RSA2020大会是新冠肺炎疫情阴影下,一季度硕果仅存的网络安全大会,但是截至本文发稿,出于对新冠病毒的担心,陆续有企业宣布退出会议。上周五RSA官方宣布Verizon Communications Inc和AT&T网络安全将不参加此次会议,撤出的公司总数已达到14家。其中包括六家中国大陆公司、七家美国公司(包括IBM)和一家加拿大公司。截至发稿,国内原定参会的企业中,只有奇安信硕果仅存。
鉴于新冠病毒传播的“全球化失控”和美国CDC的警告升级,新冠病毒正在从Known Unknown的可控威胁变成Unknown Known的失控威胁,没有什么比远程参会更加高效和安全的事情了。
2020年RSA会议参会人数将达4.5万人,内容包括数百场演讲和50多个主题演讲,由于演讲和讲座场次频密,现场参会很容易顾此失彼。以下,安全牛整理了RSAC2020大会的主要热点和看点,帮助大家更有效率地“远程参会”。
以下是本文的主要内容目录:
- RSAC2020十大关键热词
- RSAC2020十大热门话题
- RSAC2020十大新兴威胁
- RSAC2020最值得关注的主题演讲
- RSAC2020创新沙盒十强创业公司
- 会议日程与相关资料
RSA2020十大关键热词
每年都会有RSA大会的热词统计,帮助大家快速锁定热门趋势,但是这种粗范的词频统计并不能反应真正的热点和要点(甲方关注度和资本关注度)。
根据ESG最新的网络安全投资报告,2020年安全投资的四个重点领域是:基于AI/ML的威胁检测和人工智能网络安全技术、数据安全、网络安全和云应用程序安全,而2020年RSA大会的TOP5热词是云安全、数据安全、网络安全、新兴威胁和威胁情报。
以下是安全牛根据RSA2020热门关键词发起的“牛调研”的甲方读者为主的投票结果(横轴为牛调研积分、纵轴为ESG投资者报告积分、椭圆面积对应RSA2020词频积分):
RSA2020的十大热门话题
今年RSA2020大会的主题是“人的因素”(Human Element),相较于往年较为笼统的主题(2019年的“更好”和2018年的“重在当下”),今年的主题回归了技术之外的人员、流程和管理,尤其是网络安全的阿喀琉斯之踵:人的脆弱性。
此外,安全产品开发、IT/OT融合、流程安全/开发运维安全(DevSecOps)、威胁情报共享、隐私与合规、安全意识培训、安全人才等也是RSA2020官方趋势报告(报告下载链接:
https://www.sc.pages03.net/lp/29125/345746/RSA-Conference-US2020-Trends_2.pdf)中推荐的十大热门话题,具体如下:
1. 人的因素
众多针对“数据、威胁、风险、隐私、管理和团队”的内容涉及安全方面的人为因素。
2. 安全产品的设计,开发和维护
由于收到大量的参会者提交的相关议题和信息,本届RSA大会首次增加了专门针对产品安全和开源工具的专题,这表明业界“比以往任何时候都更专注于安全产品开发的技术文章”,涉及的产品主题包括:用户界面设计、针对隐私、安全运营中心(SOC)和人工智能。
3. IT和OT安全的融合
IT和运营技术融合的挑战之一是它们来自“两种截然不同的文化和供应链”,因此,二者成功协作的前提是:进行认真的文化变革。
4. 流程安全
随着越来越多的企业采用DevSecOps,提交的内容侧重于不断增长的要求,这些要求不仅包括风险管理,而且还涉及开发过程中的治理流程。
5. 合规与隐私
欧盟的《通用数据保护条例》以及2020年各个已经或者即将颁布的大量隐私相关法律法规,促使隐私成为安全业界的主流话题,并且相关的业务讨论也在不断成熟。“在过去,隐私曾经是'良好企业公民意识'的宣传噱头,但如今,了解用户意图已经成为企业的核心业务和竞争力,因此,隐私问题不仅仅与合规有关,同时也将成为企业提升业务差异化竞争力和用户体验的关键问题。”
正如安全牛此前报道过的GDPR对于在线广告业的影响,一开始大家关注的是业务大幅萎缩,如今大家开始关注GDPR对在线广告业的积极影响和潜在机遇。
6. 威胁情报和共享
威胁情报是RSA2020大会上关注度排名上升最快的领域之一,威胁情报,依然是良好的“网络防御”的基石。今年大家对情报共享的关注升温,与情报分享框架和机制的成熟有关。今年随着大家对欺诈和身份管理的重视,用户行为分析领域提交的文章和议题明显增加。而在“人的因素”方面,广大参展厂商普遍认为在推动威胁情报分享的同时,安全团队的持续学习也至关重要。
参会企业关注的另外一个威胁情报话题是攻击的智能化。例如与美国大选相关的社工攻击中出现大规模自动化和智能化的迹象。自动化和智能化必将渗透到企业的每一个流程,同样,自动化和智能化也将成为威胁情报(分享)的一个趋势,如何平衡自动化和人员,如何规避机器的原罪,找到最佳实践,这些都是本次RSA2020大会威胁情报分享技术文章中占比较高的内容。
今年RSA2020参展企业中,很多都推出了兼容MISP的威胁情报产品,因此我们建议相关安全人士可持续跟踪MISP的发展和应用。
安全牛特约Anchain.AI创始人为我们带来彭博社赞助的勒索软件与暗网情报专场报道。
7. 四大热门框架
今年RSA大会框架依然是热门话题,MITER ATT&CK框架、NIST网络安全框架、竞争性安全文化框架(CSCF)和信息风险因素分析(FAIR)框架这四大框架收到的提交内容最多,这表明企业热衷于通过框架来不断完善风险管理流程,此外英特尔还将在大会上介绍其英特尔智能威胁“LEAD”框架。
8. 安全意识和培训亟待变革
在“人的因素”这个大会总主题的感召下,安全意识和培训的关注热度持续上升,同时传递出这样一个讯息——该领域正在酝酿一次重大变革。
本次RSA大会与安全意识有关的大会议题和演讲很多,覆盖领域也空前完善,从安全意识相关的道德伦理,到工作场所的压力和心理健康(特别是安全从业人员)。其中“Cyber Range”(一种用于进攻性安全培训的虚拟环境)很热门,有关人员可持续性的问题也很热门。
9. 沟通
今年大会收到大量内容都与高效安全沟通有关。所谓安全沟通,就是安全部门或安全主管(CSO/CISO)与业务部门和企业管理层,乃至整个供应链上的企业之间,就安全问题、安全价值和安全行动的沟通。今年的与“沟通”相关的内容异常丰富,包括安全团队如何创建董事会能看懂的安全仪表盘和安全指标,如何准备一次成功的安全演讲,以及如何帮助企业不同部门“对话”增进需求理解并高效协作。作为沟通的一个热门趋势,“紫色团队”(混合进攻和防御人才)通过组合互补技能的团体,能更有效地提升企业的安全能力。
10. 网络安全人才发展
“如何聘用,培训,保留和激励人才”仍然是新兴的网络安全行业的主要关注点。过去大家的关注点主要是“人才荒”,但安全行业人才的“水土流失”问题却往往被忽视了。除此之外,安全市场热点轮换如此之快,本就紧缺的安全人才资源更是捉襟见肘,如何让现有员工快速学习新技能,如何突破传统的性别、种族、年龄、专业局限,在更广泛的范围内搜索多样化人才也是一个重要话题。
安全牛在《信息安全领域最酷职业TOP20》中曾经做过安全行业职业满意度调查,对广大安全企业打造更具吸引力的网络安全文化有一定参考价值:
除以上官方推荐的热点话题外,本次大会的热点还包括:量子计算、混沌工程、漏洞赏金等,对于提前进入全民远程办公时代的中国企业来说,本次RSA2020大会还需要关注的热点包括云安全、端点安全与零信任技术架构:智能单点登录,身份验证和访问管理等。
十大新兴威胁与技术热点
1. 深度伪造攻击
人工智能深度伪造视频和录音已经不再是人工智能学者才会感兴趣的“实验性话题”。如今,随着开源工具的发布,深度伪造攻击的技术门槛已经降低,任何人都可以下载软件来制造深度伪造内容,从而为恶意活动提供了许多可能性。政治家可能会在大选前伪造发表丢票的评论。伪造的高级管理人员录音可以命令会计部门将资金转入罪犯的银行帐户。新型的“跟踪软件”(一种间谍软件)可以跟踪受害者的智能手机数据,以描绘受害者的活动情况。这可用于创建伪造的视频,录音或书面通知。安全行业仍在努力应对这种新威胁。
2. 智能手机监视攻击
随着银行应用程序和非接触式支付方式的日益普及,智能手机已成为金融交易的枢纽,这刺激了移动监控攻击的增长。该攻击将跟踪软件安装到手机上,以监控人们使用智能手机的行为。这会导致企业电子邮件欺诈,以及企业电子邮件泄露。攻击者对受害者的活动了解得越多,就越容易向他们发送欺骗性电子邮件,诱使他们下载包含恶意代码的文件。用户需要更加了解移动监控攻击的危害以及应对措施。
3. 赎金风暴,勒索软件变得越来越复杂
我们看到了许多关于勒索软件的演变以及攻击者之间的勒索的信息,这些攻击者正在寻找巧妙的方法来逃避检测功能,而防御者则在寻找新的方法来阻止它们。犯罪分子没有随机加密他们可以加密的任何数据,而是针对高价值的业务数据进行加密并持有赎金。
安全牛特别推荐关注这个与RSA2020同期同地举行的Graph The Planet对抗网络犯罪的硬核专业技术会议,包括FireEye、Sophos以及硅谷区块链安全明星创业公司AnChain.AI的创始人Victor Fang都将在会议现场分享威胁情报皇冠上的明珠,图谱分析、勒索软件对抗技术。
会议时间地点:Feb 27, 8:30 AM
Bloomberg Tech,
140 New Montgomery Street, San Francisco, CA, USA
官网:graphtheplanet.com
作为近年来的最受关注的威胁之一——勒索软件,安全牛将与硅谷领先的区块链安全公司Anchain.AI共同推出《赎金风暴:2020年勒索软件高级防御指南与暗网情报报告》感兴趣的读者可以致信report@aqniu.com垂询或预订报告。
4. 供应链攻击正在上升
供应链攻击具备类似“新冠病毒”的辐射和“传染”能力,攻击者可以从供应链的一个据点出发攻击整个供应链上的企业,因此供应链攻击正在成为全球企业面临的最为严峻安全威胁。根据CrowdsStrike的调查,全球1300家受访企业有90%都没有对供应链攻击做好准备。
2019年,一家英国知名公司因供应链攻击而被罚款创纪录的2.41亿美元。攻击者是代号Magecart的威胁组织,其他大公司也遭受了类似的攻击。2020年,与勒索软件、企业邮件攻击、社工攻击、流氓代码相关的供应链攻击活动会更加猖獗,给企业带来更大损失。
5. DevOps加快了软件开发速度,但增加了安全风险
DevOps与传统的软件开发形成了鲜明的对比,传统的软件开发具有整体性,速度慢,经过无休止的测试并且易于验证。相反,DevOps是快速的,并且需要许多小的,迭代式的更改。但这增加了复杂性,并带来了一系列新的安全问题。借助DevOps,可以放大现有安全漏洞,并以新的方式表现出来。软件创建的高速度可能意味着开发人员无法发现新的漏洞。解决方案是从一开始就将安全监控内置到DevOps流程中。这需要CISO与DevOps团队之间的合作与信任。
6. 仿真和诱饵环境的可信度
大型企业正在寻求创建“仿真环境”以追踪未知威胁。这些模仿可信的服务器和网站能吸引不良行为者,以观察其行为并收集有关其方法的数据。蜜罐等诱饵类产品面临的挑战是如何创建一个足以以假乱真的,让攻击者“深信服”的服务器或网站的“高仿”环境。
7. 云事件响应需要内部安全团队掌握新的工具和技能
企业已经习惯于在自己的内部网络上处理网络安全事件。但是,当他们的数据存储在云中时,安全团队可能会遇到困难。他们没有对安全数据的完全访问权限,因为这是由云提供商控制的。因此,他们可能难以区分日常计算事件和安全事件。现有的事件响应团队需要新的技能和工具来对云数据进行取证。业务领导者应当对安全团队提出挑战,确认他们是否准备好并且有能力管理和响应云中的安全攻击。
8. 人工智能和机器学习的阴暗面
RSA2020大会收到了海量的关于AI和ML的论文。攻击者正在研究网络安全团队如何使用机器学习技术进行安全防御,以便开发和部署新的TTP。攻击者正在网罗AI专家试图欺骗图像识别系统(例如对抗性样本),这需要了解系统的ML引擎如何工作,然后找出有效地欺骗它并打破数学模型的方法。同样,攻击者正在使用类似的技术来欺骗网络安全中使用的ML模型。AI和ML也被用来制造更多的深度伪造内容。攻击者还会收集和处理大量数据,试图全面了解受害者,以便更有效地实施深度伪造攻击或欺诈。
9. 硬件和固件攻击重回视野
人们越来越关注诸如Spectre和Meltdown之类的硬件漏洞。这些是2018年发现的一系列漏洞的一部分,该漏洞几乎影响了过去20年中制造的每个计算机芯片。虽然该领域尚未发生严重的攻击,但是安全专家预测,如果黑客能够利用硬件和固件中的此类弱点,后果不堪设想。
10. 高管个人安全
能够在个人设备上访问最敏感的公司数据的高级管理人员无疑属于网络安全的“高危人群”,但这些高危人群的安全卫生习惯却不容乐观。随着钓鲸攻击、鱼叉式钓鱼攻击、移动设备监控攻击以及深度伪造等新兴威胁的日益猖獗,安全团队如何确保高管个人安全?
RSA 2020 热门主题演讲与研讨专题分类
RSAC 2020上总共有23个内容主题(Track),今年新开设了开源安全工具和产品安全性的两条全新内容线。
RSA会议的主要内容和演讲基本上都分布在2月25日至2月28日之间。2月23日-24日主要会议内容是为期2天的CISM、CISSP、CCSK等认证培训,值得留意的是23日有一个安全写作演讲,针对网络安全行业文案工作的人才和技能短板。
2月24日,来自产业、政府和学术界的专家的全天活动主题是“新兴威胁”。温迪·惠特莫尔(Wendi Whitmore)将与纽约警察局的古斯塔沃·罗德里格斯(Gustavo Rodriguez),《纽约时报》的妮可·佩罗罗斯(Nicole Perlroth)和洛杉矶市副市长杰夫·戈雷尔(Jeff Gorell)讨论城市的网络就绪。
24日下午是年度RSAC创新沙盒比赛。十家初创公司每个人都有三分钟的展示时间,向风险投资小组推介自己的创新技术。今年入围创新沙盒的十家创业公司介绍和点评见本期公众号的二条。
(注:本文会议时间均为美国东部当地时间)
为了方便读者检索和筛选,我们将大会期间热门演讲按照主题重新分组如下:
1. 人的因素
人的因素既是本届RSA会议的正式主题,同时也是一个独立的专题。每个人都可以在这里找到相关的会议内容。主要关注议题是人、安全性和隐私之间的联系。
一些角度新颖的议题如下:
- 使用黑客角色构建您的DevSecOps管道:2月25日11:00-11:50
- 社会黑客(Hacking Society):2月27日 9:20-10:10
- CISO和Infosec Pro的个人责任:2月27日 8:00-8:50
- “设计中的隐私”课程:2月27日 9:20-10:10
- Psybersecurity:网络攻击对心理健康的影响:2月28日 11:10-12:00
技术不能解决所有问题,为了将安全性扩展到您的业务结构中,您需要做的不仅仅是对人员进行投资,还包括对心理问题的关注:
- 对网络安全的恐惧与厌恶:对恐惧心理的分析:2月25日 11:00-11:50
- 网络安全运营如何缓解压力:2月27日 2:50-3:40
- 如何组织一个成功的安全意识培训项目:2月27日 9:20am-11:20am
- 值得关注的CISO研讨会:用人工智能提升人的战斗力
2. 新兴威胁与攻击技术
- 2020网络犯罪趋势预测(包括加密币辩论):2月25日 1:00pm-1:50pm
- 5种最危险的新攻击技术及其应对方法:2月27日 4:25pm-5:10pm
- 阻止物联网僵尸网络,动态分析是答案吗?:2月27日 1:30pm-2:20pm
- 无服务攻击矢量:1:30pm-2:20pm
- 用Kill Chain瓦解BEC商业邮件攻击:2月27日 1:30pm-2:20pm
- 如何从勒索软件攻击中快速恢复:2月27日 12:40pm-1:00pm
- 多维度攻击防御:威胁的进化:2月27日 9:20am-10:10am
- AI威胁如何影响2020年总统大选结果:2月26日 8:00am-8:50am
- 医疗设备安全的真相:FDA计划成立医疗网络安全分析委员会:2月26日 8:00am-8:50am
- 工控系统安全威胁全景:2019年回顾:2月27日
安全牛点评:
“工控系统安全威胁全景:2019年回顾”主要围绕Dragos年度工控系统安全报告,回顾过去一年中工控安全领域涌现的大量新漏洞和攻击技术,以及事件响应案例中的经验教训。虽然讨论的是技术话题,但是对听众的技术背景要求不高,任何安全领域的专业人士都可参与。
3. 机器学习和人工智能
机器学习和人工智能安全技术是RSA2020提交论文最多的主题之一,内容覆盖范围很广,包括AI增强安全和对抗AI攻击两大方面,同时也涉及相关的道德伦理和偏见问题。
以下是一些值得关注的AI安全演讲:
- 融合攻击面的机器学习和风险量化:2月25日 3:40pm-4:30pm
- 机器学习和人工智能:数字身份的机遇还是军备竞赛:2月25日 3:40pm-4:30pm
- 算法实用伦理学:2月26日 2:50-3:40
- 夏洛克·福尔摩斯之谜:人工智能驱动的行为取证:2月26日 2:50-3:40
- 超越对抗性AI —对真实AI系统的真实威胁和攻击示例:2月27日 2:50-3:40
- 令人沮丧的偏见:为什么数字身份行业需要多样性:2月28日 8:30-9:20
4. 零信任
- 零信任提高网络弹性的六个实用步骤:2月25日 1:00pm-1:30pm
- 零信任:安全大厦的基石:2月27日 2:00pm-2.30pm
- 现实世界的零信任:2月27日 9:20am-10:10am
5. 密码专家小组
预测看点:抗量子加密
RSA会议每年都会以加密专家小组作为开幕日的重头戏。今年Ronald Rivest和Adi Shami(RSAC中的“ R”和“ S”)以及加密专家Whitfield Diffie和Tal Rabin都是小组成员。
有趣的是,年度密码专家小组没有预先设定和公示的官方话题,更像是高能朋友圈内部的私密的,未经审查的辩论。两年前RSAC 2018上,密码学家对区块链炒作进行了批判性研究,2019年年该小组Review了隐私法规,今年的话题依然是个谜团,但安全牛猜测会与量子加密/抗量子计算或者人工智能有关。
2月25日 9:15-12:00
相关演讲:
- 永无休止的加密战争:2月27日 1:30pm-2.20pm
- 动画图解后量子加密:2月27日 9:20am-10:10am
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】