RSA 2013峰會(huì)共有350家安全廠商參加，參展廠家數(shù)量超過(guò)了以往RSA年會(huì)。這兩年RSA大會(huì)的關(guān)注熱點(diǎn)并沒(méi)有太多的變化，從圖中可以看到，熱點(diǎn)依然還是數(shù)據(jù)安全、企業(yè)安全管理、合規(guī)性、應(yīng)用程序安全、DLP等，但是通過(guò)對(duì)比2012和2013兩次RSA大會(huì)發(fā)現(xiàn)，RSA2012展會(huì)的支撐性廠商大部分是做硬件的，多強(qiáng)調(diào)產(chǎn)品性能，代表性產(chǎn)品是UTM和NGFW;RSA2013年展會(huì)的支撐性廠商多強(qiáng)調(diào)安全功能，代表性產(chǎn)品是安全監(jiān)控和分析產(chǎn)品，比如，今年很多廠商都在宣傳APT檢測(cè)和防御產(chǎn)品。

RSA 2013熱點(diǎn)排名

本次RSA峰會(huì)啟明星辰關(guān)注的熱點(diǎn)技術(shù)包括：大數(shù)據(jù)和APT、安全事件分析、脆弱性管理、身份標(biāo)識(shí)管理、Web應(yīng)用安全、安全網(wǎng)關(guān)、無(wú)線網(wǎng)絡(luò)安全、云計(jì)算安全、數(shù)據(jù)防泄密和智能沙盒，下面是對(duì)一些技術(shù)熱點(diǎn)的分析。

大數(shù)據(jù)和APT檢測(cè)

大數(shù)據(jù)和APT檢測(cè)絕對(duì)是RSA2013大會(huì)的最熱點(diǎn)。有很多廠商都提出了自己的APT安全解決方案。我們可以把這些方案分為四類：

1、惡意代碼檢測(cè)類：該類APT解決方案其實(shí)就是檢測(cè)APT攻擊過(guò)程中的惡意代碼傳播步驟，因?yàn)榇蠖鄶?shù)APT攻擊都是采用惡意代碼來(lái)攻擊員工個(gè)人電腦以進(jìn)入目標(biāo)網(wǎng)絡(luò)，因此，惡意代碼的檢測(cè)至關(guān)重要。很多做惡意代碼檢測(cè)的安全廠商就是從惡意代碼檢測(cè)入手來(lái)制定APT攻擊檢測(cè)和防御方案的，典型代表廠商包括FireEye和GFI Software。

2、主機(jī)應(yīng)用保護(hù)類：不管攻擊者通過(guò)何種渠道發(fā)送給組織員工的惡意代碼，必須在員工的個(gè)人電腦上執(zhí)行，因此，如果能夠確保員工個(gè)人電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來(lái)控制個(gè)人主機(jī)上應(yīng)用程序的加載和執(zhí)行情況，從而防止惡意代碼在員工電腦上執(zhí)行。很多做終端安全的廠商就是從這個(gè)角度入手來(lái)制定APT攻擊防御方案，典型代表廠商包括Bit9。

3、網(wǎng)絡(luò)入侵檢測(cè)類：就是通過(guò)網(wǎng)絡(luò)邊界處的入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網(wǎng)絡(luò)通信的命令和控制通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT通信通道。典型代表廠商有趨勢(shì)科技、飛塔等。

4、大數(shù)據(jù)分析檢測(cè)APT類：該類APT攻擊檢測(cè)方案并不重點(diǎn)檢測(cè)APT攻擊中的某個(gè)步驟，而是通過(guò)全面收集重要終端和服務(wù)器上的日志信息以及采集網(wǎng)絡(luò)設(shè)備上的原始流量，進(jìn)行集中分析和數(shù)據(jù)挖掘。它是一種網(wǎng)絡(luò)取證思路，它可以在發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，通過(guò)全面分析海量數(shù)據(jù)，從而還原整個(gè)APT攻擊場(chǎng)景。大多數(shù)擁有大數(shù)據(jù)分析技術(shù)的廠商都采用這種思路來(lái)檢測(cè)APT攻擊。典型的廠商有RSA和SOLERA。

安全事件分析(SIEM)

本次RSA大會(huì)參展的SIEM廠商較多，包括RSA、Arcsight、LogRhythm、Agiliance、AlertLogic、AlienVault、SenSage等著名的SIEM公司。一些系統(tǒng)廠商也通過(guò)并購(gòu)動(dòng)作進(jìn)入SIEM市場(chǎng)，比如HP收購(gòu)了Arcsight。從展會(huì)情況看，傳統(tǒng)SIEM廠商比如RSA和Arcsight等依然實(shí)力很強(qiáng)大，但根據(jù)gartner魔力象限數(shù)據(jù)看出，新型SIEM廠商LogRhytm從2012年開(kāi)始已經(jīng)超過(guò)RSA和Arcsight，成為了SIEM領(lǐng)域的領(lǐng)頭羊。SIEM看點(diǎn)是，這些SIEM安全產(chǎn)品提出了下一代SOC概念，LogRhythm提出了SIEM2.0概念，它在傳統(tǒng)SIEM功能上集成了文件完整性監(jiān)控和主機(jī)行為監(jiān)控功能，目標(biāo)瞄準(zhǔn)APT攻擊檢測(cè)。我們還看到的另一個(gè)現(xiàn)象是，很多SIEM廠商開(kāi)始采用大數(shù)據(jù)技術(shù)來(lái)做日志和安全事件分析，代表廠商是splunk。

脆弱性管理

今年的RSA大會(huì)同樣吸引了很多脆弱性管理廠商，包括Qualys、nCircle和Secunia等，今年這些廠商都在強(qiáng)調(diào)脆弱性管理過(guò)程。Qualys公司推出了基于云的脆弱性管理服務(wù)，該服務(wù)覆蓋脆弱性整個(gè)生命周期，包括漏洞挖掘、漏洞掃描、漏洞評(píng)估和漏洞補(bǔ)丁管理等，從而可以實(shí)現(xiàn)集中脆弱性監(jiān)控、掃描和防護(hù)。nCircle也推出了基于云的脆弱性管理服務(wù)，主要客戶是大公司和企業(yè)，它提出以補(bǔ)丁管理為中心的脆弱性管理概念。Secunia本次不再宣傳其漏洞掃描器，而是強(qiáng)調(diào)脆弱性管理過(guò)程，基于其脆弱性管理套件提出了一個(gè)補(bǔ)丁管理過(guò)程，包括脆弱性挖掘、脆弱性掃描、補(bǔ)丁自動(dòng)創(chuàng)建和補(bǔ)丁部署等步驟。

身份標(biāo)識(shí)管理(IAM)

身份標(biāo)識(shí)管理也一直是RSA大會(huì)的熱點(diǎn)，很多廠商涉足這個(gè)領(lǐng)域。以前的身份標(biāo)識(shí)管理廠商只做身份標(biāo)識(shí)管理產(chǎn)品，現(xiàn)在，很多廠商開(kāi)始運(yùn)營(yíng)身份標(biāo)識(shí)管理服務(wù)，包括基于云的身份標(biāo)識(shí)管理服務(wù)。目前提供身份標(biāo)識(shí)管理的廠商多為小型創(chuàng)業(yè)公司，但伴隨著云計(jì)算的日益普及，將會(huì)有很多大公司進(jìn)入身份標(biāo)識(shí)管理服務(wù)領(lǐng)域。在身份認(rèn)證方面，目前帶外認(rèn)證技術(shù)已經(jīng)非常流行，包括Entrust、Authentify公司的移動(dòng)電話號(hào)碼、pin碼、語(yǔ)音識(shí)別認(rèn)證技術(shù);同時(shí)我們也看到了一些新型公司如HID和SPYRUS在使用生物特征識(shí)別技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證。身份標(biāo)識(shí)管理方面的另一個(gè)趨勢(shì)是，很多身份標(biāo)識(shí)管理廠商推出基于云架構(gòu)的單點(diǎn)登錄(SSO)服務(wù)，從而可以解決客戶的多系統(tǒng)、多Web應(yīng)用之間的一次性認(rèn)證問(wèn)題。

Web應(yīng)用安全

應(yīng)用安全一直以來(lái)是人們關(guān)注的重點(diǎn)，應(yīng)用安全中最主要的安全問(wèn)題是Web安全。本次RSA展會(huì)，著名的Web安全廠商包括WebSense、Barracuda和Imperva都展出了自己的Web安全產(chǎn)品。Web安全產(chǎn)品可以分為兩類：Web應(yīng)用防火墻(WAF)，它部署在Web服務(wù)器端用來(lái)保護(hù)Web服務(wù)器的安全;Web網(wǎng)關(guān)，部署在企業(yè)網(wǎng)邊界，用來(lái)保護(hù)企業(yè)內(nèi)部上網(wǎng)用戶免受來(lái)自Web的網(wǎng)頁(yè)木馬或惡意代碼的攻擊，或者規(guī)范用戶的Web訪問(wèn)行為。Imperva展出了其Web應(yīng)用防火墻產(chǎn)品，除了可以為Web服務(wù)器提供傳統(tǒng)的實(shí)時(shí)Web攻擊防護(hù)外，還可以提供包括訪問(wèn)審計(jì)、取證分析和數(shù)據(jù)防泄密等新型安全功能;Imperva WAF還具有環(huán)境感知能力，通過(guò)主動(dòng)掃描或者第三方掃描結(jié)果導(dǎo)入等方法收集被保護(hù)Web服務(wù)器的一些脆弱性信息(包括漏洞和配置信息)，從而為Web服務(wù)器提供虛擬化補(bǔ)丁等高級(jí)安全功能。WebSense是Web安全防護(hù)領(lǐng)域的佼佼者，其WAF可以提供分角色管理和應(yīng)用加速等功能;此外，Websense的Web網(wǎng)關(guān)產(chǎn)品提供包括DLP、網(wǎng)絡(luò)分類和細(xì)粒度訪問(wèn)控制等安全功能。Barracuda也同時(shí)展出了其WAF和Web網(wǎng)關(guān)產(chǎn)品，其中，WAF產(chǎn)品提供了緩存加速、連接池、內(nèi)容壓縮、負(fù)載均衡等特性。

安全網(wǎng)關(guān)

本次RSA峰會(huì)吸引了包括Fortinet、Cyberoam、Juniper、Sourcefire、華為、SonicWall、Palo Alto在內(nèi)的著名安全網(wǎng)關(guān)廠商，NGFW與UTM仍然是這些廠商的宣傳重點(diǎn)。關(guān)于NGFW和UTM概念，各廠商的理解有所不同。NGFW代表廠商Palo Alto認(rèn)為NGFW首要關(guān)注產(chǎn)品對(duì)應(yīng)用的識(shí)別與控制，傳統(tǒng)防火墻功能其次;UTM代表廠商Fortinet認(rèn)為NGFW產(chǎn)品是UTM產(chǎn)品的功能子集，NGFW概念是在UTM之后出現(xiàn)，因?yàn)橛杏脩糁魂P(guān)注NGFW功能，不需要全功能UTM，因此誕生了NGFW概念。但我們看到，NGFW與UTM從產(chǎn)品角度來(lái)看呈現(xiàn)出趨同趨勢(shì)，比如，Palo Alto在增強(qiáng)其NGFW產(chǎn)品的AV功能，該功能在標(biāo)準(zhǔn)的NGFW定義中是沒(méi)有要求的;Fortinet在其最新UTM產(chǎn)品中增強(qiáng)了抗DDoS功能。安全網(wǎng)關(guān)的技術(shù)發(fā)展動(dòng)態(tài)主要表現(xiàn)在以下幾點(diǎn)：采用智能沙箱、異常檢測(cè)等方法來(lái)彌補(bǔ)傳統(tǒng)基于特征匹配的檢測(cè)方法不足;開(kāi)始融合大數(shù)據(jù)分析技術(shù)，并注重安全威脅情報(bào)收集;注重網(wǎng)絡(luò)流量的可視化，有些產(chǎn)品可以對(duì)全流量數(shù)據(jù)進(jìn)行深度分析，可以實(shí)現(xiàn)網(wǎng)絡(luò)流量的回溯和關(guān)聯(lián)分析;安全網(wǎng)關(guān)實(shí)現(xiàn)模式也在發(fā)生變化，由先前的集中網(wǎng)關(guān)模式變?yōu)榍昂蠖四Ｊ剑岸巳匀皇前踩W(wǎng)關(guān)，而后端是云計(jì)算。

無(wú)線網(wǎng)絡(luò)安全

無(wú)線網(wǎng)絡(luò)安全也頗受關(guān)注。本次展會(huì)上Motorola展示了一個(gè)無(wú)線管理平臺(tái)——AirDefense，通過(guò)從AP端的傳感器實(shí)時(shí)獲取檢測(cè)信號(hào)，發(fā)現(xiàn)問(wèn)題、分析故障和優(yōu)化網(wǎng)絡(luò)。AirDefense可以定位問(wèn)題AP并立刻進(jìn)行處理，包括重啟故障AP，增大AP功率或者端口問(wèn)題終端等。RSA通過(guò)收購(gòu)Meraki進(jìn)入無(wú)線安全領(lǐng)域。Meraki最早提供AP產(chǎn)品，后來(lái)發(fā)展UTM產(chǎn)品線，其低端UTM在傳統(tǒng)安全功能基礎(chǔ)上提供無(wú)線接入及無(wú)線IPS功能。移動(dòng)安全和BYOD是無(wú)線網(wǎng)絡(luò)安全中的熱點(diǎn)，典型廠商包括InfoExpress、Fasoo、PointSharp和華為。比如，Airwatch提供全面的移動(dòng)安全解決方案，包括移動(dòng)設(shè)備管理、移動(dòng)應(yīng)用管理和移動(dòng)內(nèi)容管理等服務(wù);Mocana提出了安全沙箱的移動(dòng)APP防護(hù)方案，可以為現(xiàn)有移動(dòng)APP提供包括安全認(rèn)證、數(shù)據(jù)加密和位置隱藏等能力。通過(guò)對(duì)這些移動(dòng)安全解決方案分析發(fā)現(xiàn)，使用的技術(shù)不外乎是應(yīng)用虛擬化、虛擬桌面和沙箱技術(shù)。

云計(jì)算安全

云計(jì)算安全和基于云計(jì)算模式的安全服務(wù)是本屆RSA大會(huì)的熱點(diǎn)。微軟在RSA大會(huì)上發(fā)布了免費(fèi)CSRT工具，CSRT是一個(gè)調(diào)查工具，可幫助企業(yè)組織審查和了解他們的IT成熟度水平和他們是否準(zhǔn)備好將其業(yè)務(wù)遷移到云中，CSRT工具采用云控制矩陣，來(lái)考慮數(shù)據(jù)安全性、隱私和可靠性因素以及關(guān)鍵的合規(guī)性因素。云安全聯(lián)盟(CSA)在RSA峰會(huì)上發(fā)布了2013年云計(jì)算安全威脅報(bào)告，列出了9大云計(jì)算安全威脅，包括：1.數(shù)據(jù)泄露;2.數(shù)據(jù)丟失;3.賬戶劫持;4.不安全的API;5.拒絕服務(wù)攻擊;6.內(nèi)部人員的惡意操作;7.云計(jì)算服務(wù)的濫用;8.云服務(wù)規(guī)劃不合理;9.共享技術(shù)的漏洞問(wèn)題。此外，針對(duì)虛擬化和云計(jì)算基礎(chǔ)架構(gòu)，也有安全廠商展出其相應(yīng)的安全解決方案;趨勢(shì)科技針對(duì)VMware等虛擬化基礎(chǔ)架構(gòu)提供基于Deep security的安全解決方案，保證VMware等的安全;checkpoint、Fortinet等安全廠商針對(duì)云計(jì)算多租戶特點(diǎn)，將傳統(tǒng)安全產(chǎn)品轉(zhuǎn)換為虛擬安全器件，從而可以部署在VMware等虛擬化基礎(chǔ)架構(gòu)上面，為多租戶提供獨(dú)立的安全服務(wù)。VMware軟件定義的數(shù)據(jù)中心，將它的Vshied安全套件包裝到了VCD軟件包中，從而實(shí)現(xiàn)虛擬數(shù)據(jù)中心的安全。

數(shù)據(jù)防泄密(DLP)

數(shù)據(jù)防泄密是歷屆RSA大會(huì)的熱點(diǎn)，本屆也不例外，且熱度繼續(xù)上升，從2012年排名13位提升為2013年第9位。本屆RSA大會(huì)有超過(guò)37家公司宣傳重點(diǎn)DLP，有超過(guò)100家涉及DLP。我們可以將DLP廠商分為兩類：1、側(cè)重DLP終端的廠商，這主要是傳統(tǒng)防病毒廠商，包括McAfee、Symantec、Sophos和趨勢(shì)科技等;側(cè)重DLP網(wǎng)關(guān)的廠商，這主要是傳統(tǒng)的FW/IPS廠商，包括Websense、TrustWave、WatchGuard、Paloalto。這些年來(lái)發(fā)生的一系列數(shù)據(jù)泄密安全事件，使得越來(lái)越多的人重視數(shù)據(jù)安全問(wèn)題，不少安全廠商開(kāi)始進(jìn)入DLP領(lǐng)域。DLP的三個(gè)變化是：出現(xiàn)了ALL IN ONE趨勢(shì)，典型代表就是，一些網(wǎng)關(guān)廠商開(kāi)始將DLP和APT檢測(cè)功能集成到其UTM或IPS產(chǎn)品中;由于BYOD的升溫，圍繞移動(dòng)設(shè)備的數(shù)據(jù)防泄密成為熱點(diǎn)中的熱點(diǎn);有些廠商提出了基于云和大數(shù)據(jù)的數(shù)據(jù)防泄密解決方案。

創(chuàng)新沙盒

每年RSA峰會(huì)上的創(chuàng)新沙盒論壇都會(huì)吸引很多人關(guān)注。今年的創(chuàng)新沙盒主題是移動(dòng)安全，比較有代表性的創(chuàng)新為：

• Remotium：提供了移動(dòng)應(yīng)用虛擬化技術(shù)，在公共或私有云上運(yùn)行移動(dòng)應(yīng)用，并將可視化數(shù)據(jù)傳送到移動(dòng)設(shè)備;Remotium被評(píng)為2013年RSA大會(huì)最佳創(chuàng)新公司;

• Silent Circle：提供一個(gè)全球性的加密通信服務(wù)，為移動(dòng)設(shè)備提供了一整套既簡(jiǎn)單又安全的工具——視頻加密、通話加密、文本加密和電子郵件加密;

• Wickr：一款軍用級(jí)加密的手機(jī)通信應(yīng)用，其特點(diǎn)是：賬戶匿名不可追蹤，可設(shè)置信息時(shí)效并能自動(dòng)銷毀信息，自動(dòng)清除隱私(如照片的位置信息);

• PrivateCore：針對(duì)內(nèi)存dump、KVM攻擊、“速凍內(nèi)存”、斷電保持內(nèi)存(NVRAM)等可以從內(nèi)存中獲得敏感數(shù)據(jù)的攻擊方法，PrivateCore公司在RSA峰會(huì)上提供了一款稱為vCage的虛擬機(jī)產(chǎn)品，它是一個(gè)Hypervisor，通過(guò)實(shí)現(xiàn)虛擬機(jī)內(nèi)存全加密從而有效防范上述攻擊。(啟明星辰 葉潤(rùn)國(guó))