RSAC2023解讀第1期 | 未來(lái)安全趨勢(shì)揭秘

2023年的RSA Conference（RSAC2023）是全球網(wǎng)絡(luò)安全行業(yè)的又一次盛會(huì)，已于2023年4月24日至4月27日在美國(guó)舊金山順利召開。作為安全界的“奧林匹克”，RSAC大會(huì)更是網(wǎng)絡(luò)安全領(lǐng)域的重要風(fēng)向標(biāo)之一，備受矚目。華為安全技術(shù)專家們?cè)诖髸?huì)的吸引下，針對(duì)RSAC2023的眾多議題和創(chuàng)新沙盤展開探討，以本文為開篇，將推出一系列解讀文章，敬請(qǐng)持續(xù)關(guān)注。

?本期解讀專家

當(dāng)今世界處于劇烈變化階段，從去全球化到地緣政治危機(jī)爆發(fā)，各國(guó)經(jīng)濟(jì)放緩，以及AI和量子新一代革命性技術(shù)開始重構(gòu)產(chǎn)業(yè)。每年的RSAC大會(huì)是安全產(chǎn)業(yè)的市場(chǎng)風(fēng)向標(biāo)，它的主題更貼近客戶的心靈感受，從去年的Transform（轉(zhuǎn)型）到今年的Stronger Together（一起強(qiáng)大），總體是在表述“天冷了”，攻擊更多、新技術(shù)沖擊的情況下，更渴望團(tuán)結(jié)協(xié)作的力量。

安全管理者面臨的未來(lái)挑戰(zhàn)

據(jù)大會(huì)的一項(xiàng)報(bào)告，網(wǎng)絡(luò)犯罪的年GDP產(chǎn)值排在中美兩國(guó)GDP之后，可以列為第三大經(jīng)濟(jì)體，其中對(duì)勒索犯罪的關(guān)注依然是熱點(diǎn)，探討勒索軟件攻擊防護(hù)，以及付贖金的方式等話題；另外，基于地緣政治的網(wǎng)絡(luò)對(duì)抗加劇，大會(huì)討論了關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)能力，包括DDoS攻擊、釣魚欺詐、漏洞利用、供應(yīng)鏈攻擊、數(shù)據(jù)泄露等。對(duì)于這類針對(duì)性的攻擊，攻擊手段通常復(fù)雜，隱蔽性強(qiáng)，攻擊速度快，給防御留下的響應(yīng)時(shí)間窗口短。因此，需要更快速的機(jī)器反應(yīng)速度，自動(dòng)化和智能化在其中扮演著關(guān)鍵角色。

未來(lái)對(duì)安全管理者而言，挑戰(zhàn)重重，預(yù)算在消減，威脅在增大。據(jù)面向消費(fèi)領(lǐng)域的網(wǎng)絡(luò)行業(yè)安全調(diào)查顯示，安全管理者面臨的最大挑戰(zhàn)是時(shí)間管理，消費(fèi)行業(yè)安全管理者平均每周花費(fèi)27小時(shí)在非主要工作職能（即日?；顒?dòng)）上。安全管理者還有其他問題：人手不足 （66%）；任務(wù)超額 （55%）；在托管環(huán)境中缺乏可見性 （45%）；工具、技術(shù)或集成不足 （32%）等等。在風(fēng)險(xiǎn)關(guān)注上，對(duì)勒索軟件和數(shù)據(jù)丟失防護(hù)居于首位，其次是身份和訪問管理、網(wǎng)絡(luò)釣魚、業(yè)務(wù)中斷、漏洞管理、信息欺詐，以及風(fēng)險(xiǎn)治理與合規(guī)。

安全作為所有事物和復(fù)雜系統(tǒng)的屬性，就是數(shù)字世界的一個(gè)維度，可以壓縮，但不可消減。組成數(shù)字世界的眾多系統(tǒng)的不同形態(tài)，決定了安全產(chǎn)業(yè)的碎片化，100+的不同安全產(chǎn)品類型，以及人和組織制度的因素，對(duì)于安全管理者是個(gè)最大的挑戰(zhàn)。

未來(lái)安全的雙解之道：
融合安全產(chǎn)品和AI技術(shù)

從發(fā)展趨勢(shì)看，安全產(chǎn)品融合和AI在安全的應(yīng)用可以看做未來(lái)安全的兩個(gè)解決之道。在RSAC2023大會(huì)上，與會(huì)的安全專家們就這兩個(gè)話題也充分發(fā)表了意見：

一關(guān)于安全產(chǎn)品融合

安全產(chǎn)品的融合，是一直隱藏在安全運(yùn)營(yíng)背后的核心問題。無(wú)論是從經(jīng)濟(jì)角度，花更少的錢做更多的事，還是在現(xiàn)實(shí)威脅下，真正有效的管理和利用已有安全能力上，都需要安全產(chǎn)品的融合。從大會(huì)上的頂級(jí)安全專家的訪談看，安全供應(yīng)商的數(shù)量眾多，解決方案的數(shù)量也多，把安全分散到100種不同的產(chǎn)品中，會(huì)讓安全變得很復(fù)雜，而客戶需要的是無(wú)縫順滑的安全體驗(yàn)。產(chǎn)品間能夠協(xié)同工作，不同平臺(tái)融合，安全供應(yīng)商之間的協(xié)作，或者社區(qū)協(xié)作對(duì)網(wǎng)絡(luò)安全至關(guān)重要。傳統(tǒng)的七國(guó)八制的產(chǎn)品集成的建設(shè)方法，在實(shí)際的網(wǎng)絡(luò)空間安全對(duì)抗中，已被證明效果不佳，孤島和煙囪式的方案，無(wú)法有效協(xié)同。Gartner提的網(wǎng)絡(luò)安全網(wǎng)格的體系架構(gòu)，通過四個(gè)基礎(chǔ)層：安全分析和情報(bào)層，分布式身份層，策略和狀態(tài)管理層，整合儀表盤層，最終實(shí)現(xiàn)一個(gè)分布式安全服務(wù)的可組合擴(kuò)展的安全協(xié)作架構(gòu)。

二AI在安全領(lǐng)域的應(yīng)用

ChatGPT引發(fā)的無(wú)處不在的AI（Artificial Intelligence，人工智能）浪潮席卷而來(lái)，成為大會(huì)的非官方主題。智能化潛移默化，逐步滲透到安全建設(shè)的各個(gè)方面，也同時(shí)會(huì)成為各個(gè)安全廠家軍備競(jìng)賽的重點(diǎn)。會(huì)上有數(shù)十家公司宣布了他們的人工智能集成網(wǎng)絡(luò)安全產(chǎn)品，其中微軟的Security Copilot，谷歌基于LLM構(gòu)筑的Sec-PaLM，以及Security AI Workbench的第一個(gè)落地新產(chǎn)品VirusTotal Code Insight，通過分析潛在的惡意腳本并解釋其行為，最終有助于改善對(duì)哪些腳本是真正威脅的檢測(cè)。SentinelOne推出的生成AI驅(qū)動(dòng)的威脅狩獵工具Purple AI，基于數(shù)據(jù)湖之上，能自動(dòng)處理不同來(lái)源的數(shù)據(jù)，它使用自然語(yǔ)言查詢系統(tǒng)的能力將為分析師節(jié)省大量時(shí)間，并使安全團(tuán)隊(duì)能夠響應(yīng)更多警報(bào)并捕獲更多攻擊。

不管當(dāng)前實(shí)際效果如何，業(yè)界基于大語(yǔ)言模型至少在安全運(yùn)營(yíng)層面向安全分析師助理在演進(jìn)，預(yù)計(jì)會(huì)在不遠(yuǎn)的將來(lái)代替人工大量事務(wù)性的分析工作。AI在安全領(lǐng)域的應(yīng)用會(huì)是個(gè)顛覆性的工作，它在代碼安全、行為異常檢測(cè)、文件分類研判，威脅情報(bào)提取都會(huì)不斷突破，在基于身份的零信任領(lǐng)域，AI的實(shí)時(shí)評(píng)估也會(huì)不可替代。同時(shí)一個(gè)問題，也會(huì)是所有安全業(yè)者的想知道的，如何訓(xùn)練擁有一個(gè)強(qiáng)大的安全領(lǐng)域的AI模型，這里面不僅僅是算法模型的創(chuàng)新和突破，更多是需要擁有一個(gè)龐大而多樣的高質(zhì)量安全數(shù)據(jù)集，并有正確的工程訓(xùn)練的方法，來(lái)對(duì)齊訓(xùn)練人工智能模型。從已有經(jīng)驗(yàn)看，AI在安全領(lǐng)域應(yīng)用容易上手，但想達(dá)到被客戶接受的可用程度，門檻還是非常高。

在關(guān)注大方面的同時(shí)，也看看有哪些關(guān)鍵的平臺(tái)和技術(shù)方向。

未來(lái)安全的關(guān)鍵技術(shù)平臺(tái)

一SASE/SSE

作為集約化、標(biāo)準(zhǔn)化和服務(wù)化的網(wǎng)絡(luò)安全邊緣服務(wù)平臺(tái)，SASE（Secure Access Service Edge，安全訪問服務(wù)邊緣）符合客戶的降本增效的需求。埃森哲的調(diào)查顯示，客戶在討論下一代網(wǎng)絡(luò)戰(zhàn)略時(shí)，認(rèn)為SASE可以實(shí)現(xiàn)環(huán)境的靈活性和敏捷性，并降低業(yè)務(wù)的整體運(yùn)營(yíng)風(fēng)險(xiǎn)，和身份管理、零信任結(jié)合起來(lái)更強(qiáng)大。Gartner把SSE（Security Service Edge，安全服務(wù)邊緣）定義為：“SSE可以保護(hù)對(duì)Web、云服務(wù)和私有應(yīng)用程序的訪問，無(wú)論用戶的位置或他們正在使用的設(shè)備或該應(yīng)用程序托管在哪里”。SSE提供駐留在云中的安全性，并將功能與物理位置分離。同時(shí)還包含可見性或數(shù)字體驗(yàn)管理。作為MQ（Magic Quadrant，魔力象限）新品類，值得關(guān)注。

二XDR/SIEM

XDR（Extended Detection and Response，擴(kuò)展檢測(cè)與響應(yīng)）正從安全運(yùn)營(yíng)的成熟度曲線頂峰滾落，雖然從其技術(shù)框架和功能集上看，和SIEM（Security Information and Event Management，安全信息與事件管理）差異不大。但XDR對(duì)于實(shí)時(shí)檢測(cè)，響應(yīng)的及時(shí)性和有效性上更看重。一般認(rèn)為XDR都是EDR廠商演進(jìn)而來(lái)，對(duì)于檢測(cè)響應(yīng)，Telemetry信息至關(guān)重要，相比傳統(tǒng)SIEM采集的各種主機(jī)、網(wǎng)絡(luò)、云的日志信息，EDR采集的端側(cè)信息更加精確，所以能高置信度的分析研判。除了精確信息采集，XDR/SIEM平臺(tái)還強(qiáng)調(diào)自動(dòng)化響應(yīng)處置。Torq是一家初創(chuàng)公司，其技術(shù)為自動(dòng)化安全操作提供了一種無(wú)代碼方法，能連接所有基礎(chǔ)架構(gòu)環(huán)境中的所有應(yīng)用程序和堆棧，包括Slack、Zoom和Microsoft Teams；并支持任何命令行界面或編程語(yǔ)言，以及容器化操作的編排。

未來(lái)安全的關(guān)鍵技術(shù)方向

一攻擊面管理

攻擊面管理一直是安全運(yùn)營(yíng)者的高優(yōu)先級(jí)工作，其目的是幫助組織及時(shí)識(shí)別數(shù)字資產(chǎn)，提前有效預(yù)防和減輕遭受外部攻擊的風(fēng)險(xiǎn)。當(dāng)前，攻擊面管理可以通過結(jié)合ISA（Infrastructure Sensitivity Analysis，基礎(chǔ)設(shè)施敏感性分析）和BAS（Breach and Attack Simulation，入侵與攻擊模擬）技術(shù)來(lái)更好地降低受攻擊風(fēng)險(xiǎn)。

二AI模型安全

AI的廣泛應(yīng)用，使得AI模型本身的可信和安全成為關(guān)鍵。本次RSAC沙盒冠軍HiddenLayer站在了風(fēng)口，防護(hù)框架方面提出了MLDR（Machine Learning Detection and Response，機(jī)器學(xué)習(xí)檢測(cè)與響應(yīng)），復(fù)用了檢測(cè)和響應(yīng)的概念，給出面向企業(yè)的AI資產(chǎn)梳理、風(fēng)險(xiǎn)發(fā)現(xiàn)和檢測(cè)響應(yīng)比較系統(tǒng)、完整的方案。安全模型的可解釋性和抗攻擊能力，對(duì)于未來(lái)安全防護(hù)很關(guān)鍵。

三API安全

Akamai的報(bào)告顯示，針對(duì)API（Application Programming Interface，中文意為應(yīng)用程序編程接口）的攻擊在2022年又創(chuàng)了記錄，API作為數(shù)字世界不同系統(tǒng)間的橋梁，針對(duì)它的防護(hù)越來(lái)越重要。目前行為分析是用于識(shí)別攻擊和提高API安全性的主要方法之一，Akamai提出還可以在三個(gè)方面改進(jìn)：在危機(jī)發(fā)生之前緩解新的或零日漏洞，實(shí)踐安全代碼開發(fā)，以及集成自動(dòng)化安全控制來(lái)匹配攻擊的速度。

四虛假信息

敵對(duì)雙方的輿論引導(dǎo)，以及釣魚欺詐越來(lái)越多，需要對(duì)虛假信息的識(shí)別和傳播進(jìn)行檢測(cè)。有時(shí)從內(nèi)容很難判斷真假，大會(huì)提到不真實(shí)信息的檢測(cè)技術(shù)：找出傳播行為、分享行為、以及影響力評(píng)估，發(fā)現(xiàn)協(xié)調(diào)一致行為?？紤]到未來(lái)安全，人是最薄弱的因素，大語(yǔ)言AI模型生成釣魚、欺詐郵件能力強(qiáng)，防止社工攻擊最關(guān)鍵是要實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)虛假信息。

在后面的章節(jié)中，各華為安全領(lǐng)域?qū)＜視?huì)就RSAC2023大會(huì)中觀察到的一些關(guān)鍵的安全產(chǎn)品/方案以及安全相關(guān)技術(shù)的趨勢(shì)變化進(jìn)行詳細(xì)解讀，以便大家更好地掌握和應(yīng)對(duì)未來(lái)安全的變化。在巨大的不確定性和新技術(shù)變革浪潮下，安全始終要護(hù)航更美好的數(shù)字化時(shí)代：更多鏈接，更多分享，更多協(xié)同，產(chǎn)生更強(qiáng)大的生產(chǎn)力。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！