作為360公司負(fù)責(zé)技術(shù)的副總裁,譚曉生是中國網(wǎng)絡(luò)安全領(lǐng)域的一位領(lǐng)軍人物,曾經(jīng)連續(xù)三年參加RSA這一全球安全領(lǐng)域規(guī)模最大、最具影響力的行業(yè)大會(huì),在他的眼中,每一年的RSA就是對未來安全趨勢和安全方向的前瞻和預(yù)演,以下是譚曉生眼中剛剛落幕的RSA Conference 2015:
RSA大會(huì)是全球最大規(guī)模的企業(yè)信息安全領(lǐng)域的會(huì)議,每年的2月下旬或4月下旬固定在舊金山舉行,我是連續(xù)第三年參加RSA大會(huì),很高興自己的會(huì)議吊牌下多了一個(gè)“LoyaltyPlus”的標(biāo)簽,好處自然還是有的:在聽KeyNotes的時(shí)候可以提前進(jìn)到宴會(huì)廳門口排隊(duì),可以提前進(jìn)入會(huì)場,其他人可是在會(huì)中中心外面排隊(duì)的哦!
大會(huì)關(guān)鍵詞:改變
RSA大會(huì)每年都會(huì)有一個(gè)關(guān)鍵詞,2013年是“Big Data(大數(shù)據(jù))”,2014年是“Share,Learn, Secure(分享、學(xué)習(xí)、安全)”,2015年的關(guān)鍵詞和美國總統(tǒng)奧巴馬2008年總統(tǒng)競選的關(guān)鍵詞一樣,沒錯(cuò),是“改變”(Change)!眾多演講嘉賓在演說中也反復(fù)強(qiáng)調(diào)“改變”這個(gè)詞,從參展廠商的參展產(chǎn)品上,我們也能感受到這種“改變”:曾經(jīng)的RSA,各廠商擺出一大堆的做得各式各樣的硬件設(shè)備,長得像交換機(jī)、路由器樣子的,有多個(gè)網(wǎng)絡(luò)端口、指示燈不斷閃爍的、骨子里是個(gè)標(biāo)準(zhǔn)服務(wù)器或?qū)S眯酒谱鞯碾娐钒宓?,行業(yè)人士稱為“盒子”的、用戶叫做“防火墻”、“下一代防火墻”、“UTM”、“IPS”、“IDS”的東西,但今年,會(huì)場很少見到這樣的東西,各家的展臺最長見到的是酷炫的一個(gè)大屏幕,大屏幕上在展示各種各樣的“儀表盤(Dashboard)”、各種各樣的攻擊態(tài)勢展示圖、各種自動(dòng)播放的講稿,展臺上出現(xiàn)頻率最高的關(guān)鍵詞是:Threat(威脅)、Breach(失陷)、Intelligence(情報(bào))、Detection(檢測)、Prevent(防護(hù))。
RSA總裁Amit Yoran在名為“逃出信息安全的黑暗時(shí)代(Escaping Security Dark Age)”的主題演講中說,2014年的安全形勢是“Breach”的一年,而且大家都同意2014年是“Mega Breach”,2015年情況不會(huì)更好,會(huì)更糟糕,將會(huì)是“Super Mega Breach”的一年!Breach一詞在英語中有“攻破”的意思,但么翻譯成中文,“被黑了”?“被破了”?“被搞掂了”?“泄露了”?似乎都不夠準(zhǔn)確,在2015年4月25日,經(jīng)參加會(huì)議的近百名安全專家在微信群中超過10小時(shí)的討論,來自FireEye的華裔安全研究員韋韜建議翻譯做“失陷”,2015年,我們可以預(yù)期有更多的漏洞被爆、更多的系統(tǒng)被攻破、更多的數(shù)據(jù)泄漏!Amit對網(wǎng)絡(luò)安全形勢的比喻是“我們在地圖之外航行!”。
“改變”,是因?yàn)槲覀儾坏貌蛔儯?ldquo;改變”,能否讓我們逃離“信息安全的黑暗時(shí)代”?
被砸掉的“盒子”
防火墻,IPS,IDS,UTM,這些傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品的形態(tài)一般是一塊或幾塊電路板被安裝在一個(gè)長方體的鐵皮盒子內(nèi),按照用戶的需求,賣不同處理能力的鐵皮盒子給用戶,與需要工程師提供人工服務(wù)的安全服務(wù),或通過互聯(lián)網(wǎng)提供的“云服務(wù)“相比,業(yè)內(nèi)人士戲稱這種安全產(chǎn)品為“盒子”,因?yàn)楹凶涌吹靡娒弥?,甚至可以拎一下有多重,用戶感?dòng)買到手了一個(gè)實(shí)實(shí)在在的東西,至今還是國內(nèi)企業(yè)網(wǎng)絡(luò)安全產(chǎn)品銷售的主要形態(tài)。
在2015 RSA大會(huì)上卻看到了“砸盒子”的表演,如果說從來不生產(chǎn)盒子,以信息安全服務(wù)當(dāng)作謀生方法的新銳廠商Zscaler砸盒子是為了吸引眼球的話,那么傳統(tǒng)“盒子”制造商Fortinet的“砸盒子”就耐人尋味了。
與“盒子”相對的,是越來越頻繁被提到的“情報(bào)”,展會(huì)中許多家安全態(tài)勢管理、相應(yīng)產(chǎn)品的提供商都聲稱自己的產(chǎn)品可以和FireEye、Arcsight等的“情報(bào)”連接,“情報(bào)”通常是快速變化的,通常不會(huì)通過“盒子”來提供,而安全態(tài)勢管理,大家也知道,通常是跑在服務(wù)器上的一組軟件來提供的功能,也不是通常意義上有多個(gè)網(wǎng)絡(luò)端口,有指示燈閃爍,長得更像網(wǎng)絡(luò)設(shè)備的信息安全設(shè)備應(yīng)該完成的功能。
從趨勢上來看,網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)可能會(huì)越來越少以“盒子”的形態(tài)出現(xiàn),以服務(wù)形式提供的比重會(huì)加大,但有比較極端的安全人員斷言“盒子”即將被淘汰,倒也未必如此:防火墻、IPS、IDS等傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備,在對已知攻擊的快速檢測、攔截方面是非常有效的,只是,面對未知威脅攻擊有些勉為其難,同樣的,以安全情報(bào)為中心的新玩法,的確會(huì)有更大的概率檢測到新型威脅,但復(fù)雜的邏輯處理所需要的時(shí)間決定了在快速阻斷攻擊方面會(huì)遇到巨大困難,在產(chǎn)品演進(jìn)的過程中咱們還是要保持一個(gè)客觀的心態(tài),矯枉過正也不行。
缺乏亮點(diǎn)的“創(chuàng)新沙盒”
RSA大會(huì)有個(gè)很受歡迎的環(huán)節(jié)叫“創(chuàng)新沙盒(Innovation Sandbox)”,只給買了全部通票的觀眾參加的,每年會(huì)有10家創(chuàng)新公司去做展示,3分鐘展示自己的產(chǎn)品、團(tuán)隊(duì),3分鐘回答評委的問題,評委中多數(shù)是投資人,今年的創(chuàng)新沙盒十個(gè)產(chǎn)品分別是:
Warateck:做了一個(gè)Java的安全容器;
Vectra:基于行為的網(wǎng)絡(luò)攻擊自動(dòng)檢測;
TrustInSoft:軟件白盒安全檢測;
Ticto:試圖解決RFID的可視化安全識別問題;
SentinelOne:客戶端安全防護(hù)產(chǎn)品;
SecurityDo:用大數(shù)據(jù)方法改進(jìn)應(yīng)急響應(yīng)流程;
NexDefense:工業(yè)控制系統(tǒng)的安全防御;
FortScale:基于用戶行為分析的威脅發(fā)現(xiàn);
Cybereason:基于大數(shù)據(jù)與威脅情報(bào)的網(wǎng)絡(luò)入侵檢測;
BugCrowd:安全眾測;
最后Waratek獲得了第一名,但我和幾位參會(huì)的同事有同樣的感覺,今年的“創(chuàng)新沙盒”缺乏亮點(diǎn),與2013,2014年相比,缺乏讓人眼前一亮的創(chuàng)新產(chǎn)品、思路。
中國大陸的參展廠商
這次來參展的大陸安全廠商有:綠盟、天融信、華為、山石網(wǎng)科、飛天誠信、安恒、360、獵豹移動(dòng)、中關(guān)村科技園、安天等,去年來參展的一些小廠商沒有再來參展,應(yīng)該說,大陸參展廠商的水平在逐年提高,今年來參展的廠商手中基本都有賴以為生的一手或幾手“絕活”,比如安天的病毒查殺引擎、安恒的網(wǎng)站安全與數(shù)據(jù)庫審計(jì)產(chǎn)品、山石網(wǎng)科的下一代防火墻、飛天誠信的UKey/硬件令牌、360的終端安全管控、大數(shù)據(jù)安全平臺的那個(gè),在華為、360、山石網(wǎng)科的展臺前經(jīng)常能看到人頭攢動(dòng)的場景,安天實(shí)驗(yàn)室的小站臺前也一直洽談?wù)卟粩?,與“江???rdquo;肖新光打個(gè)招呼都得插他的空。
也有一些大陸廠商在展示的定位上存在問題:RSA大會(huì)是一個(gè)面向企業(yè)的信息安全產(chǎn)品/解決方案的會(huì)議,參會(huì)嘉賓基本是安全行業(yè)從業(yè)者以及會(huì)采購信息安全產(chǎn)品/解決方案的政府、企業(yè)客戶,他們的關(guān)注點(diǎn)不是在個(gè)人安全產(chǎn)品,選擇在這里展示個(gè)人安全產(chǎn)品并不會(huì)取得很好的效果。
情報(bào)(Intelligence)、情報(bào)、情報(bào)在哪里?
從嘉賓的演講到產(chǎn)品的展示,到處都能聽到、看到大家對“正在發(fā)生什么”的關(guān)注,如果你根本不知道信息網(wǎng)絡(luò)中正在發(fā)生什么攻擊行為,哪些系統(tǒng)已經(jīng)被搞掂了,哪些數(shù)據(jù)已經(jīng)被泄漏了,那有效的防御當(dāng)然無從談起。Logrhythm、Lancope、Tripwire、damballa、Hexis、ForeScout等大大小小的公司都在談通過可視化、異常檢測來發(fā)現(xiàn)網(wǎng)絡(luò)威脅,也都強(qiáng)調(diào)威脅情報(bào)的重要性,但,威脅情報(bào)從哪里來?把一個(gè)企業(yè)的所有系統(tǒng)的日志都收集了,甚至所有流量都監(jiān)聽了,然后用來做大數(shù)據(jù)分析,就有威脅情報(bào)了么?顯然不是!
多數(shù)廠商提供的還是一套基于本地?cái)?shù)據(jù)的分析工具,因?yàn)楸镜財(cái)?shù)據(jù)只覆蓋了自己一家企業(yè),甚至還面臨從各系統(tǒng)采集到的日志數(shù)據(jù)已經(jīng)損失了大量業(yè)務(wù)細(xì)節(jié)的問題,這些產(chǎn)品的有效性,我們還需要拭目以待,而真正能提供威脅情報(bào)的廠家少之又少,F(xiàn)ireEye是最常被提起的一家。
云安全的現(xiàn)實(shí)
云計(jì)算給企業(yè)IT帶來巨大便利的同時(shí),其實(shí)也帶來了新的安全隱患,在本次大會(huì)上來自Paypal的Scott Carlson對私有云的安全現(xiàn)實(shí)做了入木三分的分析:私有云的安全形勢比公有云更嚴(yán)峻,因?yàn)樯虡I(yè)競爭等原因,美國的公有云的服務(wù)商已經(jīng)對安全比較關(guān)注,有專門的團(tuán)隊(duì)做安全方面的改進(jìn)(相對而言國內(nèi)的公有云市場在安全特性上還差得比較多?。。?,但在私有云上首先面臨缺乏安全標(biāo)準(zhǔn)問題,其次在Open Stack、Hypervisor、物理網(wǎng)絡(luò)層上都有很多安全加強(qiáng)要做,私有云中對數(shù)據(jù)的保護(hù)方法也與傳統(tǒng)IT不同,集中管控甚至?xí)蔀橄到y(tǒng)安全性上的弱點(diǎn)——系統(tǒng)的控制平面如果被突破了,一切都完了!
企業(yè)應(yīng)用環(huán)境員工對公有云,比如云存儲(chǔ)、Facebook、Twitter的使用也會(huì)成為一個(gè)安全問題,比如通過云存儲(chǔ)共享文件時(shí)候可能會(huì)帶來的泄密問題,CASB(Cloud Access Security Broker,云訪問安全代理)的方法是一種解決思路,Netscope等公司做了這方面的一些嘗試。
感覺美國的企業(yè)在云計(jì)算安全方面的關(guān)注度高,研究深度比國內(nèi)公有云、私有云服務(wù)商要深不少,國內(nèi)的廠商需要加油了。
NSA前局長亞歷山大將軍
RSA大會(huì)進(jìn)入第四天的時(shí)候,部分參會(huì)人員已經(jīng)開始離開,參加各個(gè)講座的人員會(huì)減少,但周四上午Moscone西區(qū)3014會(huì)議室的門口依然排起了長隊(duì),這個(gè)會(huì)議的嘉賓是去年退休的美國國家安全局局長Keith Alexander,亞歷山大將軍。
斯諾登事件導(dǎo)致NSA廣為人知,“收集一切、標(biāo)記一切”指導(dǎo)思想下的大范圍監(jiān)聽乃至主動(dòng)入侵的情報(bào)獲取手段讓NSA與亞歷山大將軍都飽受質(zhì)疑,兩年后的今天,亞歷山大在這個(gè)安全會(huì)議上會(huì)說些什么呢?
會(huì)議有個(gè)主持人與亞歷山大將軍對談,從亞歷山大為何會(huì)進(jìn)西點(diǎn)軍校談起,也讓大家知道原來亞歷山大的同學(xué)中有好幾個(gè)美國四星上將。亞歷山大依然堅(jiān)持認(rèn)為自己和自己團(tuán)隊(duì)所做的事情是為了美國的國家安全,所做的事情是正確的,談起團(tuán)隊(duì)工作的勤奮與效率依然透露著自豪,在談話的后半部分做出與美國國土安全部部長Jeh Johnson在會(huì)議第二天的主題演講形成呼應(yīng):呼吁民間企業(yè)與政府在網(wǎng)絡(luò)空間安全上合作,甚至呼吁網(wǎng)絡(luò)安全工作者為政府效力,說在NSA這樣的機(jī)構(gòu)鍛煉幾年對自己的發(fā)展會(huì)非常有幫助。
在本屆RSA大會(huì)中,現(xiàn)任美國國土安全部部長Jeh Johnson在會(huì)議第二天的主題演講、密碼學(xué)家的論壇、亞歷山大將軍的對話這三個(gè)環(huán)節(jié)都較多談到了美國國家網(wǎng)絡(luò)空間安全問題,談到了政府和企業(yè)的合作問題,從會(huì)議現(xiàn)場的感受看,Jeh與亞歷山大都是比較堅(jiān)決的號召企業(yè)積極與政府合作,Jeh在演講結(jié)束的時(shí)候甚至說到商業(yè)公司對數(shù)據(jù)加密,會(huì)造成國家對有安全有關(guān)信息獲取的困難,號召企業(yè)積極與政府合作。而密碼學(xué)家論壇中更是直接邀請了NSA密碼破解專家Ed Giorgio做嘉賓,嘉賓們的意見中,除了有嘉賓覺得大規(guī)模收集信息會(huì)浪費(fèi)大量資源,因?yàn)槭占降亩鄶?shù)信息并沒有什么用之外,對大規(guī)模信息收集并無太大的反對意見。
政府現(xiàn)任、前任官員出來公開呼吁企業(yè)與政府合作以彌補(bǔ)政府力量的不足,明確表達(dá)自己的訴求,這種方式值得我們借鑒。
兒童上網(wǎng)安全
今年RSA大會(huì)有一兒童上網(wǎng)安全的一系列話題,其中名為“進(jìn)入樹林:保護(hù)我們的年輕人免遭網(wǎng)絡(luò)空間之狼的侵害(Into the Woods: Protecting Our Youth from the Wolves of Cyberspace)”論壇邀請到了13歲時(shí)候因?yàn)榫W(wǎng)絡(luò)誘拐而被強(qiáng)暴、監(jiān)禁的Alicia Kozakiewicz做嘉賓,Alicia以自己的親身經(jīng)歷講述了在網(wǎng)絡(luò)空間的遭遇,自己的不幸以及幸運(yùn)(被FBI破門救出),來自FBI、網(wǎng)絡(luò)安全培訓(xùn)機(jī)構(gòu)研究人員、取證專家以及兒童保護(hù)專家的嘉賓們分享了關(guān)于網(wǎng)絡(luò)空間兒童保護(hù)的觀點(diǎn),而Alicia自己也已經(jīng)投身兒童保護(hù)工作,積極推動(dòng)Alicia法案在全美50個(gè)州的通過。
在美國網(wǎng)絡(luò)安全公司工作的華人
在硅谷的網(wǎng)絡(luò)安全公司中有很多華人,包括弓峰敏、卜錚、Dawn Song這樣的大佬級人物、神話級人物,他們參與過或正在參與FireEye、Palo Alto Networks、Cyphort等明星企業(yè)的建造、壯大并成為高管,也包括韋韜、屈波這樣安全研究的中間力量。會(huì)議最后一天有韋韜和Yulong的演講:分享的針對手機(jī)指紋驗(yàn)證安全性研究的“刷還是不刷:對你手指的挑戰(zhàn)(To Swipe or Not to Swipe: A Challenge for Your Fingers)”。
令人意外地連演說帶演示提前分鐘就結(jié)束了,研究的結(jié)果揭示了手機(jī)指紋驗(yàn)證的若干嚴(yán)重安全問題,事后聽韋韜講,演講前遇到了巨大的壓力,被迫刪掉了很多也講稿,即使這樣,各大手機(jī)廠商也還是有高管或滿意,或郁悶地離開了會(huì)議現(xiàn)場。
韋韜與他的同事們對基于指紋身份驗(yàn)證安全性的研究的價(jià)值毋庸置疑,各大手機(jī)廠商的敏感也可以理解,但遇到安全問題遮遮掩掩總不是正確的處理方法,期待各手機(jī)廠商對指紋身份驗(yàn)證的安全性提高有具體行動(dòng)。
游艇上的麻辣小龍蝦聚會(huì)
每年RSA大會(huì)或BlackHat期間,從國內(nèi)來美國參會(huì)的朋友們總會(huì)組織一些聚會(huì),今年安全寶的馬杰組織了一場別開生面的“游艇麻辣小龍蝦聚會(huì)”,一呼百應(yīng),最后成功登船的竟然達(dá)到80來人,馬杰包下一艘游艇,來自國內(nèi)安全行業(yè)的各位同仁與美國當(dāng)?shù)毓ぷ鞯娜A人信息安全工作者,甚至還包括幾位老外,共同登船在舊金山灣游弋,品嘗麻辣小龍蝦!??!
當(dāng)然,老美白人船長和廚師所做的“麻辣小龍蝦”實(shí)在不敢恭維,遠(yuǎn)不如簋街的小龍蝦好吃,但大家的興致根本不在小龍蝦身上,整艘游艇就是一個(gè)網(wǎng)絡(luò)安全人員的大Party!不管是友商還是競爭對手,是美國的還是中國的,大家邊吃、邊喝、邊聊,邊拍照,三個(gè)小時(shí)很快就過去了,F(xiàn)ireEye的韋韜、百度的Steve、傳說中的網(wǎng)絡(luò)安全女神 Dawn Song都現(xiàn)身這個(gè)Party,這種社交效果即使在國內(nèi)也很難達(dá)到:湊齊這么多人、在相對封閉的環(huán)境、幾乎不受日常工作影響,聚會(huì)結(jié)束拍合影的時(shí)候大家已經(jīng)在計(jì)劃明年RSA大會(huì)期間的聚會(huì),或者今年BlackHat期間的聚會(huì)。
寄生的會(huì)議與形形色色的Party
因?yàn)榘踩珡臉I(yè)人員的高度聚集,RSA大會(huì)期間會(huì)“寄生”一系列的與安全有關(guān)的會(huì)議,比如云安全聯(lián)盟的會(huì)議、微軟的會(huì)議、一些民間安全組織的會(huì)議,各安全公司也樂意在這個(gè)時(shí)候舉辦各種業(yè)務(wù)推展、社交的Party,比如今年360就選擇在周二晚上舉辦了一個(gè)招待中外嘉賓的Party,弓峰敏、卜錚等硅谷屆大佬出面捧場,360總裁齊向東親自接待,還有大量來自信息安全圈、投資圈的外國嘉賓。周三晚是云安全聯(lián)盟CSA的Party,也有40來名CSA成員單位的來賓參加。
Hugh Thompson的客人:與研究腦科學(xué)的企業(yè)生產(chǎn)率提升教練談黑客,與來自好萊塢的大明星談對索尼的入侵以及黑客電影
大會(huì)的壓軸節(jié)目叫“Hugh Thompson的客人”,Hugh Thompson是RSA大會(huì)程序委員會(huì)的主席,這次請來的第一位客人是Srini Pillay,是劍橋NBG的CEO,一位通過腦科學(xué)研究來幫助企業(yè)提高生產(chǎn)效率的神人,Hugh和他談?wù)摰脑掝}包括黑客與常人到底有什么不同,黑客是不是一群“孤獨(dú)的人”等等,說的對不對,各位看官想辦法找視頻看吧,坦率講,我沒完全聽懂……
Hugh的第二位客人是好萊塢著名演員Alec Baldwin,話題自然是從索尼影業(yè)被入侵的事件談起,談黑客題材的電影,談對個(gè)人信息泄露/入侵的顧慮等,Alec思維敏捷,反應(yīng)迅速,一度讓Hugh Thompson無從插話,大家可以預(yù)期的是,年底之前肯定會(huì)有類似索尼被入侵題材的黑客電影可以看。
信心
如果要說今年參加RSA大會(huì)的最大感受,是感覺到了自信:往年參加RSA,總會(huì)看到一些神乎其技的產(chǎn)品,讓人覺得不能一眼看透,需要仔細(xì)看演示,小心翼翼地與展商交流,還得擔(dān)心人家是不是因?yàn)槲覀冮L著一張東方面孔而拒絕給我們講,今年在展會(huì)上看到的產(chǎn)品,基本是一眼就能看透,或者直接看出其中存在的問題,因?yàn)?,很多路我們已?jīng)走過了!比如基于大數(shù)據(jù)方法、基于威脅情報(bào)做網(wǎng)路攻擊檢測,比如軟件定義邊界,比如終端安全上的加強(qiáng)等等,這些今年很熱的概念,去年已經(jīng)在我們的產(chǎn)品中得到實(shí)施。
“我們航行在地圖之外”,對我們來說可能是一件好事情,大家都面臨新的挑戰(zhàn),大家的起點(diǎn)可能差不多,未來誰能占得先機(jī),看我們自己怎么做!
2016,我們舊金山莫斯科尼會(huì)議中心再見!