目前在網(wǎng)絡(luò)安全行業(yè)有哪些熱門話題?即將在舊金山舉行的2020年RSA大會將為此提交一份出色的答卷。

RSAC組委會表明，他們收到了2400份網(wǎng)絡(luò)安全行業(yè)演講嘉賓的議題申請，在經(jīng)過整理和審核之后，他們發(fā)布了十大網(wǎng)絡(luò)安全熱門話題，安全人員可以此來判斷行業(yè)的總體趨勢。

“諸如零信任和無服務(wù)器，Kubernetes，量子，混沌工程，漏洞賞金和端點衰減(或復(fù)興)之類的關(guān)鍵詞比比皆是。”

“人是安全要素”(Human Element)是今年大會早已確定好的主題，許多提交的議題很難完全切中這一主題。負責(zé)RSA會議內(nèi)容策展主管Britta Glade和內(nèi)容策略師Kacy Zurkus在報告中說到：“絕大多數(shù)提交的議題側(cè)重將人的影響作為一種手段，幫助了解如何更好地利用通用框架、為風(fēng)險管理決策者提供信息、緩解新興威脅以及建立以安全為中心的高效文化。”

十大熱門話題

人是安全要素：眾多議題都涉及安全方面的人為因素，與“數(shù)據(jù)、威脅、風(fēng)險、隱私、管理和團隊”等內(nèi)容交織探討。

設(shè)計、開發(fā)和維護安全產(chǎn)品：大會首次專門開設(shè)產(chǎn)品安全和開源工具討論環(huán)節(jié)，因為他們收到比以往更為深入的產(chǎn)品安全研發(fā)的技術(shù)文章，主題涵蓋用戶界面設(shè)計、人工智能、隱私、安全運營中心等。

IT和OT融合的安全：IT技術(shù)和運營技術(shù)融合的挑戰(zhàn)之一在于它們是“兩種不同的概念，供應(yīng)鏈也不大相同”，因此，如果要成功地進行兩者協(xié)作，文化、理論變革應(yīng)先行。

軟件工程流程安全：隨著企業(yè)相繼采用DevSecOps，對于安全工程的需求也不斷增長，提交的相關(guān)議題也越來越多，不僅包含風(fēng)險管理，還包含在開發(fā)運營中的治理流程。

隱私與合規(guī)相生，與萬事萬物的交織：歐盟的《通用數(shù)據(jù)保護條例》讓“隱私”為人重視，企業(yè)業(yè)務(wù)對于“隱私”的把控也在不斷成熟。“在過去，隱私是“良好企業(yè)公民”可有可無的特質(zhì)。現(xiàn)在隨著企業(yè)越來越注重用戶隱私的保護，隱私問題有成為核心業(yè)務(wù)和安全話題的趨勢。當(dāng)然，這不僅是出于對合規(guī)的關(guān)注，而且還可以提供業(yè)務(wù)差異化和良好的用戶體驗。”

威脅情報和共享：情報共享一直是 “網(wǎng)絡(luò)防御”的基石，但是設(shè)備自動化是無法抵御所有的網(wǎng)絡(luò)風(fēng)險，尤其是當(dāng)攻擊者利用社會工程手段時，比如欺詐問題或身份驗證問題等。“我們發(fā)現(xiàn)，提及自動化本身的弱點和挑戰(zhàn)的議題有所增加，其中不乏一些技術(shù)性很強且非常詳細的議題，并提供了指導(dǎo)和最佳實踐考慮。”

框架、框架還是框架：框架和自動化是一個很熱門的議題。 “我們看到了大量與MITER ATT&CK框架、NIST網(wǎng)絡(luò)安全框架、競爭性安全文化框架(CSCF)和信息風(fēng)險因素分析(FAIR)框架相關(guān)的議題”，這可以作為公司持續(xù)改善治理和提高風(fēng)險防范的部分管理流程。

安全意識和培訓(xùn)：由于認(rèn)識到培訓(xùn)的價值，今年“網(wǎng)絡(luò)靶場”一詞很熱，即用于進攻性安全培訓(xùn)的虛擬環(huán)境。另外，關(guān)于人類可持續(xù)性問題也很熱門。 “一些議題談到了安全意識的道德和倫理問題，而另一些議題則強調(diào)需要更多地注意工作場所的壓力和心理健康，這對于安全從業(yè)人員來說尤其重要。”

溝通：眾所周知，企業(yè)CSO和CISO進行全方位溝通的重要性不言而喻，需要對進入其職權(quán)范圍的內(nèi)容都要有所了解。此外，在安全攻防方面，比如“紫隊”(混合進攻與防御)，也在不斷通過合作保證團隊具有互補技能來增強安全防護。“紫隊”的協(xié)作表明溝通十分重要。

專業(yè)人才培養(yǎng)和團隊建設(shè)：“如何聘用、培訓(xùn)、留住和激勵人才”仍然是新興的網(wǎng)絡(luò)安全行業(yè)重要且必要的關(guān)注點。確實，是否會有足夠的人員參與到每個開放的網(wǎng)絡(luò)安全角色扮演中來，仍待商榷。

正如組委會所說的，這些議題涉獵范圍廣，領(lǐng)域多。他們表示， “人類的知識和經(jīng)驗是無窮無盡的，如果要說議題的廣度和深度，這十種趨勢只怕是蜻蜓點水。諸如零信任和無服務(wù)器，Kubernetes，量子，混沌工程，漏洞賞金和端點衰減(或復(fù)興)等其他關(guān)鍵詞還有很多!”

人是安全要素

毫無疑問，今年的RSA主題“人是安全要素”的關(guān)注度隱約呈上升趨勢，因為人為因素往往是許多信息安全系統(tǒng)的致命弱點。

當(dāng)然，該主題涵蓋的內(nèi)容不止于此。組委會表明，“相關(guān)議題探討了人機關(guān)系的持續(xù)發(fā)展、有意或無意地利用人性漏洞的軟件和平臺的使用、隱私、機器學(xué)習(xí)等，我們也在這幾年的議題中不斷摸索未來趨勢。”

此外，整個行業(yè)也越來越關(guān)注安全行業(yè)人員的精神健康，今年的議題可以反映這一趨勢。“今年提交的議題似乎給了提議者主動權(quán)來解決更多敏感的人為因素的挑戰(zhàn)，比如不利的工作環(huán)境對個人和團隊的損害，安全人的自負為網(wǎng)絡(luò)安全工程項目帶來風(fēng)險等。”

超越“Better”

許多行業(yè)都是如此，關(guān)注人類似乎很自然地是當(dāng)務(wù)之急。和往年平淡無奇的主題相比，這個主題的特色在于更有亮點，比如 “Better”(2019)，“Now Matters”(2018)，“Power of Opportunity”(2017年)。

在早些時候的主題就稍微怪異一些了，比如較為冗長的“The Great Cipher Mightier Than the Sword”(2012年)和“The Adventures of Alice & Bob”(2011年)。這些主題則更多地側(cè)重于歷史和密碼學(xué)專著，比如蘇格蘭人的瑪麗皇后和納瓦霍的“密碼竊聽者”，再到“西方密碼學(xué)之父”萊昂·巴蒂斯塔·阿爾貝蒂以及英國密碼學(xué)天才艾倫·圖靈等等。

網(wǎng)絡(luò)安全重要性與日俱增

可以肯定的是，RSA主題的演變表明了大會日益重要的意義以及網(wǎng)絡(luò)安全關(guān)注度的不斷攀升。2008年，有17000名參會者。十年后，這個數(shù)字已經(jīng)增長到42000。

在2020年，RSA會議將開展數(shù)百場演講，邀請50多位演講者，包括美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長Chris Krebs和魔術(shù)師Penn&Teller。預(yù)計本次會議出席人數(shù)將達到45000。

數(shù)據(jù)表明，盡管今年的議題包羅萬象，但突出的一點將還是網(wǎng)絡(luò)安全與日俱增的重要性。與往常一樣，保障網(wǎng)絡(luò)安全不僅僅涉及到技術(shù)，還有人員、流程和系統(tǒng)。小到企業(yè)醫(yī)療系統(tǒng)，大到人類福祉和民主國家，網(wǎng)絡(luò)安全是每一個人的事情。

網(wǎng)絡(luò)安全防護之路道阻且長，但面對挑戰(zhàn)的勇氣也讓人熱血沸騰。