计算机和AI技术的发展深刻改变了人类的生活,然而糟糕的是,我们投入了太多的精力在虚拟的网络世界中,信任的建立看起来仍然遥不可及。
缘起
从旧金山入关的时候,头发花白的海关工作人员听说是来参加RSAC会议的,问我:“你知道哪些加密算法吗?你用什么工具来Coding?”
必须说,当这样的两个问题从海关人员的嘴里问出来,让我感到很惊奇,以为碰到了少林寺的扫地僧,不由得一脸崇拜。老头继续说,他之前是一个数据库管理员(DBA),后来从事Data Mining方向的工作,也算是一个同行了。
再一想也释然,海关其实就是现实中的“网络边界”,保卫美国国土及人民的安全是他们的重要职责,配备高技能的数据分析和信息安全人员的确是非常有必要的。
图注:2019 RSAC莫斯康尼会展中心
趋势一:一个更安全的世界
三月份的旧金山还是阴雨绵绵,但莫斯康尼会展中心周围却人来人往,场内气氛更是热闹非凡,跟天气的阴冷形成强烈的反差。今年RSAC的Slogan是Better,这也是自从1995年以来RSAC每年一个的主题词中,最简洁、有力的一个。至于Better如何阐释则见仁见智:更坚固的安全方案?更清晰的风险预测算法?更智能的安全运维?都没错,但都只回答了一方面。RSAC官方的解释是,让我们一起创造一个更安全的数字世界,从而让现实世界变得更加美好。
“... 技术始终必须向前发展。但这不是唯一的答案。确保更光明的未来需要我们所有人 - 从客户到我们这些前线的每个人 - 都要变得更好。掌握最新的威胁。加入额外的时间。将安全放在第一位。最重要的是,永远不要忘记我们在这里的根本原因:帮助确保一个更安全的世界,以便其他人可以专心主业来让世界变得更好。”
图注:RSA总裁Rohit Ghai和首席战略官Niloofar Howe
趋势二:信任——网络空间存在的基础
更好的世界需要信任的加持,在第一天的主题演讲中,RSA总裁Rohit Ghai和首席战略官Niloofar Howe一起为大家呈现了The Trust Landscape(信任愿景)。他们把网络空间中的“信任”比喻为人类世界中的水,是网络空间能够存在的基础。Rohit Ghai对参会者讲到:“我们所保护的,不仅仅是商业应用,基础设施或者数据...我们在保护的是我们的信任”。
颇具讽刺的是,RSA算法的发明者之一、2002年图灵奖的得主、以色列信息安全专家阿迪·沙米尔(Adi Shamir),也就是R-S-A三个字母中的S(其他两位是Ronald Rivest和Leonard Adleman)因为没有获得美国的签证而无法出席今年的会议。阿迪·沙米尔在视频致辞中说:“如果像我这样的人都不能去现场做主题演讲, 也许我们该重新考虑在哪里组织(下一次RSAC)活动了。”
对于美国政府来说,不给阿迪·沙米尔颁发签证或许可以认为是“零信任(Zero Trust)”安全理念的最佳实践了。信任的前提是不信任,只有不相信任何人,才能去相信你能够相信的。
图注:RSA算法的发明者之一、2002年图灵奖得主Adi Shamir
当今世界的“零信任”之路
自从2010年Forrester资深分析师John Kindervag第一次提出,并经过Google BeyondCorp项目落地之后,业界已经快速接受了“零信任”的安全理念。
数年后的今天,Forrester的分析师已经被挖角到PAN成为其技术主管,PAN也开始“零信任”领导者的身份自居;在“零信任”理念基础上发展出来微分域(Micro-segmentation)、软件定义边界(SDP)等技术也已经走向成熟;Zscaler等独角兽级别的企业在这个领域发展壮大;思科则在去年以23.5亿美金的代价收购了Duo,在软件定义边界(SDP)上重新出发。
在今年的RSAC上,我们看到不管是传统的防火墙厂商,还是云计算安全厂商,都在展示自己的“零信任”方案。笔者认为,“零信任”的架构并没有太多新的技术,更贴近应用的边界划分,更精细的资产管理,更加自适应的安全策略,更高安全性的多因素身份认证技术(MFA),所有的这一切,都是“零信任”的具体实践。
图注:思科和Duo 的“零信任”安全之路
“零信任”安全模型的最佳实践
微分域和流量可视化(Microsegmentation & Flow Visibility)被认为是解决云计算内部安全问题的最佳技术方案之一,并连续三年上榜Gartner信息安全十大技术。
山石网科作为国内最早投入到云计算安全领域的厂商之一,也是国内第一批获得VMware Ready认证的网络安全厂商,早在2015年就发布了创新的分布式网络侧微分域产品山石云·格及虚拟化防火墙山石云·界。并陆续发布了关于微分域和可视化技术、零信任安全模型等技术白皮书,在业界获得普遍认可。今年RSAC,山石网科再一次向用户展示了以微分域和可视化技术为核心的云计算安全解决方案。
除了一些大牌厂商,今年RSAC“创新沙盒”演讲冠军的获得者Axonius也是“零信任”领域的后起之秀。Axonius为客户提供SAAS模式的资产管理及可视化产品,这是非常基础和普通的安全技术,却是实现“零信任”的起点。
在日渐复杂的多云环境中的如何全面、准确的获取资产的信息,并实现快速的安全响应并不容易。Axonius在资产管理、漏洞管理和安全合规方面都有不同程度的微创新,获奖虽然有一定的争议,但也显示了评委对“零信任”这个大方向的认可。
图注:Axonius的SAAS资产管理产品
趋势三:“无AI不安全”
McAfee高级副总裁兼首席技术官Steve Grobman在主题演讲中探讨了AI和机器学习这把双刃剑。AI可以削弱公众对技术的信任,也可以增强我们的技术手段以重建信任。
