1）前言

摔倒后，站起來！這就是Resilience（彈性）。

注：Resilience和Resiliency是可替換的拼寫方式，譯為彈性、韌性、復(fù)原能力皆可，本文統(tǒng)一為“彈性”。

2020年以出乎意料的疫情考驗(yàn)了全人類，使RSAC 2021的主題“彈性”（Resilience），比歷屆都更能引起共鳴。

RSA 2021已于美國舊金山時間5月17日8:00（北京時間當(dāng)晚23:00）召開，這是RSA大會有史以來第一次采用網(wǎng)絡(luò)虛擬會議的形式舉辦。360安全專家團(tuán)隊(duì)和市場團(tuán)隊(duì)第一時間蹲夜守候，為安全行業(yè)傳遞RSA聲音。

2）變化的是形式，不變的是熱情

RSA大會始于1991年，由美國RSA公司發(fā)起，至今正好30歲。正如RSA算法已經(jīng)家喻戶曉，RSA大會也已成為全球公認(rèn)最權(quán)威的年度安全盛會。近幾年來，現(xiàn)場參會人數(shù)多達(dá)4-5萬人。而今年最大的變化是采用線上網(wǎng)絡(luò)虛擬會議的形式舉辦。

RSAC最早是RSA發(fā)起的，而RSA的名字來自與密碼和安全界無人不知的RSA算法的三位創(chuàng)造者。而其中最著名的R（Rivest）和S（Shamir）都到場了。另外，還有大名鼎鼎的DH算法創(chuàng)造者之一Diffie。

3）何為“彈性”

RSA大會每年都會有一個主題（Theme），本次大會的主題是Resilience（彈性）。我們由于跟蹤美軍和美國網(wǎng)絡(luò)安全技術(shù)發(fā)展，很早就意識到“彈性”有可能成為某界RSAC的主題。比如說：

2017年，MITRE發(fā)布《網(wǎng)絡(luò)彈性設(shè)計原則》（Cyber Resiliency Design Principles）。

2018年，MITRE發(fā)布《網(wǎng)絡(luò)彈性指標(biāo)、有效性度量和評分》（Cyber Resiliency Metrics , Measures of Effectiveness , and Scoring）。

2018年，美國國防部在《國防部網(wǎng)絡(luò)戰(zhàn)略2018》中提出“提升美國關(guān)鍵基礎(chǔ)設(shè)施彈性”的戰(zhàn)略途徑。

2019年11月，NIST正式發(fā)布SP 800-160（卷2）《開發(fā)網(wǎng)絡(luò)彈性系統(tǒng)：一種系統(tǒng)安全工程方法》（Developing Cyber Resilient Systems: A Systems Security Engineering Approach）。

2019年11月，美國國土安全部和國務(wù)院共同發(fā)布《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性指南》。

2020年，RAND（蘭德）發(fā)布報告《度量網(wǎng)絡(luò)空間安全和網(wǎng)絡(luò)彈性》（Measuring Cybersecurity and Cyber Resiliency）。

彈性來自“網(wǎng)絡(luò)彈性”、“業(yè)務(wù)彈性”等概念。咋一聽，它更像是一個業(yè)務(wù)連續(xù)性概念，通常與備份/恢復(fù)手段密切相關(guān)。

但“彈性”是一個大概念。NIST SP 800-160（卷2）提出的網(wǎng)絡(luò)彈性解決方案（也稱網(wǎng)絡(luò)彈性工程框架）是比較權(quán)威和全面的（如下圖所示）。它將網(wǎng)絡(luò)彈性（Cyber resiliency）定義為預(yù)防、抵御、恢復(fù)、適應(yīng)那些施加于含有網(wǎng)絡(luò)資源的系統(tǒng)的不利條件、壓力、攻擊或損害的能力。

圖-NIST SP 800-160（卷2）網(wǎng)絡(luò)彈性解決方案

由上圖可見，網(wǎng)絡(luò)彈性的目的是預(yù)防、抵御、恢復(fù)、適應(yīng)。這與安全圈里熟知的PPDRR（預(yù)防-防護(hù)-檢測-響應(yīng)-恢復(fù)）安全模型的覆蓋面差不多。NIST SP 800-160專門解釋了為何將網(wǎng)絡(luò)彈性的范疇，定義得如此寬泛。同時特別強(qiáng)調(diào)：所有關(guān)于網(wǎng)絡(luò)彈性的討論，都必須基于以下兩點(diǎn)：

聚焦于保障任務(wù)或業(yè)務(wù)功能；

基于這樣一個假設(shè)：對手必將突破防御，并在組織系統(tǒng)中長期存在。

彈性如此重要，是因?yàn)槿绻麤]有彈性，政府就可能停擺，企業(yè)就可能停產(chǎn)甚至破產(chǎn)。只要想想全球疫情導(dǎo)致多少無法現(xiàn)場工作的情況，就知道它對業(yè)務(wù)連續(xù)性產(chǎn)生了多大影響，這也是為什么遠(yuǎn)程辦公突然變得如此重要。最近美國本土發(fā)生的“油管”勒索事件，也許就是對本次大會主題意義的最佳印證吧。

強(qiáng)調(diào)彈性，意味著網(wǎng)絡(luò)安全重點(diǎn)從攻擊預(yù)防轉(zhuǎn)變?yōu)樵鰪?qiáng)網(wǎng)絡(luò)彈性：既然入侵不能避免，考慮維持業(yè)務(wù)正常運(yùn)營，從攻擊中快速恢復(fù)過來才是更現(xiàn)實(shí)的選擇。

4）開啟“彈性”之旅

開幕式的第一個演講來自RSA首席執(zhí)行官Rohit Ghai的《彈性之旅》（A Resilient Journey）。Rohit Ghai認(rèn)為，在2020年，網(wǎng)絡(luò)安全經(jīng)受住了全球疫情和網(wǎng)絡(luò)攻擊的考驗(yàn)。但下一次考驗(yàn)隨時到來，我們必須踏上彈性之旅。

Rohit Ghai認(rèn)為，正確地制定框架對于解決問題是至關(guān)重要的。而網(wǎng)絡(luò)彈性正是一種很好的方式，來為網(wǎng)絡(luò)安全行業(yè)的問題制定框架。網(wǎng)絡(luò)安全行業(yè)的共同目標(biāo)不是避免摔倒，而是摔倒后能爬起來，這就是韌性。

[[400701]]

Rohit Ghai非常擅長講故事，他通過分享老虎、飛機(jī)、縫紉機(jī)這三個故事，來傳達(dá)他提高彈性的框架方法：

第一個故事關(guān)于老虎。這是指2020年上映的《虎王》電影，產(chǎn)生了兩億多的播放人次。這得益于其容錯體系結(jié)構(gòu)的設(shè)計。這使我們聯(lián)想到，如何在當(dāng)今的混亂環(huán)境中，控制安全性。解決思路有3條：

一是預(yù)測：這需要安全檢測、評估、可見性、威脅情報、模擬攻擊等能力；

二是零信任：零信任非常非常重要。而最重要的就是要限制信任，不要把信任過度放大。

三是網(wǎng)絡(luò)分段：包括東西向分段和南北向分段，并隔離所有受到攻擊的部分。就像我們戴口罩，不僅僅是保護(hù)自己，也是為了保護(hù)別人。

第二個故事關(guān)于飛機(jī)。在第二次世界大戰(zhàn)中，盟國希望增強(qiáng)對戰(zhàn)斗機(jī)的保護(hù)，所以他們與哥倫比亞大學(xué)的一位統(tǒng)計學(xué)家合作。統(tǒng)計學(xué)家檢查了從飛行任務(wù)中返回的受損飛機(jī)后，并沒有去加強(qiáng)彈孔多的部位（如機(jī)翼），反而是加強(qiáng)彈孔少的部位（如尾翼和駕駛艙）。這種反常識的能力，來自于一個著名的心理學(xué)現(xiàn)象——幸存者偏差：很多時候，我們只能統(tǒng)計幸存者，而無法統(tǒng)計墜毀者。但仔細(xì)想想就會恍然大悟，那些被擊落的飛機(jī)，可能恰恰是被擊中了那些彈孔少的部位！

飛機(jī)的故事使我們聯(lián)想到當(dāng)今的問題：如何對最大風(fēng)險的區(qū)域進(jìn)行優(yōu)先保護(hù)？從網(wǎng)絡(luò)到端點(diǎn)，到云到IoT，需要都整合到一起，實(shí)現(xiàn)基于風(fēng)險的智能優(yōu)先級排序，從而保護(hù)那些最重要的領(lǐng)域。即使我們跌倒的話，我們也能忍受這樣的風(fēng)險。

第二個故事關(guān)于縫紉機(jī)。印度在疫情封鎖期間，要求每個人必須呆在家里面。而印度某協(xié)會的婦女們就在家里利用縫紉機(jī)，來為醫(yī)院、政府做出貢獻(xiàn)。這個故事告訴我們，社區(qū)是共同成長的，所以她們才能夠發(fā)揮更加重要的作用。

類似地，在網(wǎng)絡(luò)安全方面，也需要有包容性，也需要培育安全社區(qū)。只有這樣，才能發(fā)揮更大的價值。而RSA大會就起到了這樣的作用。Rohit Ghai還舉了一個黑客少年從善的案例，并呼吁：“我們永遠(yuǎn)不要放棄這些人才，而是要去招募越來越多的人才，然后共同成長，而不是培養(yǎng)敵人。”

最后，Rohit Ghai提醒我們：我們目前還沒有遇到一個全球性的網(wǎng)絡(luò)疫情，說明我們還沒有被充分考驗(yàn)。彈性之程才剛剛開始，老虎、飛機(jī)、縫紉機(jī)這三個故事分別教會我們?nèi)绾蔚沟酶?、更快站起來、更有彈性?o:p>

5）網(wǎng)絡(luò)安全共創(chuàng)未來

第2個主題演講來自思科董事長兼首席執(zhí)行官Chuck Robbins，他的演講題目是《面向包容性未來的網(wǎng)絡(luò)安全》（Cybersecurity for an Inclusive Future）。

[[400702]]

Chuck Robbins指出，面對疫情和新的混合世界，每個行業(yè)的每個組織都致力于保持業(yè)務(wù)彈性。我們的目的就是希望能夠?yàn)樗腥舜蛟煲粋€更具包容性的未來，而安全必須是一切的中心。

他強(qiáng)調(diào)了連接的重要性，對于落后地區(qū)，如果能夠把他們連接起來，然后又給他們一些合適的技術(shù)，就能夠很有力的改變他們的現(xiàn)狀。所以，我們需要擴(kuò)展這種連接性帶給人類的機(jī)遇，而連接性又需要受到安全保護(hù)。所以，從疫情中復(fù)蘇必須是一種包容的復(fù)蘇，也必須是一種安全的復(fù)蘇。

Chuck Robbins還強(qiáng)調(diào)了零信任、XDR、安全人才培養(yǎng)的重要性。

6）安全需要直言不諱

第3個演講是《影響網(wǎng)絡(luò)安全變化的大實(shí)話》（Telling Hard Truths to Impact Change in Cybersecurity），來自VMware全球治理、風(fēng)險和合規(guī)主管Angela Weinman和Netflix DVD信息安全主管Jimmy Sanders。

兩位演講者聲稱都熱衷于推動安全方面的變革。他們認(rèn)為，新的員工工作模式和日益復(fù)雜的入侵行為，要求安全領(lǐng)導(dǎo)人成為講真話者并采取行動。

總之，這個演講的核心就是講真話，解決真實(shí)問題，目的是加強(qiáng)網(wǎng)絡(luò)安全的彈性。

第一句真話是，現(xiàn)在沒有管理好風(fēng)險。安全風(fēng)險缺乏焦點(diǎn)。而如果不能準(zhǔn)確的識別確定風(fēng)險，我們就很難很快的從危害的影響當(dāng)中恢復(fù)過來。必須以風(fēng)險為驅(qū)動因素，衡量投入/產(chǎn)出價值，把有限資源投入在最值得優(yōu)先考慮的領(lǐng)域。

第二句真話是，傳統(tǒng)安全做法正在拖后腿。我們必須創(chuàng)造一種包容性的環(huán)境，讓多元化的想法能夠同臺競爭，讓桌上的每一個聲音都能被聽到，讓最好、最先進(jìn)的想法獲勝。這樣才可以改善我們的整體安全態(tài)勢。

第三句真話是，安全不是一項(xiàng)單獨(dú)的運(yùn)動。在過去一年，正是互相交流幫助我們度過難關(guān)。這也正是安全社區(qū)的價值，我們需要所有人的努力，需要同行的合作。這反映了“滾雪球效應(yīng)”，因?yàn)樗袀ゴ蟮南敕ǘ际墙⒃诒舜说幕A(chǔ)上的。

7）數(shù)學(xué)卓越獎

接下來是RSA會議獎“數(shù)學(xué)領(lǐng)域卓越獎”（Excellence in the Field of Mathematics）的頒獎環(huán)節(jié)。該獎項(xiàng)旨在表彰那些在密碼學(xué)領(lǐng)域是先驅(qū)者且其工作具有持久價值的被提名人，他們來自大學(xué)和研究實(shí)驗(yàn)室。

本屆“數(shù)學(xué)領(lǐng)域卓越獎”獲獎?wù)呤欠▏鴩铱茖W(xué)研究院高級研究員David Pointcheval。他專門從事實(shí)用協(xié)議的設(shè)計和分析，并提高它們的安全性，不僅推進(jìn)了密碼學(xué)的理論，而且降低了現(xiàn)實(shí)世界中的業(yè)務(wù)風(fēng)險。

8）密碼學(xué)專家小組討論

RSA大會每年都會以“密碼學(xué)專家小組討論”（The Cryptographers' Panel）作為開幕日的必備項(xiàng)目。密碼學(xué)的奠基人和領(lǐng)導(dǎo)者共同討論網(wǎng)絡(luò)安全行業(yè)所面臨的最緊迫問題。有趣的是，會前并不公布所討論的話題，有時話題也很發(fā)散，會隨興所至。

[[400703]]

 

這一次，主持人Ross Anderson與Ronald Rivest、Adi Shamir、Zulfikar Ramzan同臺在線，談?wù)摿吮忍貛?、?fù)責(zé)任披露、量子計算機(jī)、機(jī)器學(xué)習(xí)和AI安全、供應(yīng)鏈安全、工程隱私、網(wǎng)絡(luò)彈性等話題。

最后，主持人Ross Anderson還對Whitfield Diffie進(jìn)行了專訪。當(dāng)主持人詢問：未來的網(wǎng)絡(luò)安全會是怎么樣的？Whitfield Diffie回答說：人們既想自由，又想連接。但我們的自由是被削減的，我們現(xiàn)在所享受到的自由，在將來看可能非常難得，我們在那個時候可能會特別懷念現(xiàn)在的我們還有一定的隱私性。

9）期待你的發(fā)現(xiàn)

是的，在介紹完開幕式的主題演講之后，需要你繼續(xù)發(fā)現(xiàn)令你感興趣的議題。本次會議的議題非常多，官方說法是24個內(nèi)容主題（Track），200多個具體議題（sessions）。而具體的議程似乎多達(dá)500個。討論相對比較多的領(lǐng)域包括：彈性；零信任；威脅情報；安全框架（如MITER ATT&CK攻擊框架和MITER Shield防御框架、NIST CSF網(wǎng)絡(luò)安全框架等）；5G網(wǎng)與邊緣計算；物聯(lián)網(wǎng)安全；云安全；供應(yīng)鏈安全；AI攻防；數(shù)據(jù)安全與個人隱私等。

此外，創(chuàng)新沙盒作為安全行業(yè)的技術(shù)風(fēng)向標(biāo)，必受關(guān)注。已經(jīng)入選的10強(qiáng)創(chuàng)新產(chǎn)品包括：1）Abnormal-郵件網(wǎng)關(guān)；2）Apiiro公司-SDL產(chǎn)品；3）Axis security公司-零信任產(chǎn)品；4）Cape Privacy公司-加密機(jī)器學(xué)習(xí)平臺；5）DEDUCE公司-身份安全驗(yàn)證平臺；6）OPEN RAVEN公司-云數(shù)據(jù)安全平臺；7）Satori公司-數(shù)據(jù)訪問安全平臺；8）STRATA公司-多云身份管理平臺；9）WABBI公司-DevSecOps基礎(chǔ)架構(gòu)平臺；10）WIZ-云基礎(chǔ)設(shè)施安全平臺?？梢钥闯?，云安全、零信任、身份安全、數(shù)據(jù)訪問安全等是被關(guān)注的焦點(diǎn)。

10）后記

彈性是一個宣言，是人類不屈的決心！尤其是當(dāng)安全行業(yè)團(tuán)結(jié)在一起時，才可以展現(xiàn)更大的彈性和韌性。當(dāng)每個你和我都能做出一份努力的話，這個世界就會變得更安全、更美好。

NIST網(wǎng)絡(luò)彈性指南專門指出：“對網(wǎng)絡(luò)彈性領(lǐng)域的指引，來源于對威脅形勢的理解，尤其是對APT的理解。” 作為國內(nèi)應(yīng)對APT的超級核心力量，360政企安全將持續(xù)關(guān)注網(wǎng)絡(luò)威脅形勢和安全創(chuàng)新動態(tài)，基于360安全大腦為核心的數(shù)字安全能力體系和安全生態(tài)體系，為國家、行業(yè)、城市、政企的數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)/業(yè)務(wù)彈性保駕護(hù)航。

在實(shí)踐角度而言，360安全大腦為核心的數(shù)字安全能力體系在“彈性”（Resilience）的概念基礎(chǔ)上又向前推動一步，因?yàn)檫@是具有“主動彈性”（Proactive Resilience）的實(shí)戰(zhàn)體系。

簡單地說，360數(shù)字安全能力體系，是一個建立在海量安全大數(shù)據(jù)、實(shí)戰(zhàn)型安全專家團(tuán)隊(duì)、漏洞挖掘能力、安全對抗知識庫、APT狩獵能力、云端公共服務(wù)等安全能力的融合體。其目的，是建立一種同時具備環(huán)境意識、自我意識和改進(jìn)能力的“主動彈性”。它不僅是在遭受破壞時能繼續(xù)運(yùn)作，而是能夠主動“看見”破壞，預(yù)測破壞，并在破壞發(fā)生之前有所準(zhǔn)備。此前，360公司多次率先發(fā)現(xiàn)的全球0day漏洞攻擊，就是得益于這套協(xié)同體系的“主動識別”機(jī)能。

現(xiàn)在我們的國家、城市、行業(yè)、企事業(yè)單位所構(gòu)建的業(yè)務(wù)系統(tǒng)變得越發(fā)復(fù)雜，以至于沒有誰能夠說明其整個運(yùn)行本質(zhì)。主動識別由復(fù)雜分布式系統(tǒng)所引起的系統(tǒng)安全故障，主動發(fā)現(xiàn)和解決重大漏洞，主動暴露“未知的未知”，則能夠更好地發(fā)現(xiàn)和應(yīng)對非預(yù)期事件。