■胡立

美國(guó)信息安全大會(huì)RSA 2018前幾天剛剛結(jié)束，會(huì)議上的大量議題引起廣泛探討?？傮w看來，這次的議題似乎沒有什么創(chuàng)新之處，但仔細(xì)研究就能發(fā)現(xiàn)，撇去新技術(shù)的泡沫、經(jīng)歷過2017年至今大大小小的安全事件之后，關(guān)于網(wǎng)絡(luò)安全的探討更加著眼于當(dāng)下、更加腳踏實(shí)地。

當(dāng)下有哪些安全問題？廠商應(yīng)當(dāng)關(guān)注哪些領(lǐng)域？網(wǎng)絡(luò)安全行業(yè)未來會(huì)如何發(fā)展？如何應(yīng)對(duì)安全問題？通過RSA 2018大會(huì)上的一些重要議題，也許可以管中窺豹、見微知著。

物聯(lián)網(wǎng)與工控安全——萬物互聯(lián)時(shí)代的挑戰(zhàn)與機(jī)遇

長(zhǎng)期以來，物聯(lián)網(wǎng)安全一直在安全領(lǐng)域占據(jù)著重要地位。小到家庭溫度計(jì)、智能電視，大到智能汽車、工業(yè)控制系統(tǒng)，這些聯(lián)網(wǎng)設(shè)備不具有統(tǒng)一的安全標(biāo)準(zhǔn)，凸顯出的安全問題也數(shù)量龐大、各不相同。由于物聯(lián)網(wǎng)與人們的生活息息相關(guān)，其安全的重要程度也不言而喻。ESET全球安全專家花費(fèi)數(shù)月時(shí)間測(cè)試了12款物聯(lián)網(wǎng)設(shè)備，結(jié)果發(fā)現(xiàn)這些設(shè)備存在未加密的固件升級(jí)問題、未加密的攝像機(jī)視頻流、明文通信，密碼存儲(chǔ)未設(shè)置保護(hù)等安全缺陷。此外，與漏洞不大相關(guān)的過度分享數(shù)據(jù)所涉及的隱私問題也是物聯(lián)網(wǎng)安全的另一個(gè)痛點(diǎn)。對(duì)于這些問題，需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施，并注重系統(tǒng)每一個(gè)環(huán)節(jié)的安全。

在RSA展會(huì)上，有很多專注于物聯(lián)網(wǎng)安全的廠商，其中一個(gè)有代表性的就是Lynx軟件技術(shù)公司。他們認(rèn)為可以通過將內(nèi)核、內(nèi)存、應(yīng)用程序、系統(tǒng)和其他資源互相隔離的方式，打造更加安全的物聯(lián)網(wǎng)環(huán)境。當(dāng)然，對(duì)于開發(fā)而言可能效率會(huì)有所減緩，但這種方法對(duì)于航空電子設(shè)備、醫(yī)療設(shè)備等與人身安全密切相關(guān)、對(duì)安全要求更為嚴(yán)格的領(lǐng)域而言至關(guān)重要。

RSA的議程安排還突出了對(duì)工控安全的重視。其中有一項(xiàng)議題解析了黑客對(duì)工業(yè)系統(tǒng)的安全輔控系統(tǒng)SIS所發(fā)起的攻擊。其代表是2017年年底的Triton/TriSIS事件，這個(gè)攻擊針對(duì)工業(yè)環(huán)境中最高風(fēng)險(xiǎn)組件，危及工控系統(tǒng)中生產(chǎn)事故及人身安全的最后一道防線。由于工業(yè)領(lǐng)域的設(shè)備數(shù)量龐大、組成復(fù)雜，操作系統(tǒng)更新和危險(xiǎn)防護(hù)措施都難以及時(shí)落地，一旦其中一項(xiàng)遭遇攻擊，將造成嚴(yán)重威脅。

RSA大會(huì)還專門設(shè)置了 ICS、IoT、Car HACKING的sandbox環(huán)節(jié)，以及包含“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)快速上手指南”“應(yīng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部威脅”“工業(yè)IoT漏洞利用的影響”“用黑客的思維去做工程師的工作”等議題在內(nèi)的專題演講。

綜合來看，各大廠商均建議工業(yè)企業(yè)要制定IT和OT的安全策略，分析IT和OT對(duì)CIA和AIC的優(yōu)先排序，從架構(gòu)上和配置上整體考慮安全防護(hù)、應(yīng)用SOC/NOC進(jìn)行網(wǎng)絡(luò)管理和危險(xiǎn)探測(cè)、建立IT和OT一體化的安全團(tuán)隊(duì)等。各廠商的具體解決方案也有一些可參考的創(chuàng)新之處，如UPTAKE公司提出對(duì)工業(yè)大數(shù)據(jù)進(jìn)行安全監(jiān)測(cè)和響應(yīng)，盤點(diǎn)工業(yè)企業(yè)資產(chǎn)、獲得全面的安全可見性、對(duì)威脅進(jìn)行分類、調(diào)查以及補(bǔ)救來解決工業(yè)企業(yè)OT安全問題。Monaca公司則倡導(dǎo)用加密的方式從基礎(chǔ)開始建立可信度，保障工業(yè)控制系統(tǒng)和工業(yè)物聯(lián)網(wǎng)（IIOT）的安全，提供支持 ARM、MicroChip、ST、Atmel等 30多種嵌入式平臺(tái)的類OpenSSL信任平臺(tái)，可以源代碼方式提供，開發(fā)者將之編譯進(jìn)不同目標(biāo)設(shè)備，確保聯(lián)網(wǎng)設(shè)備安全。此外，還有多家公司提出SDN平臺(tái)、混合基礎(chǔ)設(shè)施和智能制造全覆蓋、安全且可信的數(shù)字基礎(chǔ)架構(gòu)等多種解決方案來應(yīng)對(duì)工控安全問題。

挑戰(zhàn)往往意味著機(jī)遇，隨著萬物互聯(lián)進(jìn)一步擴(kuò)大廣度、加大深度，安全威脅將越來越多，不論是政府部門、監(jiān)管機(jī)構(gòu)、安全廠商還是用戶的安全意識(shí)都將提高，相關(guān)政策法規(guī)、創(chuàng)新技術(shù)、產(chǎn)品等也會(huì)越來越多，逐漸落地。

數(shù)據(jù)與隱私保護(hù)成為新風(fēng)口

近期沸沸揚(yáng)揚(yáng)的 Facebook數(shù)據(jù)泄露，即將實(shí)施的GDPR，以及在RSA 2018大會(huì)的“創(chuàng)新沙盒”環(huán)節(jié)獲得冠軍、專注隱私保護(hù)的BigID公司，都預(yù)示著當(dāng)下的一個(gè)風(fēng)口：數(shù)據(jù)與隱私保護(hù)。

在當(dāng)?shù)貢r(shí)間4月18日進(jìn)行的主題演講環(huán)節(jié)上，SANS研究所的主任Alan Paller和SANS三位研究員Ed Skoudis、James Lyne、Johannes Ullrich總結(jié)分析了5種最危險(xiǎn)的的網(wǎng)絡(luò)攻擊：存儲(chǔ)庫和云存儲(chǔ)數(shù)據(jù)泄漏、大數(shù)據(jù)反匿名處理和相關(guān)性分析、攻擊者將通過挖礦機(jī)將受損系統(tǒng)貨幣化、硬件缺陷、不追求利益的工業(yè)控制性攻擊。

SANS滲透測(cè)試課程負(fù)責(zé)人Ed Skoudis認(rèn)為，當(dāng)今的軟件構(gòu)建方式依托于龐大的在線代碼庫，通過代碼庫協(xié)作、云存儲(chǔ)數(shù)據(jù)并托管關(guān)鍵應(yīng)用程序，這在帶來便利的同時(shí)也吸引了攻擊者的目光。攻擊者針對(duì)這類存儲(chǔ)庫和云存儲(chǔ)基礎(chǔ)架構(gòu)，尋找密碼、加密密鑰、訪問令牌和TB級(jí)敏感數(shù)據(jù)。

他也談到了攻擊者目標(biāo)的轉(zhuǎn)變——從計(jì)算機(jī)轉(zhuǎn)變到數(shù)據(jù)，也就是收集來自不同來源的數(shù)據(jù)并將其融合在一起，識(shí)別用戶身份，查找業(yè)務(wù)弱點(diǎn)和機(jī)會(huì)，或以其他方式破壞組織。因此，企業(yè)組織除了采取防護(hù)措施之外，還要分析其數(shù)據(jù)可能遭遇的風(fēng)險(xiǎn)。

對(duì)此，Ed Skoudis表示，應(yīng)該考慮雇用或分配一名專門的“數(shù)據(jù)管理員”，來跟蹤和管理數(shù)據(jù)資產(chǎn)，甚至培訓(xùn)系統(tǒng)架構(gòu)師和開發(fā)人員如何保護(hù)云中的數(shù)據(jù)資產(chǎn)。他表示，云服務(wù)商提供的服務(wù)可以利用機(jī)器學(xué)習(xí)和人工智能來掃描客戶的數(shù)據(jù)，以發(fā)現(xiàn)違規(guī)行為，幫助客戶分類和維護(hù)其基礎(chǔ)架構(gòu)中的數(shù)據(jù)。而企業(yè)也應(yīng)當(dāng)采取多種工具，定期審查與存儲(chǔ)在云中的數(shù)據(jù)資產(chǎn)相關(guān)的訪問日志，檢測(cè)并預(yù)防通過代碼庫導(dǎo)致的數(shù)據(jù)泄露。

SANS研究院院長(zhǎng)，SANS互聯(lián)網(wǎng)風(fēng)暴中心主任Johannes Ullrich提到了當(dāng)下大熱的加密貨幣挖礦和硬件缺陷。他認(rèn)為這兩點(diǎn)對(duì)于企業(yè)而言也是很大的風(fēng)險(xiǎn)。他提醒企業(yè)檢測(cè)挖礦行為，及時(shí)修復(fù)漏洞。同時(shí)，強(qiáng)調(diào)開發(fā)人員要學(xué)會(huì)創(chuàng)建安全軟件，不完全依賴硬件去解決安全問題。因?yàn)橐坏┯布鲥e(cuò)，整個(gè)系統(tǒng)都會(huì)蒙受性能損失，這也與之前Meltdown和Spectre漏洞相呼應(yīng)。在硬件層面，也要像軟件一樣，對(duì)系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行認(rèn)證和加密。

對(duì)于各個(gè)環(huán)節(jié)錯(cuò)綜復(fù)雜的數(shù)據(jù)問題，Ed Skoudis表示，要將數(shù)據(jù)作為一項(xiàng)資產(chǎn)來關(guān)注，而且需要更加重視隱私和公司治理的共同合作。

區(qū)塊鏈技術(shù)在重復(fù)AI的發(fā)展軌跡

區(qū)塊鏈技術(shù)是RSA 2018大會(huì)上另一個(gè)爭(zhēng)議性較大的話題。一些人認(rèn)為區(qū)塊鏈?zhǔn)菍?shí)現(xiàn)GDPR合規(guī)的關(guān)鍵，而有些人則質(zhì)疑這一技術(shù)落地的可能性。還有一些參會(huì)者則對(duì)于區(qū)塊鏈技術(shù)完全一無所知。

前兩年，AI成為IT行業(yè)的絕對(duì)熱點(diǎn)，所有的議題、所有的從業(yè)者都展開了轟轟烈烈的探討。炒作的泡沫破滅之后，深思熟慮者回歸技術(shù)落地，盲目參與者依然游走在邊緣。如今，區(qū)塊鏈技術(shù)也走上了AI的發(fā)展軌跡，正處于前期的概念探討階段和初步落地階段。

圍繞新興技術(shù)的炒作總會(huì)給開發(fā)人員帶來創(chuàng)新壓力，在這種壓力下，很多開發(fā)人員往往會(huì)忽略安全而一味求新，結(jié)果可能導(dǎo)致一系列問題。最近的研究結(jié)果表明，大多數(shù)企業(yè)并沒有將區(qū)塊鏈技術(shù)應(yīng)用于生產(chǎn)實(shí)踐，實(shí)際應(yīng)用于生產(chǎn)的企業(yè)只占3%，28%的組織正積極測(cè)試區(qū)塊鏈、20%的組織正處于發(fā)現(xiàn)或評(píng)估階段、4%的企業(yè)正在測(cè)試或試用區(qū)塊鏈技術(shù)、2%的企業(yè)正在測(cè)試或開發(fā)區(qū)塊鏈產(chǎn)品。

在RSA 2018大會(huì)上，來自Verizon和Linux基金會(huì)等企業(yè)的代表強(qiáng)調(diào)，要為安全創(chuàng)新概念化設(shè)定基準(zhǔn)問題，并分享了關(guān)于區(qū)塊鏈建設(shè)的經(jīng)驗(yàn)。企業(yè)在應(yīng)用區(qū)塊鏈技術(shù)，收集要求時(shí)，需要涉及信任模型、管理、身份和保密等內(nèi)容。區(qū)塊鏈只是一個(gè)工具，并非一項(xiàng)業(yè)務(wù)。企業(yè)廠商需要擺正態(tài)度，不能把區(qū)塊鏈當(dāng)做靈丹妙藥，而應(yīng)當(dāng)從實(shí)際應(yīng)用角度來思考其在安全領(lǐng)域的發(fā)展。

目前，企業(yè)對(duì)區(qū)塊鏈技術(shù)的應(yīng)用仍處于探索階段，到2019年的大會(huì)上，采用區(qū)塊鏈技術(shù)的產(chǎn)品或解決方案或許會(huì)成為亮點(diǎn)。

網(wǎng)絡(luò)安全沒有銀彈

進(jìn)入2018，網(wǎng)絡(luò)世界的安全問題似乎并未減少，安全事件頻發(fā)，信息泄露依然嚴(yán)重。RSA 2018大會(huì)上發(fā)布的ISACA網(wǎng)絡(luò)安全報(bào)告指出，81%的安全專業(yè)人員表示自己的企業(yè)在2018年已經(jīng)遭遇了網(wǎng)絡(luò)攻擊，50%的受訪者表示2018年至今所遭遇的網(wǎng)絡(luò)攻擊已經(jīng)超過了2017年的總和。此外，還有31%的企業(yè)表示公司董事會(huì)還沒有充分確認(rèn)企業(yè)安全的優(yōu)先級(jí)。而技術(shù)水平過關(guān)的安全人才依舊有很大缺口。此外，網(wǎng)絡(luò)安全問題已經(jīng)延伸到網(wǎng)絡(luò)的各個(gè)角落，不論是個(gè)人公民、私人公司還是政府機(jī)構(gòu)都難以幸免。

這是否意味著我們所處的網(wǎng)絡(luò)世界安全環(huán)境越來越嚴(yán)峻了呢？并不是，網(wǎng)絡(luò)安全也許正變得更好，這是RSA總裁Rohit Ghai的觀點(diǎn)。在RSA 2018大會(huì)上，Rohit Ghai發(fā)表了主題演講，他認(rèn)為，網(wǎng)絡(luò)安全正變得更好，人們逐漸放棄了“銀彈”思維，對(duì)安全有了更加正確的認(rèn)知，安全業(yè)務(wù)正著眼當(dāng)下，更加務(wù)實(shí)。

當(dāng)前，企業(yè)正采取商業(yè)驅(qū)動(dòng)的安全方法來管理數(shù)字風(fēng)險(xiǎn)。風(fēng)險(xiǎn)本身并不是威脅，太多或者太少的風(fēng)險(xiǎn)才容易帶來問題。在應(yīng)對(duì)風(fēng)險(xiǎn)過程中，存在“金發(fā)女郎效應(yīng)”（即剛剛好的狀態(tài)），企業(yè)的目標(biāo)就是引入機(jī)器學(xué)習(xí)、人工智能等當(dāng)下熱門且已經(jīng)日趨成熟的新技術(shù)，在數(shù)字化世界中達(dá)到這種狀態(tài)。

著眼當(dāng)下，腳踏實(shí)地

遠(yuǎn)離“銀彈”思維后，當(dāng)下就成了焦點(diǎn)。這也是RSA 2018大會(huì)的主題“Now Matters”所要傳達(dá)的理念。

1.DevSecOps——安全融入開發(fā)運(yùn)營(yíng)

RSA 2018大會(huì)上的一項(xiàng)報(bào)告表明，在企業(yè)開發(fā)生命周期中，應(yīng)用安全實(shí)踐的年增長(zhǎng)率達(dá)到15%。擁有成熟DevOps實(shí)踐的公司中，有59%的公司將安全自動(dòng)化納入了開發(fā)過程，有88%的公司投資于應(yīng)用程序安全培訓(xùn)；有63%的公司表示會(huì)利用安全產(chǎn)品來識(shí)別容器中的漏洞。越來越多的企業(yè)意識(shí)到將安全納入開發(fā)運(yùn)營(yíng)的重要性，并預(yù)計(jì)或已經(jīng)采取措施落實(shí)DevSecOps。

Contino的聯(lián)合創(chuàng)始人兼首席技術(shù)官Benjamin Wootton認(rèn)為，僅僅在DevOps過程中采取安全思維是不夠的，需要全面落地DevSecOps，將安全當(dāng)做軟件交付過程中的基礎(chǔ)原則。這不僅關(guān)乎開發(fā)、部署和安全的自動(dòng)化，還涉及改變整個(gè)組織的架構(gòu)（技術(shù)團(tuán)隊(duì)和其他團(tuán)隊(duì)），這都決定著整個(gè)軟件的開發(fā)周期。如果安全人員意識(shí)到這一點(diǎn)，就會(huì)發(fā)現(xiàn)，DevSecOps會(huì)成為所有大組織的選擇。

2.組建可靠的安全團(tuán)隊(duì)

然而，僅僅依靠新技術(shù)還是不夠的。新技術(shù)有助于提高安全成效，但是依照墨菲定律，新技術(shù)就等同于新的漏洞，技術(shù)既是目標(biāo)，也是武器。因此，技術(shù)背后的人也是安全發(fā)展的另一個(gè)重點(diǎn)。在技術(shù)成為雙刃劍的時(shí)候，安全團(tuán)隊(duì)的水平?jīng)Q定著企業(yè)的安全業(yè)務(wù)水平。面對(duì)日益復(fù)雜的攻擊環(huán)境，單純的防御已經(jīng)不再有效，有些威脅甚至是“防不住”的，企業(yè)需要升級(jí)應(yīng)急響應(yīng)策略，在響應(yīng)之外，也要關(guān)注攻擊事件本身，分析攻擊手段、漏洞特征等，做好威脅情報(bào)與其他安全技術(shù)的整合，將整個(gè)團(tuán)隊(duì)聯(lián)動(dòng)起來。

ISACA的數(shù)據(jù)顯示，填補(bǔ)網(wǎng)絡(luò)安全職位所需的時(shí)間有所縮短、安全管理人員的合格人選數(shù)量有所提高、企業(yè)招聘安全員工的預(yù)算有所提高，這些對(duì)于安全團(tuán)隊(duì)建設(shè)而言，無疑是好消息。

3.內(nèi)外兼顧

除了復(fù)雜的網(wǎng)絡(luò)環(huán)境和黑客攻擊帶來的外部威脅，在企業(yè)內(nèi)網(wǎng)中，各種企業(yè)內(nèi)員工的違規(guī)操作或惡意竊取事件也不斷被曝光，成為另一類重大安全隱患。因此，在RSA 2018大會(huì)上，安全負(fù)責(zé)人已經(jīng)開始將身份認(rèn)證以及數(shù)據(jù)安全視為新的安全邊界，圍繞這些話題展開了探討。有調(diào)查顯示，企業(yè)內(nèi)部員工的行為表現(xiàn)往往是危及企業(yè)數(shù)據(jù)安全的關(guān)鍵因素，60%的情況下攻擊者能夠在幾分鐘之內(nèi)搞定一家企業(yè)的網(wǎng)絡(luò)入侵。而企業(yè)供應(yīng)鏈也成為網(wǎng)絡(luò)攻擊者的新目標(biāo)。供應(yīng)商、渠道商常常受到專業(yè)人員、資金投入等方面的局限，無法為其所服務(wù)的網(wǎng)絡(luò)資源提供可靠的安全防護(hù)，成為企業(yè)遭受攻擊的一個(gè)重要渠道。

因此，企業(yè)在應(yīng)對(duì)外部威脅的同時(shí)，也要加強(qiáng)對(duì)內(nèi)部員工的審核和安全意識(shí)培訓(xùn)，由內(nèi)到外切實(shí)保護(hù)好企業(yè)安全。

當(dāng)然，在任何國(guó)家和地區(qū)，網(wǎng)絡(luò)安全都離不開政府的行動(dòng)和政策。不論是歐盟的GDPR還是我國(guó)的《網(wǎng)絡(luò)安全法》，都確保了網(wǎng)絡(luò)安全工作有法可依、有據(jù)可查。政策先行，策略才能落實(shí)，這也是RSA總裁Rohit Ghai所倡導(dǎo)和強(qiáng)調(diào)的。

與以往相比，商業(yè)利益相關(guān)者對(duì)網(wǎng)絡(luò)安全的投入更多，網(wǎng)絡(luò)安全即將成為董事會(huì)級(jí)別的事情。這只是網(wǎng)絡(luò)安全工作的本質(zhì)，我們最大的成就是永遠(yuǎn)不要登上頭條。

這句話，大概也是所有企業(yè)的心聲。