導語:計算機和AI技術的發展深刻改變了人類的生活,然而糟糕的是,我們投入了太多的精力在虛擬的網絡世界中,信任的建立看起來仍然遙不可及。
緣起
從舊金山入關的時候,頭髮花白的海關工作人員聽說是來參加RSAC會議的,問我:「你知道哪些加密算法嗎?你用什麼工具來Coding?」
必須說,當這樣的兩個問題從海關人員的嘴裡問出來,讓我感到很驚奇,以為碰到了少林寺的掃地僧,不由得一臉崇拜。老頭繼續說,他之前是一個資料庫管理員(DBA),後來從事Data Mining方向的工作,也算是一個同行了。
再一想也釋然,海關其實就是現實中的「網絡邊界」,保衛美國國土及人民的安全是他們的重要職責,配備高技能的數據分析和信息安全人員的確是非常有必要的。
2019 RSAC莫斯康尼會展中心
趨勢一:一個更安全的世界
三月份的舊金山還是陰雨綿綿,但莫斯康尼會展中心周圍卻人來人往,場內氣氛更是熱鬧非凡,跟天氣的陰冷形成強烈的反差。今年RSAC的Slogan是Better,這也是自從1995年以來RSAC每年一個的主題詞中,最簡潔、有力的一個。至於Better如何闡釋則見仁見智:更堅固的安全方案?更清晰的風險預測算法?更智能的安全運維?都沒錯,但都只回答了一方面。RSAC官方的解釋是,讓我們一起創造一個更安全的數字世界,從而讓現實世界變得更加美好。
「... 技術始終必須向前發展。但這不是唯一的答案。確保更光明的未來需要我們所有人 - 從客戶到我們這些前線的每個人 - 都要變得更好。掌握最新的威脅。加入額外的時間。將安全放在第一位。最重要的是,永遠不要忘記我們在這裡的根本原因:幫助確保一個更安全的世界,以便其他人可以專心主業來讓世界變得更好。」
RSA總裁Rohit Ghai和首席戰略官Niloofar Howe
趨勢二:信任 網絡空間存在的基礎
更好的世界需要信任的加持,在第一天的主題演講中,RSA總裁#FormatImgID_4#Rohit Ghai和首席戰略官Niloofar Howe一起為大家呈現了The Trust Landscape(信任願景)。他們把網絡空間中的「信任」比喻為人類世界中的水,是網絡空間能夠存在的基礎。Rohit Ghai對參會者講到:「我們所保護的,不僅僅是商業應用,基礎設施或者數據...我們在保護的是我們的信任」。
頗具諷刺的是,RSA算法的發明者之一、2002年圖靈獎的得主、以色列信息安全專家阿迪·沙米爾(Adi Shamir),也就是R-S-A三個字母中的S(其他兩位是Ronald Rivest和Leonard Adleman)因為沒有獲得美國的籤證而無法出席今年的會議。阿迪·沙米爾在視頻致辭中說:「如果像我這樣的人都不能去現場做主題演講, 也許我們該重新考慮在哪裡組織(下一次RSAC)活動了。」
對於美國政府來說,不給阿迪·沙米爾頒發籤證或許可以認為是「零信任(Zero Trust)」安全理念的最佳實踐了。信任的前提是不信任,只有不相信任何人,才能去相信你能夠相信的。
RSA算法的發明者之一、2002年圖靈獎得主Adi Shamir
當今世界的「零信任」之路
自從2010年Forrester資深分析師John Kindervag第一次提出,並經過Google BeyondCorp項目落地之後,業界已經快速接受了「零信任」的安全理念。
數年後的今天,Forrester的分析師已經被挖角到PAN成為其技術主管,PAN也開始「零信任」領導者的身份自居;在「零信任」理念基礎上發展出來微分域(Micro-segmentation)、軟體定義邊界(SDP)等技術也已經走向成熟;Zscaler等獨角獸級別的企業在這個領域發展壯大;思科則在去年以23.5億美金的代價收購了Duo,在軟體定義邊界(SDP)上重新出發。
在今年的RSAC上,我們看到不管是傳統的防火牆廠商,還是雲計算安全廠商,都在展示自己的「零信任」方案。筆者認為,「零信任」的架構並沒有太多新的技術,更貼近應用的邊界劃分,更精細的資產管理,更加自適應的安全策略,更高安全性的多因素身份認證技術(MFA),所有的這一切,都是「零信任」的具體實踐。
思科和Duo 的「零信任」安全之路
「零信任」安全模型的最佳實踐
微分域和流量可視化(Microsegmentation & Flow Visibility)被認為是解決雲計算內部安全問題的最佳技術方案之一,並連續三年上榜Gartner信息安全十大技術。
山石網科作為國內最早投入到雲計算安全領域的廠商之一,也是國內第一批獲得VMware Ready認證的網絡安全廠商,早在2015年就發布了創新的分布式網絡側微分域產品山石雲·格及虛擬化防火牆山石雲·界。並陸續發布了關於微分域和可視化技術、零信任安全模型等技術白皮書,在業界獲得普遍認可。今年RSAC,山石網科再一次向用戶展示了以微分域和可視化技術為核心的雲計算安全解決方案。
除了一些大牌廠商,今年RSAC「創新沙盒」演講冠軍的獲得者Axonius也是「零信任」領域的後起之秀。Axonius為客戶提供SAAS模式的資產管理及可視化產品,這是非常基礎和普通的安全技術,卻是實現「零信任」的起點。
在日漸複雜的多雲環境中的如何全面、準確的獲取資產的信息,並實現快速的安全響應並不容易。Axonius在資產管理、漏洞管理和安全合規方面都有不同程度的微創新,獲獎雖然有一定的爭議,但也顯示了評委對「零信任」這個大方向的認可。
Axonius的SAAS資產管理產品
趨勢三:「無AI不安全」
McAfee高級副總裁兼首席技術官Steve Grobman在主題演講中探討了AI和機器學習這把雙刃劍。AI可以削弱公眾對技術的信任,也可以增強我們的技術手段以重建信任。
早在去年的RSAC上,我們就看到各廠商對於AI的追捧,今年更多的廠商的產品中都打上了AI的標記,幾乎已經到了無AI不安全的程度。比如PAN展示了他們的Cortex威脅分析平臺,Lastline展示了採用AI和機器學習來進行更好的網絡分析(NTA)和威脅分析(APT)。
PAN的Cortex 威脅分析平臺
思科則展示了一項AI黑科技,不經解密而憑藉機器學習和統計分析就能發現加密流量中的惡意軟體。由於可以節省大量的用於解密的CPU資源,同時又完全兼容現有的部署,思科的這項技術如果有效的話,將會具有非常高的產業價值。
思科的AI黑科技
然而「技術無關道德」,AI可以幫助我們更好的檢測到威脅,也可以放大攻擊者的威脅,比如網際網路上的爬蟲尤其是惡意機器流量,亟需進行準確的識別和管理。網際網路上的機器流量的規模一度超過真實的流量,對用戶的業務來說這是很大的困擾。
我們是否還可以信任我們業務系統中的流量,抑或在面對爬蟲、薅羊毛時束手無策?針對這一情況,流量分發者們比如F5、Akamai、Radware都展示了他們的解決方案。
F5展示機器流量識別的商業價值
Akamai 展示如何應對複雜的機器流量攻擊
山石網科AI基因
山石網科的Web應用防火牆也採用最新的機器學習技術來進行爬蟲檢測。針對機器流量,傳統的靜態檢測方法(識別IP、User-agent)通常是無效的,需要綜合利用各種手段,包括和客戶端、伺服器進行互動獲取設備指紋,並採用機器學習技術來進行建模,通過多維度的行為分析來分辨出正常流量、搜尋引擎爬蟲和惡意機器流量,進而採用不同的管理措施。
除了「零信任」架構和AI,本屆RSAC上圍繞信任的討論還可以引申到各個安全領域,比如DevSecOps、IOT安全、API安全等等。在雲計算和敏捷交付的大趨勢下如何確保更好的安全,從而構建一個真正可以信任的世界,或許我們都是在逐步摸索的過程中。主題演講的最後,Rohit Ghai和Niloofar Howe給出的建議是:
●意識到風險和信任並存
●人類和機器合作,而不是各自為戰
●建立信任鏈條
這三條建議可謂意味深長,在當前的安全現狀下,我們不可能阻擋所有的攻擊,更多的是要做好風險控制,把損失降到最小;在正視安全風險將會長期存在的前提下,充分發揮機器處理的優勢,建立威脅信息的收集和共享機制,逐步建立和完善信任鏈條,提升整個安全產業的響應和服務水平。
後記:
三十五年前,科幻大師阿西莫夫曾應《多倫多星報紙》(The Star)的邀請,寫下了對 2019 年的猜想:計算機應用變得普遍,「智能」機器將可能成為新興的行業,太空旅行將會變得成熟,人類能夠「大規模登月」進行採礦工作,並將能量通過微波傳輸回地球。
如同阿西莫夫的預料一樣,計算機和AI技術的發展深刻改變了人類的生活,然而太空旅行的進度卻遠遠落後了。更糟糕的是,我們投入了太多的精力在虛擬的網絡世界中,信任的建立看起來仍然遙不可及。如果可以不去經受這些人性的考驗,或許我們能像阿西莫夫預料的一樣,把更多的精力放在太空探索上,並取得輝煌的成就。或許這是人類社會更Better 的發展方向。