RSA总裁Rohit Ghai在旧金山举行的RSA Conference大会上发表了开幕主题演讲,令人意外的是,他对这个备受困扰的网络安全行业持乐观态度。
Ghai表示:“网络安全状况正在有所好转,而不是变得越来越糟糕。”沉默了一下,他补充说:“我不是在开玩笑的!”
你大概会以为他会把去年一年发生的大规模数据泄露、俄罗斯选举美国大选、解决安全缺陷、以及全球范围内传播的病毒,等等这些事件变成营销的素材,但这次却并非如此。
相反,Ghai专注于他所谓的“一线希望”,其中包括安全行业对渐进式方法的认可,这种方法最终放弃了终极“银弹”来保护所有系统,而使用行为分析和网络可视化技术的新工具来更好地防御威胁。
Ghai向参会者表示:“我们的重点是每天都更加安全一点,而不是在某一天突然达到完美的状态。我们看到了卓越安全性的出现。”
在Ghai的发言之后是一系列演讲嘉宾上台,包括知名密码学家、RSA公司高管以及美国国土安全部负责人,后者对网络安全世界的看法却不那么乐观。Paul Kocher是一名独立安全研究员,他在去年发现Spectre微处理器安全漏洞的事件中扮演了关键角色,他说:“如果你在泰坦尼克号上,听到有乐队演奏,那么这就是所谓的一线希望。现在我们仍然处于一团糟的状态中。”
Spectre发现过程有缺陷
在周二的主题演讲中,多位业界重要人物谈到了网络安全业界必须要面对的持续威胁和漏洞所涉及的范围。正如Kocher在圆桌讨论中所说的那样,即使是处理发现硬件安全缺陷的过程,这方面也有改进的空间。
Spectre及其伴随的Meltdown漏洞,是两个影响过去20年计算机芯片制造的重大安全漏洞。Kocher和其他安全研究人员悄悄地向英特尔公司提供了他们发现的详细信息,希望让英特尔有时间在坏人利用这些漏洞之前将其修复。但后来被曝光了。
Kocher说:“如何禁止硬件漏洞是一件我们不知道该怎么做的事情,”他隐晦地补充了一个令人清醒的评论:“这种事情还会发生。”
科技公司加入其中
由于预计网络安全大战将会变得越来越严峻,因此有34家科技公司在本周二公布了“The Cybersecurity Tech Accord”,该协议承诺保护用户免受网络攻击,并阻止各国升级网络安全大战。Facebook和微软是该协议参与者之一,而苹果、Alphabet和亚马逊公司则观望,至少现在是这样。
微软总裁Brad Smith说:“去年发生的向我们敲响了警钟。今天我们的问题不是2018年会给我们带来什么,而是我们将在2018年发生什么。”
今年微软将做出的一个改变,是使用Linux来保护使用互联网的设备。本周一,微软宣布推出一款名为Azure Sphere的产品包,其中包含内置Linux的新芯片以实现安全性。
Smith在周二的发言中肯定了微软在Linux技术方面的历史。“有没有人想过来自微软的人会来这里说,我们将发布一个定制的Linux内核?”
美国国土安全部认为威胁前景暗淡
美国国土安全部部长Kirstjen Nielsen在主题演讲中呼应了其他人对安全形势的清醒评估。Nielsen说:“威胁前景变得更加暗淡了。我们面对的敌人比以前更大胆、更无耻、更狡猾了。我们一次又一次地遭受攻击。”
Nielsen拒绝对承诺将阻止各国网络大战的这份协议做出评论。关于美国在应对国家级黑客行为方面可能采取哪些行动,Nielsen也表现地比较含糊。
“我自己不会使用‘回击’这样的字眼,但我们的确在网络领域走了一些事情。企业方面也有所加强。”
尽管Ghai对网络安全领域的乐观看法并没有被他的同事广泛分享,但各种事件正在快速发生,响应速度也在加快。以色列密码学家、RSA算法共同发明人Adi Shamir在回应Ghai言论时开玩笑说:“他忘了说我们是前进还是后退。如果你想要一线希望,那就是要确保我们工作的安全。”