专题研讨会:实用情报共享:ISAC和ISAOs(Practical Intelligence Sharing: ISACs and ISAOs)。我们还为ISAC和ISAO提供会议空间,这是我们在安全行业内对网络和社区建设的承诺的一部分。
6.GDPR(一般数据保护条例,General Data Protection Regulation)。我们甚至还需要把这个缩写完全拼出来吗?从来没有一个法规如此迅速地出现在我们对提交标题的词云分析之中。甚至PCI也没有如此之快地做到这一点。GDPR是机会还是CISO、法律顾问和安全专业人员的诅咒?提交认为兼而有之。作为一个行业,我们也对云供应商在解决合规性方面问题的角色(和责任!)很感兴趣。这项法规的巨大财务影响需要彻底的响应,我们看到整个行业在快速行动,这将通过几个不同的会议反映在我们的议程之中。
7.人工智能。去年我们害怕机器,但今年听起来像是我们人类要去度假了。我们会在脑海里想象着机器人瓦力(译注:卡通片《机器人总动员》中的机器人)在跑来跑去——好吧,也许“跑”这个字用的不对——应该是幸福地“滚来滚去”。今年,我们正在试图定义“人类”的角色。寻找人类元素的轨迹,结果探索出了一些非常不同的概念,并且看到了一些关于分析、智能和响应以及黑客和威胁的报道。AI可能在几年内有所发展,但我们仍然非常分裂,不确定如何才能最好地接受和应用机器学习、自动化和人工智能——以及我们究竟是未来的主人还是仆人。
8.欺骗——以及军事术语的崛起。今年,我们注意到在围绕欺骗技术的讨论中的一个显著的成熟迹象,具体的术语(我们是否找到了另一个流行语?)在围绕进攻性对策和狩猎的提交中大量出现。在我们探讨不同类型欺骗如何以不同的方式参与和阻止攻击者的时候,蜜罐不再被提及了。现在我们收到了大量提到叛乱和反叛军事理论的提交。杀戮链和深度防御是我们的词汇表的一部分,军事术语持续蔓延。我们使用它,我们甚至不知道。(如果我们在这里玩流行语游戏,“Crown Jewels(皇冠珠宝)”是2017年提交奖的另一个竞争者。)
9.区块链。另一个尴尬的时刻。比特币在2009年爆发进入开放源代码阶段,引发了无论是好人还是坏人的巨大关注。然后兴趣消失了。在2014年,我们得到的提交中总共只有两份提到了它。我们甚至似乎已经失去了知道谁是中本聪的兴趣。快进到我们的2017年提交,区块链正在蓬勃发展。超越金融用途的各种应用程序和技术是非常引人瞩目并令人兴奋的。它打开了身份和数字交互认证的大门,这被用于忠诚度计划和付款,是的,甚至还可以被用于物联网。美国政府和很多全球性公司向那些专注于使用区块链技术解决安全和隐私问题的公司提供资助,以解决包括医疗记录盗窃和欺诈以及其他问题。我们可能在这里穿过了峡谷。
10.不确定性。这真的是今年许多趋势的软肋。我们不记得在我们审查的提交中,曾经出现现在这样年复一年的问题。这在词云中有证明,其中出现了许多新词,通常可能是消失并/或者萎缩了,表达了完全不同的观点。我们的行业内有着巨大的不确定性,围绕着我们的行业也有不确定性。由于尖锐的社会问题在我们的安全世界中发挥着更大的作用,网络在世界如何运作方面发挥了更大的作用。这是我们职业的一个令人兴奋的时刻,但是,引用蜘蛛人和伏尔泰的话——-力量越大责任也越大。我们是否完成了自己的任务?
很难将超过2,200份提交归纳成少数几个趋势。 除此之外,我们还看到了有关智能武器化、自然语言处理(NLP)算法、网络保险、KMIP、5G、以及更多来自来自小企业和教育机构的有趣论述,以及当然会有的关于选举的话题。 我们多次听到了“文化基因状态”(为了防止您还不知道这个词,在这里说一下,“文化基因(meme)”一词在2015年被添加进入字典,与表情符号同年)。 而时间旅行——是的,就是时间旅行——甚至让我们的提交页面“蓬荜生辉”。
看到我们社区的活力和谨慎,以及我们越来越愿意分享和学习的意愿,这真的是太棒了。 我们期待着一个令人惊叹的RSA Conference 2017,并欢迎您的参与。