RSA 2019大会本周开幕,来自八家知名网络安全厂商的高官们谈到了他们期待在今年大会上看到的前沿趋势。
RSA 2019大会有哪些值得关注
在过去的27年中,RSA大会已经全球领先的企业和IT安全人士的一项盛事,有超过42000参会者聚集于此,讨论网络安全数据、创新和思想领导力方面的创新。
有超过600家企业聚集在美国旧金山Moscone中心,展示他们的新产品,还有超过550个分会场涵盖了从区块链、云安全、机器学习、到基础设施和运营等众多主题。
我们与来自八家知名网络安全厂商的高管坐下来谈了谈他们在今年大会上最关注的一些趋势。
来自国家层面对供应链的攻击
根据BitSight总裁兼CEO Tom Turner的说法,几乎最近所有对供应链造成的高调破坏都可以追溯到民族国家层面,而不是完全靠个人操作的黑客团体。
他说,从历史上来看,供应链风险管理是金融服务行业的一个领域,通常有已经成型的实践方法。但是现在很多黑客活动越来越多地是针对一个国家,而不是一个垂直行业,企业意识到他们的供应链或厂商网络往往是黑客最容易入侵的渠道。
Turner说,主权评级平台允许政府官员和国家安全机构更好地监控公共基础设施的风险。他表示,在民族国家层面上供应链的攻击,意味着各国需要更加注重保护他们的电力供应商、民用能力以及重要业务。
攻击者追随高价值目标
Sophos公司CPO Dan Schiappa表示,在过去的一年中,对于消费者和所有规模企业的大量威胁已经开始转变为更多手动的、复杂的攻击。Schiappa表示,威胁可以通过远程桌面协议进入当地医院,对环境进行重新调整、横向反弹攻击、然后发布赎金信息。
虽然对此已经有相应的防御措施,让以数量见长的攻击不再那么数量庞大,但Schiappa表示,对方仍然很容易找到有弱点的高价值目标,然后禁用备份,让受害者无法从备份中进行恢复。。
“很明显,他们正在大量研究勒索软件攻击被封锁的方式,并将这些研究融入到他们的攻击手段中,”Schiappa说。
SOAR将不再是孤立的
据Recorded Future战略和发展官Stu Solomon称,企业对SOAR(安全调度、自动化和响应)感到兴奋,这让他们能够在没有人工操作的情况下,解决收到的所有警报。
随着客户越来越期望厂商产品发出的警报是可操作的,Solomon表示,提供商们要么选择走Splunk和Palo Alto Networks的路线,也就是收购领先的SOAR独立厂商,要么就像Symantec或Exabeam那样,自行开发SOAR类型的功能,将其嵌入他们自己的工具中。
Solomon说,SOAR提供商越来越多地会表明,他们不是孤立运营的,可以附加并成为更广泛的生态系统的一部分。从定价的角度来看,Solomon认为SOAR提供商正在发展到一种对大型企业来说更有意义的费用模式上。
企业希望从现有安全工具中获得更多价值
据Fortinet CISO Phil Quade称,近十年来RSA强调的方法一直是采用同类好产品。但Quade表示,这种策略已经让业界陷入困境,企业现在希望能够整合产品,以便他们作为一个团队更好地展开合作。
Quade说,企业不再购买大量的安全产品,而是投入时间和精力确保生态系统中的核心产品能够很好地协同工作。Quade说,产品必须从设计一开始就能够很好地集成和协同工作,而且要从一开始就考虑到编排功能,而不能作为事后补救的措施附加进去。
云迁移带来可见性挑战
IBM安全部门威胁情报副总裁Caleb Barlow表示,随着工作负载迁移到云,每当用户增加工作负载的时候也必须考虑到安全性。但是,云并没有提供与传统内部部署环境相同的可见性,缺乏边界以及缺乏与在传统基础设施中对网络数据的访问。
Barlow表示,就在五年前,安全性还是迁移到云端最不重要的一件事,但随着云工作负载越来越多地被接受,这种情况也发生了变化。因此,厂商一直致力于将现有安全产品迁移到云端,以及构建云原生的安全产品。
由于云安全工具通常不在传统网络中,因此Barlow表示,对于企业组织来说,可见性通常仅限于应用和端点,此外企业组织还依赖于云厂商提供与辅助安全工具的连接。
CASB和数据保护提供商展开合作
Digital Guardian公司总裁Mo Rosen表示,CASB(云访问安全经纪人)和数据保护供应商正在通过标准API展开合作,提供更好的身份保护和欺诈检测。
Rosen表示,客户希望跨传统端点、混合云和公有云扩展端到端的保护和治理。Rosen说,企业组织已经在CASB、DLP(数据丢失防护)和下一代端点保护工具方面拥有大量现有投资,他们希望这些产品能够很好地相互配合。
Rosen说,那些检查自己产品中是否包含了每一项技术(包括数据安全)的平台厂商们,并没有提供和供应商一样高的安全保护措施。
企业想要弄清楚哪一款自动化、机器学习工具经得起考验
Fortinet创始人、董事长Ken Xie表示,手动应对威胁已经让人类不堪重负,这促使人们对自动化和机器学习工具给予了极大的关注。自动化和机器学习在某些垂直行业和某些应用中可以很好地运用,但Xie说,环境是不断变化的。
一旦威胁者弄清楚了机器是如何做出响应的,那么他们可能就会改变策略,这意味着企业组织必须同时让人类和机器都参与到这个过程中。
那些希望采用更多自动化和机器学习的企业,需要透过各种市场营销信息,看看这些工具在测试和评估中的实际表现如何。Xie表示,客户通常无法自己进行此类测试,因此行业需要有第三方代理来帮助测试这些工具的表现。
自动化让安全团队失去掌控
CyberArk渠道和联盟副总裁Scott Whitehouse表示,在基于代码的自动化世界中,新的对象和系统的创建,可以像往系统中输入一行新代码一样快。但他说,自动化带来的速度提升,使得安全团队很难让一切都在他们的掌控中。
他说,当这种情况发生蔓延的时候,需要大量的安全技术、知识和构建过程来解决。否则,安全团队很难发现所有问题。
随着新技术的开发和部署,运营的开发方面必须考虑安全性,Whitehouse表示,而这在当前是很匮乏的。如果在构建生命周期的时候把安全性也纳入能让事情变得简单一些,那么开发人员不太可能与安全专家的建议有太大冲突。
厂商逐渐不再把技术合作伙伴视为竞争威胁
Mimecast北美销售高级副总裁Dino DiMarino表示,技术厂商们希望更紧密地联合起来,缩小检测和全面响应之间的时间差距,更好地服务于客户,并使他们的技术更有用。
DiMarino表示,更紧密集成面临着一些技术障碍,因为内部部署平台是基于物理设备或者虚拟机堆栈的,在预设信息的速度方面存在挑战。DiMarino表示,人们倾向于更多地信任云,因为它与处理有价值信息是相关的。
DiMarino表示,安全厂商也在努力应对竞争优先级的问题,特别是如果他们希望将产品扩展到新技术领域的话。虽然供应商不愿意投入精力在那些明天可能会成为敌手的技术合作伙伴上,但DiMarino表示,合作伙伴关系是提升价值和为客户提供选择和灵活性的关键。
市场教育和专家的匮乏影响整个产业
虽然安全行业有很多人认为,对最终用户的市场教育是注定要失败的,但这是防止用户点击可能包含恶意软件的可疑超链接的最有效方式,Digital Guardian全球渠道销售副总裁Greg Cobb表示。
即使随着自动化程度的提高,MSP将继续面临行业内缺乏合格安全人员的挑战,Cobb说。企业仍然依赖安全专家来处理威胁情报、威胁搜索和实时响应、以及对基础设施安全组件的管理。