伴隨創(chuàng)新沙盒冠軍的揭曉，今年的RSA信息安全大會(RSAC)也接近落下帷幕。從1991年到2021年，RSAC正好迎來了它的三十周年紀(jì)念日，而其也成長為目前在全球網(wǎng)絡(luò)安全領(lǐng)域最權(quán)威的專業(yè)會議之一。

　　今年的RSAC，涉獵依舊廣泛，覆蓋AI安全、云安全、物聯(lián)網(wǎng)安全、5G網(wǎng)絡(luò)、邊緣計(jì)算、供應(yīng)鏈安全及數(shù)據(jù)安全與個人隱私等眾多領(lǐng)域。不過，我們在關(guān)注RSAC本身所展示內(nèi)容的同時，也應(yīng)該更多去探究其背后的技術(shù)發(fā)展路線和行業(yè)發(fā)展趨勢。聚焦最前沿，從五大議題出發(fā)，今天，百度首席安全科學(xué)家李康教授將就本屆RSAC出現(xiàn)的熱點(diǎn)關(guān)鍵詞為大家?guī)砩疃冉庾x。

　　關(guān)鍵詞一：彈性

　　Resilience，彈性，是本屆RSAC的主題。在網(wǎng)絡(luò)安全領(lǐng)域，其主要被用于衡量一個組織在遭受數(shù)據(jù)泄露或網(wǎng)絡(luò)攻擊期間，能夠預(yù)防、抵御、恢復(fù)、適應(yīng)其業(yè)務(wù)正常運(yùn)營的技術(shù)能力。

　　在今年RSAC的開幕演講中，RSA CEO Rohit Ghai帶來了名為A Resilient Journey(彈性之旅)的議題分享。他認(rèn)為，保證彈性的核心要義在于，Rising up Stronger When We Inevitably Fall，跌倒之后能夠迅速重新站起。

　　李康教授：

　　這次RSAC的主題公布得很早，而強(qiáng)調(diào)彈性也確實(shí)反映了當(dāng)前網(wǎng)絡(luò)安全事件頻出的現(xiàn)狀，以及風(fēng)險之下安全行業(yè)如何變得更強(qiáng)。我們都知道，網(wǎng)絡(luò)安全覆蓋面是很廣的，需要企業(yè)去解決的安全問題也有很多。我們講安全、講縱深防御，要關(guān)注的不僅是如何預(yù)防事故的發(fā)生，也需要關(guān)注事故發(fā)生后的溯源和整個IT系統(tǒng)的迅速恢復(fù)，從而保障企業(yè)能夠以最快的速度回歸到正常的運(yùn)轉(zhuǎn)。另外安全管理運(yùn)營人員，甚至整個行業(yè)，都要不斷通過過往的經(jīng)驗(yàn)，提煉出對風(fēng)險的預(yù)測判斷能力，最高效地利用有限資源來降低整體風(fēng)險。

　　實(shí)際上，在當(dāng)前的網(wǎng)絡(luò)安全防護(hù)水平下，我們的安全體系很難完全杜絕安全事件的發(fā)生。但是通過積極的演練，提前準(zhǔn)備響應(yīng)預(yù)案，快速識別事件，可以做到企業(yè)不會被一次攻擊事件一下子打垮，而能否做到快速的修復(fù)，確保業(yè)務(wù)的正常運(yùn)行，這是安全彈性的關(guān)鍵。

　　百度內(nèi)部一直在這個方面做努力。同時在相對成熟的方面對我們的生態(tài)合作伙伴乃至整個安全社區(qū)提供支持。其中，不僅有包括規(guī)?；目? DDoS攻擊這樣的通用產(chǎn)品，也有像“智能威脅狩獵平臺”這樣能夠?qū)崿F(xiàn)一站式部署和統(tǒng)一納管的智能化的企業(yè)一體化安全解決方案，把備份恢復(fù)、威脅溯源等能力整合在一起。

　　同時，另一個容易被大家忽略的問題彈性問題是合規(guī)。談到攻擊的損害，人們往往想到的是由于黑客和黑產(chǎn)的攻擊會直接導(dǎo)致的企業(yè)業(yè)務(wù)受損。但是這些攻擊引發(fā)的用戶隱私受損往往還會引發(fā)企業(yè)在合規(guī)和數(shù)據(jù)保護(hù)等方面的處罰。從這個角度講，合規(guī)檢測也是提升企業(yè)安全Resilience的手段。百度在隱私合規(guī)檢測方面非常注重技術(shù)投入。百度在做的史賓格安全及隱私合規(guī)平臺已經(jīng)在為多個企業(yè)提供服務(wù)，也希望通過這些技術(shù)手段提升整個安全生態(tài)的防御規(guī)范。

　　關(guān)鍵詞二：創(chuàng)新沙盒冠軍

　　作為每年RSAC最為備受關(guān)注的環(huán)節(jié)，成為創(chuàng)新沙盒冠軍不僅需要關(guān)注技術(shù)的突破，也需要展現(xiàn)其商業(yè)化前景。

　　今年的贏家是專注于聚焦于應(yīng)用安全、DevSecOps及云安全領(lǐng)域的Apiiro，這是一家來自以色列、成立不到三年的網(wǎng)絡(luò)安全初創(chuàng)企業(yè)。其推出的Code Risk Platform可從應(yīng)用程序、基礎(chǔ)架構(gòu)及源代碼等因素出發(fā)，為開發(fā)人員提供360度全方位的安全和合規(guī)風(fēng)險視圖。

　　李康教授：

　　Apiiro是一家優(yōu)秀的網(wǎng)絡(luò)安全初創(chuàng)企業(yè)，團(tuán)隊(duì)有著扎實(shí)的行業(yè)背景。此次Apiiro獲得了RSAC的創(chuàng)新沙盒冠軍，成為Most Innovative Startup，大致可以歸結(jié)為三個原因。

　　首先，它反映了市場訴求。去年發(fā)生的SolarWinds事件引發(fā)了人們對于代碼供應(yīng)鏈安全的擔(dān)憂，這起針對IT管理平臺的攻擊事件波及范圍極廣，幾乎囊括了整個美國的重要企業(yè)、政府部門和關(guān)鍵基礎(chǔ)設(shè)施，造成了巨大的損失，這讓很多企業(yè)客戶極為關(guān)注這一領(lǐng)域的安全進(jìn)展。其次，它契合了國際競爭環(huán)境的變化，各國都加強(qiáng)了對軟硬件供應(yīng)鏈的安全把控。更重要的，這是一個能讓評委“興奮”的產(chǎn)品，它讓項(xiàng)目經(jīng)理能夠知曉代碼在哪里，從哪里來，到哪里去。

　　其實(shí)，這并不是一個新問題。在開發(fā)流程中，我們已經(jīng)有DevSecOps。但是它的主要功能是對自有代碼的安全審查和安全流程，而缺乏對第三方代碼庫及自有開發(fā)代碼的外部保管問題，這帶來了一系列潛在的安全隱患。盡管大家現(xiàn)在大多都遵循DevSecOps的規(guī)范，但其更多是為開發(fā)人員所打造的，Apiiro的Code Risk Platform則正好彌補(bǔ)了為項(xiàng)目經(jīng)理服務(wù)這里的空白。

　　關(guān)鍵詞三：數(shù)據(jù)安全被持續(xù)關(guān)注

　　在此次RSAC創(chuàng)新沙盒環(huán)節(jié)中，另一個受到關(guān)注的情況是數(shù)據(jù)安全領(lǐng)域“選手”的增加。包括Cape Privacy、Open Raven和satori在內(nèi)達(dá)到了三家，成為創(chuàng)新沙盒十強(qiáng)企業(yè)中主要業(yè)務(wù)涉及最多的領(lǐng)域，數(shù)據(jù)安全與隱私保護(hù)正在獲得行業(yè)的持續(xù)高度關(guān)注。

　　李康教授：

　　數(shù)據(jù)安全與隱私保護(hù)是我們在AI時代所面臨的重大議題，也是百度在網(wǎng)絡(luò)安全領(lǐng)域的研究重點(diǎn)。其核心要討論的問題在于，數(shù)據(jù)如何儲存，如何管理，與如何利用。

　　在本次創(chuàng)新沙盒的企業(yè)中，我們看到它正在與機(jī)密計(jì)算、代碼開源相結(jié)合，這將大大簡化企業(yè)的上手流程。同時在本屆RSAC的Keynote中，我也看到了更多關(guān)于數(shù)據(jù)安全與隱私保護(hù)法律法規(guī)的討論。那么對于我們來說，這里的創(chuàng)新機(jī)會更多在于如何實(shí)現(xiàn)數(shù)據(jù)所有者、數(shù)據(jù)使用者和數(shù)據(jù)存儲方之間的協(xié)同，并在各方不互信的情況下，如何推進(jìn)基于數(shù)據(jù)的安全應(yīng)用。

　　而就百度而言，我們在數(shù)據(jù)安全與隱私保護(hù)領(lǐng)域有著長期的投入，主要展開了面向三個方向的研究和內(nèi)外部實(shí)踐。包括基于硬件的方案，典型的代表是Teaclave，這是全球首個通用安全計(jì)算平臺，在2020年初，我們將這一項(xiàng)目捐贈給了Apache基金會;同時百度也有基于機(jī)密計(jì)算的產(chǎn)品點(diǎn)石，具有MesaTEE、SMPC和隔離域多種版本，支持多種商業(yè)化的數(shù)據(jù)安全場景。另外百度也有基于算法的方案，比如百度聯(lián)邦計(jì)算平臺，引入了安全多方計(jì)算、同態(tài)加密學(xué)習(xí)等技術(shù);再者我們還有應(yīng)用于機(jī)器學(xué)習(xí)領(lǐng)域的PaddleFL，這是一個基于PaddlePaddle的開源聯(lián)邦學(xué)習(xí)框架。

　　當(dāng)然，這里我說的一個純個人觀點(diǎn)(不代表百度)，就是涉及到多個參與方的數(shù)據(jù)安全通用解決方案目前仍然是基于TEE的方案有優(yōu)勢。我看到的純基于MPC或者全同態(tài)加密算法的方案往往是針對特定的數(shù)據(jù)和應(yīng)用方，而且對使用環(huán)境做了比較強(qiáng)的假設(shè)，比如對于第三方的依賴或者對于參與方的行為限制(假設(shè))。我非常希望能看到這些工作能夠在一個對抗性比較強(qiáng)的環(huán)境下的具體表現(xiàn)。從某種意義上講，我覺得今天創(chuàng)新沙盒裁判的一些問題也是表達(dá)了這一方面的擔(dān)憂。當(dāng)然這純屬入我個人猜測，我希望有更多的通用解決方案落地，能讓系統(tǒng)安全的人嘗試使用，未來的發(fā)展我們拭目以待。

　　關(guān)鍵詞四：舉辦形式

　　受到疫情防控的影響，本屆RSAC首次采用了全虛擬的線上形式舉辦。這也是繼BlackHat, DEF CON 等之后，又一個選擇將線下活動整體遷移至線上環(huán)境舉行的全球頂級網(wǎng)絡(luò)安全專業(yè)會議。

　　李康教授：

　　與DEF CON和BlackHat不同，RSAC是更加偏商業(yè)化廠商展示的會議。在過去，參加RSAC的主要是兩類人群。其一是網(wǎng)絡(luò)安全廠商，他們要在這里展示自己的能力，探尋行業(yè)的趨勢;其二便是企業(yè)客戶，其中就包括大量非互聯(lián)網(wǎng)行業(yè)的企業(yè)客戶，RSAC是他們尋找解決方案，與網(wǎng)絡(luò)安全廠商之間進(jìn)行合作的平臺與溝通渠道。

　　今年的RSAC采用了全線上的形式，實(shí)際上造成了大量企業(yè)客戶的缺席，這對于RSAC和參展的網(wǎng)絡(luò)安全廠商的影響還是很大的。當(dāng)然，RSAC自己也在謀求彌補(bǔ)這個損失，比如設(shè)立Marketplace，讓沒有參展的企業(yè)可以獲得一個線上入口。

　　其實(shí)這是目前整個線上會議形式普遍面臨的一個問題，缺乏與用戶、與市場的真實(shí)互動。那種我們走進(jìn)一個真實(shí)的展館，看到真實(shí)的產(chǎn)品展示，與人面對面進(jìn)行溝通的感覺與反饋，依靠單向的視頻流是無法實(shí)現(xiàn)的。 在這個方面，百度也在嘗試提出解決方案。比如在今年3月，百度安全與DEF CON聯(lián)手舉辦的DEF CON CHINA Party。這也是一個線上會議，但我們引入了VR技術(shù)，即百度VR“希壤”虛擬互動空間，它增加了交互的可能，使得參會者能夠真實(shí)地參與到活動當(dāng)中來，我們希望這會是未來線上會議的一種趨勢。

　　關(guān)鍵詞五：參展商減少?中國廠商缺席?

　　去年，RSAC吸引了700多家參展商、超過5萬名專業(yè)觀眾到場。今年，據(jù)悉這一數(shù)據(jù)有所下降。其中，亞馬遜、英特爾，以及知名的云計(jì)算獨(dú)角獸Snowflake、2020創(chuàng)新沙盒的冠軍Securiti，2018年創(chuàng)新沙盒的亞軍Fortanix等等均未參展。當(dāng)然還有由于地緣政治的原因，來自中國的網(wǎng)絡(luò)安全廠商也出現(xiàn)了大面積的“缺席”。

　　李康教授：

　　的確，相較于去年，今年的RSAC的參展企業(yè)數(shù)量是有不小的下降的，也包括我們中國的網(wǎng)絡(luò)安全廠商。在這之中，自然有來自疫情防控、中美競爭的影響。但我更想強(qiáng)調(diào)的還是我們在上一個關(guān)鍵詞中所談到的，會議形式的改變所導(dǎo)致的受眾范圍的縮小。

　　我們所看到的現(xiàn)象是，一些傳統(tǒng)領(lǐng)域的專業(yè)網(wǎng)絡(luò)安全廠商還是出席的RSAC，但一些綜合類的、創(chuàng)新類的企業(yè)在這次并未參展，包括很多去年的創(chuàng)新沙盒十強(qiáng)。他們其實(shí)會更關(guān)注于與企業(yè)客戶的互動，挖掘商業(yè)機(jī)會，而當(dāng)前的這種線上會議形式所能達(dá)成的效果，和大家對它的定位是有所距離的，這也是現(xiàn)在我們讓VR技術(shù)與會展場景相結(jié)合的機(jī)會所在。

　　關(guān)于本屆RSAC的詳細(xì)會議內(nèi)容，可參閱其官方網(wǎng)站。