Evolution(進化):360譚曉生的RSAC 2016随筆

作者:譚曉生

rsa大會無疑是網絡安全行業最重要的會議之一,是年度安全産品大檢閱,喜歡特立獨行的安全圈人士當然少不了拿rsa調侃,聽到的一個調侃是:在會議舉辦期間,有人發twitter問:“最近在舊金山有什麼安全會議麼?”,言下之意是說rsa商業色彩比較濃,不是一個純粹的安全技術會議。也難怪,相對于ieee s&p, acm ccs, ndss, usenix security這樣的頂級安全學術會議,rsa大會的内容沒有那麼學術導向,相對于blackhat、defcon,rsa大會沒有那麼“攻防技術”導向,但每年的rsa大會無疑是網絡安全行業對網絡安全産品、理念,甚至是法規的大檢閱和大讨論。

說來也巧,第一屆rsa大會在1992年舉辦,那一年我大學剛畢業,25年時間,rsa大會在不斷進步,今年的大會有超過40000人參會,超過500家廠商參展,超過700個主題演講或專題報告,本次大會授予rsa大會前任主席arthur coviello終身成就獎,著名的“亞瑟王”已白發蒼蒼但依然活躍在網絡安全圈,大會嘉賓不乏美國安全部、nsa、fbi、軍隊的高官,面對不斷湧現的網絡安全威脅,我們一方面承認過去的網絡安全産品和理念在“失效”,但旺盛的需求無疑會帶來網絡安全行業新的春天。

抛開大會主辦方提供的數字不說,主觀感覺也是大會參會人數在逐年增加,尤其是大會開幕第一天的innovation sandbox(創新沙盒)環節,四年前第一次參加的時候隻擺了小幾百張椅子,今年擺了上千張椅子,但座位增加的速度還是趕不上觀衆增加的速度,晚到了幾分鐘,會場座椅後面就已經站滿了人。

國内前往參會的人數也是屢創新高,今年的“百度小龍蝦遊船大趴”有超過180人參加,超過主辦方的預期,見到很多來自國内的新面孔。

除了綠盟、山石網科、安天等老牌參展廠商,360、獵豹、安恒等近幾年參展的廠商外,微步(threat book)、花甲、盛邦(webray)首次參展并且有亮眼的表現。

國内廠商參展的目的各不相同,有的是真有國際市場推廣需要,也有的參展是為了新聞出口轉内銷在國内宣傳,參展的國際化對接方面綠盟做得最好,展台風格、展台互動設計與國際完全接軌,美國大叔站展台演講,業務的國際化政策非常明确,看起來是走上正路了!安天是非常務實的一個企業,不太大的展台,但創始人“江海客”(肖新光)親自站台與各方合作夥伴/潛在的合作夥伴洽談,“病毒通緝令”撲克也已經成了安天的名片,海客在小龍蝦大趴上趴在桌子上睡着了,看起來還是蠻令人心疼的,可以想象他在舊金山的時間是怎麼安排的。

盛邦(webray)的展台有最多中國元素,平劇扮相的從業人員搬“門神”,吸引了不少眼球,但,我想問的是…….,老外知道門神是啥麼?

華為的展台自不必說,大大的特展展位,衆多的參會人員,國際大公司範兒。

總體來講,大多數中國公司的布展水準與美國的同行相比還有挺大差距,雖然從最初的“展闆看字兒”已經進化到了通過電視機、大螢幕做視訊播放、界面展示,也有了金發碧眼的從業人員接待和發放禮品,但在互動性設計上還差很多,如果是要實實在在宣傳自己的産品、實力,不僅僅是發發禮物就行的,期待明年的國内的參展商與觀展人員有更多的“有效互動”。

rsa大會的主題詞曆來很受關注,過去24年的曆史證明了rsa大會對行業趨勢的把握能力,最近四年大會的主題次分别是“大資料(big data)”、“share,learn,secure(分享、學習、安全)”、“change(改變)”、“connect to protect(通過連接配接來保護)”,用大資料方法做安全已經是不争的事實,我們也都認可安全行業需要改變并且正在改變,今年的“connect to protect”又要做怎樣的解讀呢?大會主席amit yoran在他的主題演講中做了解讀,但說的并不算太多,我想,回歸網際網路的本質,在這樣一個人機互聯、人人互聯、機機互聯的萬物互聯的時代,萬物互聯是一柄雙刃劍,安全問題是由于萬物互聯變得更加突出和緊迫,而解決之道也恰恰在萬物互聯,網聚人的力量,網聚機器的力量,網聚安全的力量。威脅情報、安全衆包是”connect to protect”的實踐,我一直堅信security as a service(安全即服務)是網絡安全的出路,在看得到的将來,安全人才是稀缺的,安全知識是稀缺的、安全資訊處理能力是稀缺的,把安全做成雲服務,利用網際網路整合資源(包括人和資訊)的能力,才有可能提供使用者支付得起的安全。

相對于前面3年,今年的rsa大會缺乏讓人眼前一亮的産品,能感覺到産品同質化傾向,但産品的實用性在提升,以下是看參展産品的幾點感受:

“威脅情報(threat intelligence)”,“檢測(detection)”,“響應(response)“自動化(automation)”這些詞是今年參展廠商介紹自己産品的時候的熱詞,“威脅情報”和“檢測”在去年的rsa大會上已經是熱詞,今年新增了“響應”和“自動化”,今年創新沙盒十大創新産品評選的第一名是phantom,是一個做安全響應自動化的産品。

過去很多年,安全産品關注的是“防護(prevention)”,我們以“攻不破、拿不走、看不懂”做為目标,但面對天然就有缺陷的體系結構,安全性千瘡百孔的系統、有各種弱點的人,我們總在經曆各種“失陷(breach)”,終于,我們不得不痛苦地承認,攻防不平衡,我們可能防不住,于是退而求其次,追求“檢測(detection)”,希望被攻破了盡可能早知道,但多長時間檢測到攻擊就是一個問題,過去對攻擊的發現時間是以“小時、天、周、月”為機關來度量的,現在,希望這個檢測時間縮短到“秒”,并且在檢測到攻擊後要及時做出動作來進行處置,“自動化(automation)”就變成了不二的選擇。

回想2010年我剛接手360的技術運維團隊的時候,何嘗不是面臨類似的局面?10多個人運維1000多台伺服器,支援公司數十個業務,而業務規模還在以每年數倍的速度在飛速增長,不走自動化運維的路完全無法滿足業務要求, 最終是運維自動化建設讓我們走出了運維的噩夢。

相對于it運維自動化,安全運維自動化難度更大,“誤報”是一大難題,也會是檢驗一個安全運維自動化産品/服務是否可用的最重要的名額。

終端安全在前幾年曾經有過一段低谷的時間,今年carbon black(就是之前的bit9,改了品牌)、cylance、crowdstrike,甚至新興的countertack都有不小的展台,360終端安全團隊的負責人張聰有一篇文章講述參會感受:rsa 2016:終端強勢回歸,檢測響應興起。終端安全的複興,不是簡單的回歸,而是傳統技術與新技術、傳統理念與新理念在終端安全上的綜合應用:既有基于代碼靜态分析的産品,也有基于應用程式行為分析的産品,既有機遇規則引擎的産品,也有基于大資料分析引擎的産品、有基于hooking做行為檢測的産品,也有基于虛拟執行、虛拟化來做行為檢測的産品。

而edr(endpoint detection & response)則把終端防護與檢測和響應挂接起來,實作“connect to protect”這個理念,據說gartner将把edr當做一個獨立的産品品類。

今年的創新沙盒中有一個産品叫projectwise,被360的同僚戲稱為”美國版天眼”,其思路與“360天眼”幾乎一模一樣:通過全量包捕把網絡流量聽下來,然後做大資料分析,尋找網絡流量中的異常。360在這個方向上已經有3年多的探索,并且已經把包捕大資料與雲端大資料結合,在2015年中有非常成功的應用。

byod是兩年前rsa大會的熱詞,今年幾乎絕迹,看到mobileiron的展台的時候還稍稍意外了一下,去年gartner symposium的時候曾經和gartner的分析師讨論過為何byod沒有熱起來,gartner分析師的觀點是認為企業的應用目前還都是基于messaging(消息)的,郵件、工作流這樣的應用,byod對這類應用的安全性的提高不是很明顯,但他依然看好企業移動應用安全性的保障這個方向,認為這個需求是客觀存在的,隻是産品的形态可能是另外的樣子。

iot安全今年被提及也比較多,keynote環節也有談及,但參展廠商關于iot安全的産品還比較少,在展商名單中搜“internet of things”這組關鍵詞,能搜出70多家廠商,但多少都是和iot沾點邊,專門的産品和解決方案少。

bastile是創新沙盒的top 10産品之一,被我們稱為“美國版天巡”,是一款對wifi網絡中的虛假ap、wifi攻擊進行檢測的産品,360在2015年推出的“天巡”産品卡的就是這個定位,隻是360天巡的能力更強,不僅僅具有攻擊檢測能力,還具備對非法節點的主動壓制能力,能讓非法ap無法工作,最近剛中标了南方某城市公共wifi的安全防禦項目。去年的rsa大會和blackhat上看到有兩款具有無線網絡檢測能力的産品,但其設計是有線網絡與無線網絡安全兼顧,是以無線網絡方面特性并不是很強,專門針對wifi安全的産品還是第一次見到,面對最容易被攻擊的wifi網絡,相信這類的wifi安全産品會有市場。

去年zscaler在rsa大會現場邀請觀衆上台“砸盒子”,大錘子、鋼釺、棒球棒對着各種網絡安全裝置的“盒子”揮舞,曾經吸引了不少眼球,今年砸盒子的遊戲依然在進行,但關心者明顯少了很多,參展廠商中提供web安全雲服務的很多,web安全雲服務已經成了業界标準。

apple與美國執法機構關于iphone加密資料解密問題的争執是大會的一個讨論熱點,思睿嘉德的創始人董靖寫了一篇文章介紹這個話題: 回歸初衷- rsac2016随筆之一。

這個話題的讨論非常有美國特色,最終一定會上升到哲學高度來進行讨論,我相信這個讨論是非常有價值的,不管讨論的結果如何,都會對人們今後的生活産生重大影響。

會議期間和我做lp的一個基金的經理以及矽谷安全圈的幾位大佬一起吃了頓飯,也和基金經理一起看了兩個項目,總體感覺是好項目難找,不靠譜的項目滿天飛,估值過高。找到靠譜的人,靠譜的項目,對vc是最大挑戰,美國的投資退出機制與國内還是有比較大的不同,中間退出的機會相對較少。幾位矽谷安全圈大佬自己搞的一支基金則堅守自己的原則 : 隻用自己的錢投資,隻投認識的人。

猶太人是網絡安全行業中一支強大的力量,甚至有大佬說如果按族群來劃分,猶太人是網絡安全中勢力最大的一支族群,最近3年的rsa大會期間接觸過不少的以色列公司,印象非常深刻:大學教授與軍隊服務背景/商業公司背景的夥伴一同創辦公司、積極的融資活動、覆寫從密碼算法到大資料分析,從非法wifi檢測到dlp,從安全手機到網頁腳本檢測等各個細分的安全領域,從以色列的居民數來講,産生這麼多的網絡安全創業公司令人敬佩,也值得我們反思和學習。

做為總結,2016年第25屆rsa大會,達到了rsa大會的一個新頂峰,雖然參展産品缺乏耀眼新星,但大會對産品大方向判斷很準确,社會熱點捕捉(蘋果iphone解密事件、機器智能的安全問題)及時,大會演講嘉賓夠份量,觀點夠犀利,從參會人數與嘉賓規格可以看到整個社會對網絡安全的重視程度到了相當高的程度。

國内網絡安全企業,在幾個技術與産品單點上已經很接近世界領先水準,但平均水準差距還是很大;安全公司的協作方面,與西方同行相比,基本還處在春秋戰國時代;展會參展方面數量有了,但品質還有很大提升空間;國際化政策值得認真思考,360 security與獵豹移動在個人産品的國際化上取得了一些成績,但在企業安全産品與技術的國際化上,如果與以色列公司相比,我們還有很多事情需要做。

責編：譚曉生