2017年02月13日 14:14 911
rsa conference 2017已經打破了記錄。今年我們的正常會議收到的送出數量比以往任何一次都要多,我們獲得了比之前的最高紀錄還要多出将近500個送出。它們不是由僵屍物聯網裝置或者人工智能機器人送出的——而是來自活生生的、會呼吸的人類專家,他們渴望與安全社群分享自己的經驗。我們由活生生的、會呼吸的人類組成的program committee肩負着審查所有送出的任務,讓今年的rsa會議成為最好的一屆盛會。
作為傳統,我們将使用您的送出獲得觀察安全行業“靈魂的視窗”,是以這裡是我們了解到的我們大家的靈魂:
物聯網黑客已經引發了高度的關注,即使我86歲的鄰居可以談論他們。我是說真的。今年的送出表明,在承認物聯網、過度捆綁的物品、以及我們缺乏關于到底發生了什麼事情的知識帶來的風險方面,大家的成熟程度大為提高了。我們現在正在分析物聯網攻擊可能造成的附帶損害。一系列的問題——從裝置如何連接配接到網際網路到它們如何被生産制造出來——都導緻了越來越多的擔憂和具體的、可證明的例子表明攻擊者能夠如何利用不安全的連接配接裝置。我們還在努力解決法律、政策和法規在這個新的、以物為主的世界中如何發展的問題。事實上,我們看到了以物聯網為中心的分析的興起,我們推動其進入了跟蹤層面,引入了新的移動和物聯網(mobile & iot security)安全跟蹤。
我們今年已經受到了勒索軟體送出的ddos攻擊——它們不僅僅是技術性的。甚至apt也沒有這麼迅速地紮根。勒索軟體的真實體驗震撼了世界,引發了我們行業各個角落——技術、政策、法律、業務經理和高管的熱烈讨論。董事會甚至參與了行動。是因為我們對apt的集體經驗,讓我們能夠更好地快速分享和讨論勒索軟體嗎?嗯。也許是這樣吧!我們有一個強大的、全面的勒索軟體送出,我們決定在周一用一整天的時間進行以ransomware為專題的研讨會,将探讨其在技術、政策、合規性和财務等多個方面的影響。會議将讨論創新研究、現有案例研究,探索如何打擊勒索軟體,以及辯論你是否應該——以及何時——支付贖金。
許多送出試圖反思已經多年來支撐我們開展業務的機制和流程——atm機、大型機、飛機與塔台的通信等等。它讀起來像古老聖誕節鬼魂故事的重複,一個不重視安全的人從一開始就注定會成為受害者。我們認識到,在這個連接配接和數字化時代,我們必須從安全的角度重新審視一切。(投入“範式轉換”,你讓自己有望成為今年的流行詞獎的候選人)。我們正在審視我們多年來做的事情以了解風險,我們正在努力開發一個共同的詞彙表;過去我們彼此談論的一些恐懼成了我們的挑戰,而另一些人擔心營銷人員對某些術語的過度使用實際上攪混了水。我們的送出者們并沒有漏掉devops在這裡的機會及其對應用程式安全性的影響,令人興奮的是,有更多的最終使用者組織分享他們的經驗,推動着這個市場走向成熟。是以,今年的application security devops(應用程式安全devops)跟蹤是非常強大的。
去年,我們評論了inamoibw(“這不是一個是與否的問題,而是一個什麼時間的問題”),這讓我們痛不欲生,我們悲傷但耐心地等待着轉機。今年我們正在反擊,不過我們當然并不天真。我們有我們的“拳擊手套”,我們派出了我們的獵人,我們積極地欺騙(更多内容請參看第八條)。我們中的一些人似乎樂在其中。預言似乎要被預防取代,或至少被放在和預防同等的地位上,預防是我們面對威脅應該做的工作。此外,許多傳統上不被允許對某些主題公開發表意見的最終使用者組織送出了論述——今年這種情況遠勝于以往。這顯示了一個轉變,這種轉變對于我們的行業來說是非常健康的。
我們已經從讨論“資訊共享”轉向讨論“情報共享”,這顯示了共享的價值觀的成熟。我們似乎還确定并啟動了重點群體——isaos、isac、cert,sector coordinating councils等,它們在全力應對标準和架構,觸發必要的法律和隐私對話并導緻對于什麼最有效的健康分析。我們在這裡的工作處于由行業、地理或監管驅動因素定義的成熟度曲線的不同階段,而我們似乎正在經曆成長的痛苦。這裡的機會很清晰,而且需求也很急迫,是以我們正在發起一個新的星期一專題研讨會:實用情報共享:isac和isaos(practical intelligence sharing: isacs and isaos)。我們還為isac和isao提供會議空間,這是我們在安全行業内對網絡和社群建設的承諾的一部分。
我們甚至還需要把這個縮寫完全拼出來嗎?從來沒有一個法規如此迅速地出現在我們對送出标題的詞雲分析之中。甚至pci也沒有如此之快地做到這一點。gdpr是機會還是ciso、法律顧問和安全專業人員的詛咒?送出認為兼而有之。作為一個行業,我們也對雲供應商在解決合規性方面問題的角色(和責任!)很感興趣。這項法規的巨大财務影響需要徹底的響應,我們看到整個行業在快速行動,這将通過幾個不同的會議反映在我們的議程之中。
去年我們害怕機器,但今年聽起來像是我們人類要去度假了。我們會在腦海裡想象着機器人瓦力(譯注:卡通片《機器人總動員》中的機器人)在跑來跑去——好吧,也許“跑”這個字用的不對——應該是幸福地“滾來滾去”。今年,我們正在試圖定義“人類”的角色。尋找人類元素的軌迹,結果探索出了一些非常不同的概念,并且看到了一些關于分析、智能和響應以及黑客和威脅的報道。ai可能在幾年内有所發展,但我們仍然非常分裂,不确定如何才能最好地接受和應用機器學習、自動化和人工智能——以及我們究竟是未來的主人還是仆人。
今年,我們注意到在圍繞欺騙技術的讨論中的一個顯著的成熟迹象,具體的術語(我們是否找到了另一個流行語?)在圍繞進攻性對策和狩獵的送出中大量出現。在我們探讨不同類型欺騙如何以不同的方式參與和阻止攻擊者的時候,蜜罐不再被提及了。現在我們收到了大量提到叛亂和反叛軍事理論的送出。殺戮鍊和深度防禦是我們的詞彙表的一部分,軍事術語持續蔓延。我們使用它,我們甚至不知道。(如果我們在這裡玩流行語遊戲,“crown jewels(皇冠珠寶)”是2017年送出獎的另一個競争者。)
另一個尴尬的時刻。比特币在2009年爆發進入開放源代碼階段,引發了無論是好人還是壞人的巨大關注。然後興趣消失了。在2014年,我們得到的送出中總共隻有兩份提到了它。我們甚至似乎已經失去了知道誰是中本聰的興趣。快進到我們的2017年送出,區塊鍊正在蓬勃發展。超越金融用途的各種應用程式和技術是非常引人矚目并令人興奮的。它打開了身份和數字互動認證的大門,這被用于忠誠度計劃和付款,是的,甚至還可以被用于物聯網。美國政府和很多全球性公司向那些專注于使用區塊鍊技術解決安全和隐私問題的公司提供資助,以解決包括醫療記錄盜竊和欺詐以及其他問題。我們可能在這裡穿過了峽谷。
這真的是今年許多趨勢的軟肋。我們不記得在我們審查的送出中,曾經出現現在這樣年複一年的問題。這在詞雲中有證明,其中出現了許多新詞,通常可能是消失并/或者萎縮了,表達了完全不同的觀點。我們的行業内有着巨大的不确定性,圍繞着我們的行業也有不确定性。由于尖銳的社會問題在我們的安全世界中發揮着更大的作用,網絡在世界如何運作方面發揮了更大的作用。這是我們職業的一個令人興奮的時刻,但是,引用蜘蛛人和伏爾泰的話——-力量越大責任也越大。我們是否完成了自己的任務?
很難将超過2,200份送出歸納成少數幾個趨勢。 除此之外,我們還看到了有關智能武器化、自然語言處理(nlp)算法、網絡保險、kmip、5g、以及更多來自來自小企業和教育機構的有趣論述,以及當然會有的關于選舉的話題。 我們多次聽到了“文化基因狀态”(為了防止您還不知道這個詞,在這裡說一下,“文化基因(meme)”一詞在2015年被添加進入字典,與表情符号同年)。 而時間旅行——是的,就是時間旅行——甚至讓我們的送出頁面“蓬荜生輝”。
本文來自合作夥伴“阿裡聚安全”.
![K-近鄰算法以及圖像分類應用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)