阿里安全资深技术专家铁花:从 RSA 看安全技术未来
雷锋网 (公众号:雷锋网) 注:以“Better”为主题的全球安全顶会 RSA 2019 近日正式落幕,这场在美国旧金山举行的“安全奥林匹克”吸引了 4 万多人参会,超过 600 家企业参展,还有超过 550 个分会场涵盖云安全、机器学习、区块链等众多技术主题。
阿里安全防控端负责人、资深技术专家铁花,2006 年入职阿里,历经淘宝、来往、阿里安全等技术团队,2008 年开始从事安全工作,是淘宝最早 SDL 的建立及实施人、淘宝第一代 web 安全解决方案的开发者、安全静态代码扫描平台的创建者。
阿里安全资深技术专家铁花
此次参展,他也带回了对安全技术的思考,本文由阿里安全投稿,全文如下——
今年的 RSA 基本围绕“三纵四横”,其中三纵包括.基础设施、基础开发框架和公众(包含以政府提出的监管);“四横”包括网络安全、数据安全、业务安全、新安全攻击面。
一、基础设施
从参展的厂商看,已有不少厂商开始基于云做自己的安全产品,其次有较多的厂商开始做以云厂商为基础的网络安全产品,从密钥管理、资产管理、全端网络安全防控产品、云安全架构到云 SIEM ,产品已经有了较为丰富的可选择项。
论坛有一个比较有意思的环节,有一个讲如何在云上做网络安全的论坛到快开始了门口仍然排了 3 排人在等待入场。从基础设施上来看云无疑已经成了众多业务方的第一选择,也使得市场上厂商也开始基于云做更合适的安全产品。
二、基础开发框架
随着 Serverless 的提出,以及 AWS Lambda 的推广,本次 RSA 大会中已经不止一个论坛 speaker 开始着重讲如何检测 serverless 类的接口,在 Lambda 的使用中需要注意哪些安全细节。不过在参展的厂商并未看到特别提到此类技术细节的产品,相对来说 sandbox 中倒是有一个针对 API 安全的产品 Salt Security 值得了解下。 未来如果 serverless 开发框架成为主流,不知道当前的安全厂商将如何应对,是市场份额被缩小,又或是被革命。
除了serverless,展商中展示最多的就是Google之前提出的 zero trust,在展台中已有不少基于 zero trust 的理念做的认证产品。
还有另外一个层面勉强也算新基础开发框架就是 AI 算法的使用,不管是论坛还是展商本次大会,都有大量 AI 使用,可见“网络安全+AI”已经到了较为普遍应用的程度。
三、公众(包含以政府提出的监管)
在网络安全这块,基本在本次大会上没有提及面对公众的解释及政府监管,虽然没有提及面对大众的感知,本届 RSA 大会却有几个论坛直接讨论如何评估网络安全的有效性,必要性其中也有提及了以业务风险的角度去衡量(虽然没有人直接讲具体某个业务安全怎么做)。
针对网络安全的难衡量性 MITRE 组织的 ATT&CK Framework 开始崭露头角,不仅有对应的论坛介绍如何使用还有厂商直接给出了基于ATT&CK做的全端网络安全防护产品。
四、数据安全
当下几乎所有公司都把数据当成了公司核心资产,基于数据做信息化、智能化都脱离不开数据其中也包含个人数据。从一个论坛了解到像谷歌竟有社会学家作为访问学者会去参与 AI 规则的制定以及对公众的沟通和技术的科普。可以说大部分社会上不了解硅谷技术的人以及政府,当涉及到个人信息以及 AI 时都会非常敏感甚至恐惧,尤其是政府甚至会在不是非常了解的情况下出台规章制度。这时在美国会有专门的社团去给大众进行知识科普,以求能让社会更容易接受先进技术。另一方面相关的公司都会和政府去解释及平衡规章制度。
五、业务安全
很遗憾整个展商及论坛并没有专门讲这块内容的。可能和定位或者特定行业问题受众小有关,更有可能是安全厂商没有办法找到合适的场景去深入了解落地形成通用的安全产品。
六、新安全攻击面
新的攻击面展商里基本没有涉及,不过 Sandbox 里倒是有个基于固件的扫描加固产品Eclypsium算是为数不多的针对新攻击面的产品了。论坛中有部分讲到了未来可能面临的危险包括5G、在智慧医疗、智能出行、监控等层面投入的大量的IoT设备的使用,还有AI可能对人产生的影响。
对未来安全技术的思考
1. 基于云厂商的安全生态思考
随着云、混合云慢慢的变成了各个公司是基础设施,安全在其中也慢慢凸显出来,可以毫不夸张的说安全可以成为云厂商的助力,也可能成为云厂商的阻力。这其中包含云自身的安全性,以及对于云用户的安全生态。
a.云自身的安全
随着各大公司以云为基础设施,其中很大一部分网络安全问题直转嫁到了云厂商。云厂商自身的安全决定了以其为基础设施的各大公司的安全,也许在不远的将来能看到更多安全厂商与云厂商的强强合作。
b.云技术设施之上的安全生态
基于云的安全生态,也许在不久后就将成为一个云厂商是否成熟的标志。成熟的云厂商将会吸引更多的安全厂商基于云设施进行开发各类解决不同业务安全问题和网络安全问题的产品,同时一个好的安全生态也会反哺云市场两两相互促进。从 RSA 展商及 sandbox 的产品来看,已有 AWS 已经开始在培养这个良性的安全生态,云厂商安全的开放建设已然成为云厂商下一个竞争的赛道。
2. 结合业务风险的网络安全思考
a.以业务风险为核心
当安全从业人员每天在处理各种漏洞各种网络攻击时,经常容易产生意识上的混淆。我们是一直在面对漏洞,网络攻击还是在面对由于使用漏洞和网络攻击带来的业务风险? 很少有人去关心为什么会有人来在某处尝试漏洞挖掘和攻击,比如:为什么要在这个地方尝试找出 XSS 漏洞?真实目的是什么?带来什么样的业务风险?所以一定要以业务风险为核心,从业务的视角去真正的抓出背后的意图。假如业务都没有了,那作为该业务的安全也不会继续存在了。
同时一定要有一个明确的范围和标准。核心资产是什么?核心业务是什么?需要保障到什么标准?当明确职责范围及核心业务后再看依赖是什么需要提供什么样的保障才能满足核心业务的安全标准。当然安全标准必须是一个合理的可接受的范围,因为还需要考虑安全带来的成本。
b.以低成本有效性及可靠性为核心
当我们去解决业务风险的时候一定要在考虑成本的前提下保障有效性及可靠性。当前业务面对的风险无论从对抗性还是成本上看,在单点一线上去解决几乎不可能同时满足有效性、可靠性和低成本, 所以我们在解决业务风险的时候一定要全链路通盘考虑,在搞清楚对方怎么搞我们的前提下,还要搞清楚我们在哪个地方哪个环节去解决风险问题是成本最低的,持续有效性是最好的。 在做基础设施时我们经常提security by design,在面对业务风险点时候我们同样需要考虑全链路上的对抗风险by design不能只在一个单点上进行对抗。
c.面向未来依托新技术创新为核心
面对业务风险,除了考虑成本的前提下用已知成熟的手段去处理,我们还要持续的考虑创新用新的方式方法不同的角度去解决问题,只有用创新性的新思路新方法才能让安全业务有质的变化。在当前面对海量的业务数据以及海量的安全采集数据,如何让这些海量的数据变成有效的信息,如何将有效的信息变成每个业务环节需要关注的知识点对抗点,机器代替人的 AI 技术必不可缺,因为数据的量、要求时效的已经完全不是人能解决了。如何有效的使用 AI,如何有效的结合 AI 和人工的经验,以及如何有效的分配 AI 和人工已经成为了当下必须思考和去解决的问题。
最后借用 2019RSA 大会的主题“better”结尾,当我们面对昨天的问题时能有 better 的解决方案夯实缺失,当我们面对今天的问题时能有 better 的思考路径,当我们面对明天的问题时能有 better 的设计。
雷锋网注:想要阅读更多网络安全信息?你可以关注雷锋网旗下微信公众号“宅客频道”,与更多安全专家一起解读网络安全未来。
雷锋网版权文章,未经授权禁止转载。详情见。