记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Evolution(进化): 谭晓生的RSAC 2016随笔

2016-03-08 02:35

作者:360副总裁谭晓生

RSA大会无疑是网络安全行业最重要的会议之一,是年度安全产品大检阅,喜欢特立独行的安全圈人士当然少不了拿RSA调侃,听到的一个调侃是:在会议举办期间,有人发Twitter问:“最近在旧金山有什么安全会议么?”,言下之意是说RSA商业色彩比较浓,不是一个纯粹的安全技术会议。也难怪,相对于IEEE S&P, ACM CCS, NDSS, USENIX Security这样的顶级安全学术会议,RSA大会的内容没有那么学术导向,相对于BlackHat、DefCon,RSA大会没有那么“攻防技术”导向,但每年的RSA大会无疑是网络安全行业对网络安全产品、理念,甚至是法规的大检阅和大讨论。

说来也巧,第一届RSA大会在1992年举办,那一年我大学刚毕业,25年时间,RSA大会在不断进步,今年的大会有超过40000人参会,超过500家厂商参展,超过700个主题演讲或专题报告,本次大会授予RSA大会前任主席Arthur Coviello终身成就奖,著名的“亚瑟王”已白发苍苍但依然活跃在网络安全圈,大会嘉宾不乏美国安全部、NSA、FBI、军队的高官,面对不断涌现的网络安全威胁,我们一方面承认过去的网络安全产品和理念在“失效”,但旺盛的需求无疑会带来网络安全行业新的春天。 

1.jpg

一、     大会规模创纪录

抛开大会主办方提供的数字不说,主观感觉也是大会参会人数在逐年增加,尤其是大会开幕第一天的Innovation Sandbox(创新沙盒)环节,四年前第一次参加的时候只摆了小几百张椅子,今年摆了上千张椅子,但座位增加的速度还是赶不上观众增加的速度,晚到了几分钟,会场座椅后面就已经站满了人。

国内前往参会的人数也是屡创新高,今年的“百度小龙虾游船大趴”有超过180人参加,超过主办方的预期,见到很多来自国内的新面孔。

二、     国内公司参展情况

除了绿盟、山石网科、安天等老牌参展厂商,360、猎豹、安恒等近几年参展的厂商外,微步(Threat Book)、花甲、盛邦(WebRay)首次参展并且有亮眼的表现。

国内厂商参展的目的各不相同,有的是真有国际市场推广需要,也有的参展是为了新闻出口转内销在国内宣传,参展的国际化对接方面绿盟做得最好,展台风格、展台互动设计与国际完全接轨,美国大叔站展台演讲,业务的国际化策略非常明确,看起来是走上正路了!安天是非常务实的一个企业,不太大的展台,但创始人“江海客”(肖新光)亲自站台与各方合作伙伴/潜在的合作伙伴洽谈,“病毒通缉令”扑克也已经成了安天的名片,海客在小龙虾大趴上趴在桌子上睡着了,看起来还是蛮令人心疼的,可以想象他在旧金山的时间是怎么安排的。

盛邦(WebRay)的展台有最多中国元素,京剧扮相的工作人员搬“门神”,吸引了不少眼球,但,我想问的是…….,老外知道门神是啥么?

华为的展台自不必说,大大的特展展位,众多的参会人员,国际大公司范儿。

总体来讲,大多数中国公司的布展水平与美国的同行相比还有挺大差距,虽然从最初的“展板看字儿”已经进化到了通过电视机、大屏幕做视频播放、界面展示,也有了金发碧眼的工作人员接待和发放礼品,但在互动性设计上还差很多,如果是要实实在在宣传自己的产品、实力,不仅仅是发发礼物就行的,期待明年的国内的参展商与观展人员有更多的“有效互动”。

三、     大会主题词

RSA大会的主题词历来很受关注,过去24年的历史证明了RSA大会对行业趋势的把握能力,最近四年大会的主题次分别是“大数据(Big Data)”、“Share,Learn,Secure(分享、学习、安全)”、“Change(改变)”、“Connect to Protect(通过连接来保护)”,用大数据方法做安全已经是不争的事实,我们也都认可安全行业需要改变并且正在改变,今年的“Connect to Protect”又要做怎样的解读呢?大会主席Amit Yoran在他的主题演讲中做了解读,但说的并不算太多,我想,回归互联网的本质,在这样一个人机互联、人人互联、机机互联的万物互联的时代,万物互联是一柄双刃剑,安全问题是由于万物互联变得更加突出和紧迫,而解决之道也恰恰在万物互联,网聚人的力量,网聚机器的力量,网聚安全的力量。威胁情报、安全众包是”Connect to Protect”的实践,我一直坚信Security As AService(安全即服务)是网络安全的出路,在看得到的将来,安全人才是稀缺的,安全知识是稀缺的、安全信息处理能力是稀缺的,把安全做成云服务,利用互联网整合资源(包括人和信息)的能力,才有可能提供用户支付得起的安全。

四、     参展产品

相对于前面3年,今年的RSA大会缺乏让人眼前一亮的产品,能感觉到产品同质化倾向,但产品的实用性在提升,以下是看参展产品的几点感受:

1、 从防护,到检测,再到响应

 “威胁情报(Threat Intelligence)”,“检测(Detection)”,“响应(Response)“自动化(Automation)”这些词是今年参展厂商介绍自己产品的时候的热词,“威胁情报”和“检测”在去年的RSA大会上已经是热词,今年新增了“响应”和“自动化”,今年创新沙盒十大创新产品评选的第一名是Phantom,是一个做安全响应自动化的产品。

过去很多年,安全产品关注的是“防护(Prevention)”,我们以“攻不破、拿不走、看不懂”做为目标,但面对天然就有缺陷的体系结构,安全性千疮百孔的系统、有各种弱点的人,我们总在经历各种“失陷(Breach)”,终于,我们不得不痛苦地承认,攻防不平衡,我们可能防不住,于是退而求其次,追求“检测(Detection)”,希望被攻破了尽可能早知道,但多长时间检测到攻击就是一个问题,过去对攻击的发现时间是以“小时、天、周、月”为单位来度量的,现在,希望这个检测时间缩短到“秒”,并且在检测到攻击后要及时做出动作来进行处置,“自动化(Automation)”就变成了不二的选择。

回想2010年我刚接手360的技术运维团队的时候,何尝不是面临类似的局面?10多个人运维1000多台服务器,支持公司数十个业务,而业务规模还在以每年数倍的速度在飞速增长,不走自动化运维的路完全无法满足业务要求,最终是运维自动化建设让我们走出了运维的噩梦。

相对于IT运维自动化,安全运维自动化难度更大,“误报”是一大难题,也会是检验一个安全运维自动化产品/服务是否可用的最重要的指标。

2、 终端安全强势回归

终端安全在前几年曾经有过一段低谷的时间,今年Carbon Black(就是之前的Bit9,改了品牌)、Cylance、CrowdStrike,甚至新兴的CounterTack都有不小的展台,360终端安全团队的负责人张聪有一篇文章讲述参会感受:RSA 2016:终端强势回归,检测响应兴起。终端安全的复兴,不是简单的回归,而是传统技术与新技术、传统理念与新理念在终端安全上的综合应用:既有基于代码静态分析的产品,也有基于应用程序行为分析的产品,既有机遇规则引擎的产品,也有基于大数据分析引擎的产品、有基于Hooking做行为检测的产品,也有基于虚拟执行、虚拟化来做行为检测的产品。

而EDR(Endpoint Detection & Response)则把终端防护与检测和响应挂接起来,实现“Connect to Protect”这个理念,据说Gartner将把EDR当做一个独立的产品品类。

3、 基于全量包捕的安全产品多起来

今年的创新沙盒中有一个产品叫ProjectWise,被360的同事戏称为”美国版天眼”,其思路与“360天眼”几乎一模一样:通过全量包捕把网络流量听下来,然后做大数据分析,寻找网络流量中的异常。360在这个方向上已经有3年多的探索,并且已经把包捕大数据与云端大数据结合,在2015年中有非常成功的应用。

4、 BYOD的衰落

BYOD是两年前RSA大会的热词,今年几乎绝迹,看到MobileIron的展台的时候还稍稍意外了一下,去年Gartner Symposium的时候曾经和Gartner的分析师讨论过为何BYOD没有热起来,Gartner分析师的观点是认为企业的应用目前还都是基于Messaging(消息)的,邮件、工作流这样的应用,BYOD对这类应用的安全性的提高不是很明显,但他依然看好企业移动应用安全性的保障这个方向,认为这个需求是客观存在的,只是产品的形态可能是另外的样子。

5、 IoT安全产品雷声大雨点小

IoT安全今年被提及也比较多,Keynote环节也有谈及,但参展厂商关于IoT安全的产品还比较少,在展商名单中搜“Internet of Things”这组关键词,能搜出70多家厂商,但多少都是和IoT沾点边,专门的产品和解决方案少。

6、 终于出现了专门的Wifi网络安全产品

Bastile是创新沙盒的Top 10产品之一,被我们称为“美国版天巡”,是一款对Wifi网络中的虚假AP、Wifi攻击进行检测的产品,360在2015年推出的“天巡”产品卡的就是这个定位,只是360天巡的能力更强,不仅仅具有攻击检测能力,还具备对非法节点的主动压制能力,能让非法AP无法工作,最近刚中标了南方某城市公共Wifi的安全防御项目。去年的RSA大会和BlackHat上看到有两款具有无线网络检测能力的产品,但其设计是有线网络与无线网络安全兼顾,因此无线网络方面特性并不是很强,专门针对Wifi安全的产品还是第一次见到,面对最容易被攻击的Wifi网络,相信这类的Wifi安全产品会有市场。

7、 Web云防护已经被广泛接受,现场砸盒子的游戏少有人关注

 去年ZScaler在RSA大会现场邀请观众上台“砸盒子”,大锤子、钢钎、棒球棒对着各种网络安全设备的“盒子”挥舞,曾经吸引了不少眼球,今年砸盒子的游戏依然在进行,但关心者明显少了很多,参展厂商中提供Web安全云服务的很多,Web安全云服务已经成了业界标准。

五、     再谈隐私-苹果与美国执法结构就用户数据解密之争

Apple与美国执法机构关于iPhone加密数据解密问题的争执是大会的一个讨论热点,思睿嘉德的创始人董靖写了一篇文章介绍这个话题: 回归初衷 – RSAC2016随笔之一

这个话题的讨论非常有美国特色,最终一定会上升到哲学高度来进行讨论,我相信这个讨论是非常有价值的,不管讨论的结果如何,都会对人们今后的生活产生重大影响。

六、     关于投资,好项目难找

会议期间和我做LP的一个基金的经理以及硅谷安全圈的几位大佬一起吃了顿饭,也和基金经理一起看了两个项目,总体感觉是好项目难找,不靠谱的项目满天飞,估值过高。找到靠谱的人,靠谱的项目,对VC是最大挑战,美国的投资退出机制与国内还是有比较大的不同,中间退出的机会相对较少。几位硅谷安全圈大佬自己搞的一支基金则坚守自己的原则: 只用自己的钱投资,只投认识的人。

七、     关于以色列的安全公司-不可小觑的力量

犹太人是网络安全行业中一支强大的力量,甚至有大佬说如果按族群来划分,犹太人是网络安全中势力最大的一支族群,最近3年的RSA大会期间接触过不少的以色列公司,印象非常深刻:大学教授与军队服务背景/商业公司背景的伙伴一同创办公司、积极的融资活动、覆盖从密码算法到大数据分析,从非法Wifi检测到DLP,从安全手机到网页脚本检测等各个细分的安全领域,从以色列的居民数来讲,产生这么多的网络安全创业公司令人敬佩,也值得我们反思和学习。

做为总结,2016年第25届RSA大会,达到了RSA大会的一个新顶峰,虽然参展产品缺乏耀眼新星,但大会对产品大方向判断很准确,社会热点捕捉(苹果iPhone解密事件、机器智能的安全问题)及时,大会演讲嘉宾够份量,观点够犀利,从参会人数与嘉宾规格可以看到整个社会对网络安全的重视程度到了相当高的程度。

国内网络安全企业,在几个技术与产品单点上已经很接近世界领先水平,但平均水平差距还是很大;安全公司的协作方面,与西方同行相比,基本还处在春秋战国时代;展会参展方面数量有了,但质量还有很大提升空间;国际化策略值得认真思考,360 Security与猎豹移动在个人产品的国际化上取得了一些成绩,但在企业安全产品与技术的国际化上,如果与以色列公司相比,我们还有很多事情需要做。

360RSA 2016专题报道

*作者:360安全卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/neopoints/98044.html

阅读:98709 | 评论:0 | 标签:安全管理 观点 RSAC 进化

想收藏或者和大家分享这篇好文章→复制链接地址

“Evolution(进化): 谭晓生的RSAC 2016随笔”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云