前言
摔倒后,站起来!这就是Resilience(弹性)。
注:Resilience和Resiliency是可替换的拼写方式,译为弹性、韧性、复原能力皆可,本文统一为“弹性”。
2020年以出乎意料的疫情考验了全人类,使RSAC 2021的主题“弹性”(Resilience)比历届都更能引起共鸣。
RSAC 2021已于太平洋时间5月17日8:00(北京时间当晚23:00)召开,这是继2020年360首创“互联网安全大会(ISC)” 虚拟云端峰会模式后,RSAC 同样采用了网络虚拟会议的形式举办,再次印证了全球顶级峰会的云端趋势。360安全专家团队和市场团队第一时间蹲夜守候,为安全行业传递RSAC声音。
变化的是形式,不变的是热情
RSAC大会始于1991年,由美国RSA公司发起,至今正好30岁。正如RSA算法已经家喻户晓,RSAC大会也已成为全球公认最权威的年度安全盛会。近几年来,现场参会人数多达4-5万人。而今年最大的变化是采用线上网络虚拟会议的形式举办。
RSAC最早是RSA发起的,而RSA的名字来自于密码和安全界无人不知的RSA算法的三位创造者。而其中最著名的R(Rivest)和S(Shamir)都到场了。另外,还有大名鼎鼎的DH算法创造者之一Diffie。
何为“弹性”
RSAC大会每年都会有一个主题,本次大会的主题是Resilience(弹性)。我们由于关注美军和美国网络安全技术发展,很早就意识到“弹性”有可能成为某届RSAC的主题。比如说:
2017年,MITRE发布《网络弹性设计原则》(Cyber Resiliency DesignPrinciples)。
2018年,MITRE发布《网络弹性指标、有效性度量和评分》(Cyber ResiliencyMetrics , Measures of Effectiveness , and Scoring)。
2018年,美国国防部在《国防部网络战略2018》中提出“提升美国关键基础设施弹性”的战略途径。
2019年11月,NIST正式发布SP800-160(卷2)《开发网络弹性系统:一种系统安全工程方法》(Developing Cyber Resilient Systems: A Systems Security EngineeringApproach)。
2019年11月,美国国土安全部和国务院共同发布《关键基础设施安全和弹性指南》。
2020年,RAND(兰德)发布报告《度量网络空间安全和网络弹性》(MeasuringCybersecurity and Cyber Resiliency)。
弹性来自“网络弹性”、“业务弹性”等概念。乍一听,它更像是一个业务连续性概念,通常与备份/恢复手段密切相关。
但“弹性”是一个大概念。NIST SP 800-160(卷2)提出的网络弹性解决方案(也称网络弹性工程框架)是比较权威和全面的(如下图所示)。它将网络弹性(Cyber resiliency)定义为预防、抵御、恢复、适应那些施加于含有网络资源的系统的不利条件、压力、攻击或损害的能力。
图-NISTSP 800-160(卷2)网络弹性解决方案
由上图可见,网络弹性的目的是预防、抵御、恢复、适应。这与安全圈里熟知的PPDRR(预防-防护-检测-响应-恢复)安全模型的覆盖面差不多。NISTSP 800-160专门解释了为何将网络弹性的范畴,定义得如此宽泛。同时特别强调:所有关于网络弹性的讨论,都必须基于以下两点:
聚焦于保障任务或业务功能;
基于这样一个假设:对手必将突破防御,并在组织系统中长期存在。
弹性如此重要,是因为如果没有弹性,政府就可能停摆,企业就可能停产甚至破产。只要想想全球疫情导致多少无法现场工作的情况,就知道它对业务连续性产生了多大影响,这也是为什么远程办公突然变得如此重要。最近美国本土发生的“油管”勒索事件,也许就是对本次大会主题意义的最佳印证吧。
强调弹性,意味着网络安全重点从攻击预防转变为增强网络弹性:既然入侵不能避免,考虑维持业务正常运营,从攻击中快速恢复过来才是更现实的选择。
开启“弹性”之旅
开幕式的第一个演讲来自RSA首席执行官Rohit Ghai的《弹性之旅》(A Resilient Journey)。Rohit Ghai认为,在2020年,网络安全经受住了全球疫情和网络攻击的考验。但下一次考验随时到来,我们必须踏上弹性之旅。
Rohit Ghai认为,正确地制定框架对于解决问题是至关重要的。而网络弹性正是一种很好的方式,来为网络安全行业的问题制定框架。网络安全行业的共同目标不是避免摔倒,而是摔倒后能爬起来,这就是弹性。
图片来源网络
Rohit Ghai非常擅长讲故事,他通过分享老虎、飞机、缝纫机这三个故事,来传达他提高弹性的框架方法:
第一个故事关于老虎。这是指2020年上映的《虎王》电影,产生了两亿多的播放人次。这得益于其容错体系结构的设计。这使我们联想到,如何在当今的混乱环境中,控制安全性。解决思路有3条:
一是预测:这需要安全检测、评估、可见性、威胁情报、模拟攻击等能力;
二是零信任:零信任非常非常重要。而最重要的就是要限制信任,不要把信任过度放大。
三是网络分段:包括东西向分段和南北向分段,并隔离所有受到攻击的部分。就像我们戴口罩,不仅仅是保护自己,也是为了保护别人。
第二个故事关于飞机。在第二次世界大战中,盟国希望增强对战斗机的保护,所以他们与哥伦比亚大学的一位统计学家合作。统计学家检查了从飞行任务中返回的受损飞机后,并没有去加强弹孔多的部位(如机翼),反而是加强弹孔少的部位(如尾翼和驾驶舱)。这种反常识的能力,来自于一个著名的心理学现象——幸存者偏差:很多时候,我们只能统计幸存者,而无法统计坠毁者。但仔细想想就会恍然大悟,那些被击落的飞机,可能恰恰是被击中了那些弹孔少的部位!
飞机的故事使我们联想到当今的问题:如何对最大风险的区域进行优先保护?从网络到端点,到云到IoT,需要都整合到一起,实现基于风险的智能优先级排序,从而保护那些最重要的领域。即使我们跌倒的话,我们也能忍受这样的风险。
第二个故事关于缝纫机。印度在疫情封锁期间,要求每个人必须呆在家里面。而印度某协会的妇女们就在家里利用缝纫机,来为医院、政府做出贡献。这个故事告诉我们,社区是共同成长的,所以她们才能够发挥更加重要的作用。
类似地,在网络安全方面,也需要有包容性,也需要培育安全社区。只有这样,才能发挥更大的价值。而RSAC大会就起到了这样的作用。Rohit Ghai还举了一个黑客少年从善的案例,并呼吁:“我们永远不要放弃这些人才,而是要去招募越来越多的人才,然后共同成长,而不是培养敌人。”
最后,RohitGhai提醒我们:我们目前还没有遇到一个全球性的网络疫情,说明我们还没有被充分考验。弹性之程才刚刚开始,老虎、飞机、缝纫机这三个故事分别教会我们如何跌倒得更少、更快站起来、更有弹性。
网络安全共创未来
第2个主题演讲来自思科董事长兼首席执行官Chuck Robbins,他的演讲题目是《面向包容性未来的网络安全》(Cybersecurity for an Inclusive Future)。
图片来源网络
Chuck Robbins指出,面对疫情和新的混合世界,每个行业的每个组织都致力于保持业务弹性。我们的目的就是希望能够为所有人打造一个更具包容性的未来,而安全必须是一切的中心。
他强调了连接的重要性,对于落地地区,如果能够把他们连接起来,然后又给他们一些合适的技术,就能够很有力的改变他们的现状。所以,我们需要扩展这种连接性带给人类的机遇,而连接性又需要受到安全保护。所以,从疫情中复苏必须是一种包容的复苏,也必须是一种安全的复苏。Chuck Robbins还强调了零信任、XDR、安全人才培养的重要性。
安全需要直言不讳
第3个演讲是《影响网络安全变化的大实话》(Telling Hard Truths to Impact Change in Cybersecurity),来自VMware全球治理、风险和合规主管Angela Weinman和Netflix DVD信息安全主管Jimmy Sanders。
图片来源网络
两位演讲者声称都热衷于推动安全方面的变革。他们认为,新的员工工作模式和日益复杂的入侵行为,要求安全领导人成为讲真话者并采取行动。总之,这个演讲的核心就是讲真话,解决真实问题,目的是加强网络安全的弹性。
第一句真话是,现在没有管理好风险。安全风险缺乏焦点。而如果不能准确的识别确定风险,我们就很难很快的从危害的影响当中恢复过来。必须以风险为驱动因素,衡量投入/产出价值,把有限资源投入在最值得优先考虑的领域。
第二句真话是,传统安全做法正在拖后腿。我们必须创造一种包容性的环境,让多元化的想法能够同台竞争,让桌上的每一个声音都能被听到,让最好、最先进的想法获胜。这样才可以改善我们的整体安全态势。
第三句真话是,安全不是一项单独的运动。在过去一年,正是互相交流帮助我们度过难关。这也正是安全社区的价值,我们需要所有人的努力,需要同行的合作。这反映了“滚雪球效应”,因为所有伟大的想法都是建立在彼此的基础上的。
数学卓越奖
接下来是RSAC会议奖“数学领域卓越奖”(Excellence in the Field of Mathematics)的颁奖环节。该奖项旨在表彰那些在密码学领域是先驱者且其工作具有持久价值的被提名人,他们来自大学和研究实验室。
图片来源网络
本届“数学领域卓越奖”获奖者是法国国家科学研究院高级研究员David Pointcheval。他专门从事实用协议的设计和分析,并提高它们的安全性,不仅推进了密码学的理论,而且降低了现实世界中的业务风险。
密码学专家小组讨论
RSAC大会每年都会以“密码学专家小组讨论”(The Cryptographers' Panel)作为开幕日的必备项目。密码学的奠基人和领导者共同讨论网络安全行业所面临的最紧迫问题。有趣的是,会前并不公布所讨论的话题,有时话题也很发散,会随兴所至。
图片来源网络
这一次,主持人Ross Anderson与Ronald Rivest、Adi Shamir、Zulfikar Ramzan同台在线,谈论了比特币、负责任披露、量子计算机、机器学习和AI安全、供应链安全、工程隐私、网络弹性等话题。
图片来源网络
最后,主持人Ross Anderson还对Whitfield Diffie进行了专访。当主持人询问:未来的网络安全会是怎么样的?Whitfield Diffie回答说:人们既想自由,又想连接。但我们的自由是被削减的,我们现在所享受到的自由,在将来看可能非常难得,我们在那个时候可能会特别怀念现在的我们还有一定的隐私性。
期待你的发现
是的,在介绍完开幕式的主体演讲之后,需要你继续发现令你感兴趣的议题。本次会议的议题非常多,官方说法是24个内容主题(Track),200多个具体议题(sessions)。而具体的议程似乎多达500个。讨论相对比较多的领域包括:弹性;零信任;威胁情报;安全框架(如MITER ATT&CK攻击框架和MITER Shield防御框架、NIST CSF网络安全框架等);5G网与边缘计算;物联网安全;云安全;供应链安全;AI攻防;数据安全与个人隐私等。
此外,创新沙盒作为安全行业的技术风向标,必受关注。已经入选的10强创新产品包括:1)Abnormal-邮件网关;2)Apiiro公司-SDL产品;3)Axis security公司-零信任产品;4)Cape Privacy公司-加密机器学习平台;5)DEDUCE公司-身份安全验证平台;6)OPEN RAVEN公司-云数据安全平台;7)Satori公司-数据访问安全平台;8)STRATA公司-多云身份管理平台;9)WABBI公司-DevSecOps基础架构平台;10)WIZ-云基础设施安全平台。可以看出,云安全、零信任、身份安全、数据访问安全等是被关注的焦点。
后记
弹性是一个宣言,是人类不屈的决心!尤其是当安全行业团结在一起时,才可以展现更大的弹性和韧性。当每个你和我都能做出一份努力的话,这个世界就会变得更安全、更美好。
NIST网络弹性指南专门指出:“对网络弹性领域的指引,来源于对威胁形势的理解,尤其是对APT的理解。”作为国内应对APT的超级核心力量,360政企安全将持续关注网络威胁形势和安全创新动态,基于360安全大脑为核心的数字安全能力体系和安全生态体系,为国家、行业、城市、政企的数字化转型和网络/业务弹性保驾护航。
在实践角度而言,360安全大脑为核心的数字安全能力体系在“弹性”(Resilience)的概念基础上又向前推动一步,因为这是具有“主动弹性”(Proactive Resilience)的实战体系。
简单地说,360数字安全能力体系,是一个建立在海量安全大数据、实战型安全专家团队、漏洞挖掘能力、安全对抗知识库、APT狩猎能力、云端公共服务等安全能力的融合体。其目的,是建立一种同时具备环境意识、自我意识和改进能力的“主动弹性”。它不仅是在遭受破坏时能继续运作,而是能够主动“看见”破坏,预测破坏,并在破坏发生之前有所准备。此前,360公司多次率先发现的全球0day漏洞攻击,就是得益于这套协同体系的“主动识别”机能。
现在我们的国家、城市、行业、企事业单位所构建的业务系统变得越发复杂,以至于没有谁能够说明其整个运行本质。主动识别由复杂分布式系统所引起的系统安全故障,主动发现和解决重大漏洞,主动暴露“未知的未知”,则能够更好地发现和应对非预期事件。