目前在网络安全行业有哪些热门话题?即将在旧金山举行的2020年RSA大会将为此提交一份出色的答卷。

RSAC组委会表明,他们收到了2400份网络安全行业演讲嘉宾的议题申请,在经过整理和审核之后,他们发布了十大网络安全热门话题,安全人员可以此来判断行业的总体趋势。

“诸如零信任和无服务器,Kubernetes,量子,混沌工程,漏洞赏金和端点衰减(或复兴)之类的关键词比比皆是。”

“人是安全要素”(Human Element)是今年大会早已确定好的主题,许多提交的议题很难完全切中这一主题。负责RSA会议内容策展主管Britta Glade和内容策略师Kacy Zurkus在报告中说到:“绝大多数提交的议题侧重将人的影响作为一种手段,帮助了解如何更好地利用通用框架、为风险管理决策者提供信息、缓解新兴威胁以及建立以安全为中心的高效文化。”

十大热门话题

人是安全要素:众多议题都涉及安全方面的人为因素,与“数据、威胁、风险、隐私、管理和团队”等内容交织探讨。

设计、开发和维护安全产品:大会首次专门开设产品安全和开源工具讨论环节,因为他们收到比以往更为深入的产品安全研发的技术文章,主题涵盖用户界面设计、人工智能、隐私、安全运营中心等。

IT和OT融合的安全:IT技术和运营技术融合的挑战之一在于它们是“两种不同的概念,供应链也不大相同”,因此,如果要成功地进行两者协作,文化、理论变革应先行。

软件工程流程安全:随着企业相继采用DevSecOps,对于安全工程的需求也不断增长,提交的相关议题也越来越多,不仅包含风险管理,还包含在开发运营中的治理流程。

隐私与合规相生,与万事万物的交织:欧盟的《通用数据保护条例》让“隐私”为人重视,企业业务对于“隐私”的把控也在不断成熟。“在过去,隐私是“良好企业公民”可有可无的特质。现在随着企业越来越注重用户隐私的保护,隐私问题有成为核心业务和安全话题的趋势。当然,这不仅是出于对合规的关注,而且还可以提供业务差异化和良好的用户体验。”

威胁情报和共享:情报共享一直是 “网络防御”的基石,但是设备自动化是无法抵御所有的网络风险,尤其是当攻击者利用社会工程手段时,比如欺诈问题或身份验证问题等。“我们发现,提及自动化本身的弱点和挑战的议题有所增加,其中不乏一些技术性很强且非常详细的议题,并提供了指导和最佳实践考虑。”

框架、框架还是框架:框架和自动化是一个很热门的议题。 “我们看到了大量与MITER ATT&CK框架、NIST网络安全框架、竞争性安全文化框架(CSCF)和信息风险因素分析(FAIR)框架相关的议题”,这可以作为公司持续改善治理和提高风险防范的部分管理流程。

安全意识和培训:由于认识到培训的价值,今年“网络靶场”一词很热,即用于进攻性安全培训的虚拟环境。另外,关于人类可持续性问题也很热门。 “一些议题谈到了安全意识的道德和伦理问题,而另一些议题则强调需要更多地注意工作场所的压力和心理健康,这对于安全从业人员来说尤其重要。”

沟通:众所周知,企业CSO和CISO进行全方位沟通的重要性不言而喻,需要对进入其职权范围的内容都要有所了解。此外,在安全攻防方面,比如“紫队”(混合进攻与防御),也在不断通过合作保证团队具有互补技能来增强安全防护。“紫队”的协作表明沟通十分重要。

专业人才培养和团队建设:“如何聘用、培训、留住和激励人才”仍然是新兴的网络安全行业重要且必要的关注点。确实,是否会有足够的人员参与到每个开放的网络安全角色扮演中来,仍待商榷。

正如组委会所说的,这些议题涉猎范围广,领域多。他们表示, “人类的知识和经验是无穷无尽的,如果要说议题的广度和深度,这十种趋势只怕是蜻蜓点水。诸如零信任和无服务器,Kubernetes,量子,混沌工程,漏洞赏金和端点衰减(或复兴)等其他关键词还有很多!”

人是安全要素

毫无疑问,今年的RSA主题“人是安全要素”的关注度隐约呈上升趋势,因为人为因素往往是许多信息安全系统的致命弱点。

当然,该主题涵盖的内容不止于此。组委会表明,“相关议题探讨了人机关系的持续发展、有意或无意地利用人性漏洞的软件和平台的使用、隐私、机器学习等,我们也在这几年的议题中不断摸索未来趋势。”

此外,整个行业也越来越关注安全行业人员的精神健康,今年的议题可以反映这一趋势。“今年提交的议题似乎给了提议者主动权来解决更多敏感的人为因素的挑战,比如不利的工作环境对个人和团队的损害,安全人的自负为网络安全工程项目带来风险等。”

超越“Better”

许多行业都是如此,关注人类似乎很自然地是当务之急。和往年平淡无奇的主题相比,这个主题的特色在于更有亮点,比如 “Better”(2019),“Now Matters”(2018),“Power of Opportunity”(2017年)。

在早些时候的主题就稍微怪异一些了,比如较为冗长的“The Great Cipher Mightier Than the Sword”(2012年)和“The Adventures of Alice & Bob”(2011年)。这些主题则更多地侧重于历史和密码学专著,比如苏格兰人的玛丽皇后和纳瓦霍的“密码窃听者”,再到“西方密码学之父”莱昂·巴蒂斯塔·阿尔贝蒂以及英国密码学天才艾伦·图灵等等。

网络安全重要性与日俱增

可以肯定的是,RSA主题的演变表明了大会日益重要的意义以及网络安全关注度的不断攀升。2008年,有17000名参会者。十年后,这个数字已经增长到42000。

在2020年,RSA会议将开展数百场演讲,邀请50多位演讲者,包括美国网络安全和基础设施安全局局长Chris Krebs和魔术师Penn&Teller。预计本次会议出席人数将达到45000。

数据表明,尽管今年的议题包罗万象,但突出的一点将还是网络安全与日俱增的重要性。与往常一样,保障网络安全不仅仅涉及到技术,还有人员、流程和系统。小到企业医疗系统,大到人类福祉和民主国家,网络安全是每一个人的事情。

网络安全防护之路道阻且长,但面对挑战的勇气也让人热血沸腾。

关键词: