RSA 2018關(guān)于網(wǎng)絡(luò)安全的探討著眼于當(dāng)下、腳踏實地

■胡立

美國信息安全大會RSA 2018前幾天剛剛結(jié)束，會議上的大量議題引起廣泛探討?？傮w看來，這次的議題似乎沒有什么創(chuàng)新之處，但仔細(xì)研究就能發(fā)現(xiàn)，撇去新技術(shù)的泡沫、經(jīng)歷過2017年至今大大小小的安全事件之后，關(guān)于網(wǎng)絡(luò)安全的探討更加著眼于當(dāng)下、更加腳踏實地。

當(dāng)下有哪些安全問題？廠商應(yīng)當(dāng)關(guān)注哪些領(lǐng)域？網(wǎng)絡(luò)安全行業(yè)未來會如何發(fā)展？如何應(yīng)對安全問題？通過RSA 2018大會上的一些重要議題，也許可以管中窺豹、見微知著。

物聯(lián)網(wǎng)與工控安全——萬物互聯(lián)時代的挑戰(zhàn)與機遇

長期以來，物聯(lián)網(wǎng)安全一直在安全領(lǐng)域占據(jù)著重要地位。小到家庭溫度計、智能電視，大到智能汽車、工業(yè)控制系統(tǒng)，這些聯(lián)網(wǎng)設(shè)備不具有統(tǒng)一的安全標(biāo)準(zhǔn)，凸顯出的安全問題也數(shù)量龐大、各不相同。由于物聯(lián)網(wǎng)與人們的生活息息相關(guān)，其安全的重要程度也不言而喻。ESET全球安全專家花費數(shù)月時間測試了12款物聯(lián)網(wǎng)設(shè)備，結(jié)果發(fā)現(xiàn)這些設(shè)備存在未加密的固件升級問題、未加密的攝像機視頻流、明文通信，密碼存儲未設(shè)置保護(hù)等安全缺陷。此外，與漏洞不大相關(guān)的過度分享數(shù)據(jù)所涉及的隱私問題也是物聯(lián)網(wǎng)安全的另一個痛點。對于這些問題，需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施，并注重系統(tǒng)每一個環(huán)節(jié)的安全。

在RSA展會上，有很多專注于物聯(lián)網(wǎng)安全的廠商，其中一個有代表性的就是Lynx軟件技術(shù)公司。他們認(rèn)為可以通過將內(nèi)核、內(nèi)存、應(yīng)用程序、系統(tǒng)和其他資源互相隔離的方式，打造更加安全的物聯(lián)網(wǎng)環(huán)境。當(dāng)然，對于開發(fā)而言可能效率會有所減緩，但這種方法對于航空電子設(shè)備、醫(yī)療設(shè)備等與人身安全密切相關(guān)、對安全要求更為嚴(yán)格的領(lǐng)域而言至關(guān)重要。

RSA的議程安排還突出了對工控安全的重視。其中有一項議題解析了黑客對工業(yè)系統(tǒng)的安全輔控系統(tǒng)SIS所發(fā)起的攻擊。其代表是2017年年底的Triton/TriSIS事件，這個攻擊針對工業(yè)環(huán)境中最高風(fēng)險組件，危及工控系統(tǒng)中生產(chǎn)事故及人身安全的最后一道防線。由于工業(yè)領(lǐng)域的設(shè)備數(shù)量龐大、組成復(fù)雜，操作系統(tǒng)更新和危險防護(hù)措施都難以及時落地，一旦其中一項遭遇攻擊，將造成嚴(yán)重威脅。

RSA大會還專門設(shè)置了 ICS、IoT、Car HACKING的sandbox環(huán)節(jié)，以及包含“關(guān)鍵基礎(chǔ)設(shè)施保護(hù)快速上手指南”“應(yīng)對關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部威脅”“工業(yè)IoT漏洞利用的影響”“用黑客的思維去做工程師的工作”等議題在內(nèi)的專題演講。

綜合來看，各大廠商均建議工業(yè)企業(yè)要制定IT和OT的安全策略，分析IT和OT對CIA和AIC的優(yōu)先排序，從架構(gòu)上和配置上整體考慮安全防護(hù)、應(yīng)用SOC/NOC進(jìn)行網(wǎng)絡(luò)管理和危險探測、建立IT和OT一體化的安全團(tuán)隊等。各廠商的具體解決方案也有一些可參考的創(chuàng)新之處，如UPTAKE公司提出對工業(yè)大數(shù)據(jù)進(jìn)行安全監(jiān)測和響應(yīng)，盤點工業(yè)企業(yè)資產(chǎn)、獲得全面的安全可見性、對威脅進(jìn)行分類、調(diào)查以及補救來解決工業(yè)企業(yè)OT安全問題。Monaca公司則倡導(dǎo)用加密的方式從基礎(chǔ)開始建立可信度，保障工業(yè)控制系統(tǒng)和工業(yè)物聯(lián)網(wǎng)（IIOT）的安全，提供支持 ARM、MicroChip、ST、Atmel等 30多種嵌入式平臺的類OpenSSL信任平臺，可以源代碼方式提供，開發(fā)者將之編譯進(jìn)不同目標(biāo)設(shè)備，確保聯(lián)網(wǎng)設(shè)備安全。此外，還有多家公司提出SDN平臺、混合基礎(chǔ)設(shè)施和智能制造全覆蓋、安全且可信的數(shù)字基礎(chǔ)架構(gòu)等多種解決方案來應(yīng)對工控安全問題。

挑戰(zhàn)往往意味著機遇，隨著萬物互聯(lián)進(jìn)一步擴大廣度、加大深度，安全威脅將越來越多，不論是政府部門、監(jiān)管機構(gòu)、安全廠商還是用戶的安全意識都將提高，相關(guān)政策法規(guī)、創(chuàng)新技術(shù)、產(chǎn)品等也會越來越多，逐漸落地。

數(shù)據(jù)與隱私保護(hù)成為新風(fēng)口

近期沸沸揚揚的 Facebook數(shù)據(jù)泄露，即將實施的GDPR，以及在RSA 2018大會的“創(chuàng)新沙盒”環(huán)節(jié)獲得冠軍、專注隱私保護(hù)的BigID公司，都預(yù)示著當(dāng)下的一個風(fēng)口：數(shù)據(jù)與隱私保護(hù)。

在當(dāng)?shù)貢r間4月18日進(jìn)行的主題演講環(huán)節(jié)上，SANS研究所的主任Alan Paller和SANS三位研究員Ed Skoudis、James Lyne、Johannes Ullrich總結(jié)分析了5種最危險的的網(wǎng)絡(luò)攻擊：存儲庫和云存儲數(shù)據(jù)泄漏、大數(shù)據(jù)反匿名處理和相關(guān)性分析、攻擊者將通過挖礦機將受損系統(tǒng)貨幣化、硬件缺陷、不追求利益的工業(yè)控制性攻擊。

SANS滲透測試課程負(fù)責(zé)人Ed Skoudis認(rèn)為，當(dāng)今的軟件構(gòu)建方式依托于龐大的在線代碼庫，通過代碼庫協(xié)作、云存儲數(shù)據(jù)并托管關(guān)鍵應(yīng)用程序，這在帶來便利的同時也吸引了攻擊者的目光。攻擊者針對這類存儲庫和云存儲基礎(chǔ)架構(gòu)，尋找密碼、加密密鑰、訪問令牌和TB級敏感數(shù)據(jù)。

他也談到了攻擊者目標(biāo)的轉(zhuǎn)變——從計算機轉(zhuǎn)變到數(shù)據(jù)，也就是收集來自不同來源的數(shù)據(jù)并將其融合在一起，識別用戶身份，查找業(yè)務(wù)弱點和機會，或以其他方式破壞組織。因此，企業(yè)組織除了采取防護(hù)措施之外，還要分析其數(shù)據(jù)可能遭遇的風(fēng)險。

對此，Ed Skoudis表示，應(yīng)該考慮雇用或分配一名專門的“數(shù)據(jù)管理員”，來跟蹤和管理數(shù)據(jù)資產(chǎn)，甚至培訓(xùn)系統(tǒng)架構(gòu)師和開發(fā)人員如何保護(hù)云中的數(shù)據(jù)資產(chǎn)。他表示，云服務(wù)商提供的服務(wù)可以利用機器學(xué)習(xí)和人工智能來掃描客戶的數(shù)據(jù)，以發(fā)現(xiàn)違規(guī)行為，幫助客戶分類和維護(hù)其基礎(chǔ)架構(gòu)中的數(shù)據(jù)。而企業(yè)也應(yīng)當(dāng)采取多種工具，定期審查與存儲在云中的數(shù)據(jù)資產(chǎn)相關(guān)的訪問日志，檢測并預(yù)防通過代碼庫導(dǎo)致的數(shù)據(jù)泄露。

SANS研究院院長，SANS互聯(lián)網(wǎng)風(fēng)暴中心主任Johannes Ullrich提到了當(dāng)下大熱的加密貨幣挖礦和硬件缺陷。他認(rèn)為這兩點對于企業(yè)而言也是很大的風(fēng)險。他提醒企業(yè)檢測挖礦行為，及時修復(fù)漏洞。同時，強調(diào)開發(fā)人員要學(xué)會創(chuàng)建安全軟件，不完全依賴硬件去解決安全問題。因為一旦硬件出錯，整個系統(tǒng)都會蒙受性能損失，這也與之前Meltdown和Spectre漏洞相呼應(yīng)。在硬件層面，也要像軟件一樣，對系統(tǒng)內(nèi)的數(shù)據(jù)進(jìn)行認(rèn)證和加密。

對于各個環(huán)節(jié)錯綜復(fù)雜的數(shù)據(jù)問題，Ed Skoudis表示，要將數(shù)據(jù)作為一項資產(chǎn)來關(guān)注，而且需要更加重視隱私和公司治理的共同合作。

區(qū)塊鏈技術(shù)在重復(fù)AI的發(fā)展軌跡

區(qū)塊鏈技術(shù)是RSA 2018大會上另一個爭議性較大的話題。一些人認(rèn)為區(qū)塊鏈?zhǔn)菍崿F(xiàn)GDPR合規(guī)的關(guān)鍵，而有些人則質(zhì)疑這一技術(shù)落地的可能性。還有一些參會者則對于區(qū)塊鏈技術(shù)完全一無所知。

前兩年，AI成為IT行業(yè)的絕對熱點，所有的議題、所有的從業(yè)者都展開了轟轟烈烈的探討。炒作的泡沫破滅之后，深思熟慮者回歸技術(shù)落地，盲目參與者依然游走在邊緣。如今，區(qū)塊鏈技術(shù)也走上了AI的發(fā)展軌跡，正處于前期的概念探討階段和初步落地階段。

圍繞新興技術(shù)的炒作總會給開發(fā)人員帶來創(chuàng)新壓力，在這種壓力下，很多開發(fā)人員往往會忽略安全而一味求新，結(jié)果可能導(dǎo)致一系列問題。最近的研究結(jié)果表明，大多數(shù)企業(yè)并沒有將區(qū)塊鏈技術(shù)應(yīng)用于生產(chǎn)實踐，實際應(yīng)用于生產(chǎn)的企業(yè)只占3%，28%的組織正積極測試區(qū)塊鏈、20%的組織正處于發(fā)現(xiàn)或評估階段、4%的企業(yè)正在測試或試用區(qū)塊鏈技術(shù)、2%的企業(yè)正在測試或開發(fā)區(qū)塊鏈產(chǎn)品。

在RSA 2018大會上，來自Verizon和Linux基金會等企業(yè)的代表強調(diào)，要為安全創(chuàng)新概念化設(shè)定基準(zhǔn)問題，并分享了關(guān)于區(qū)塊鏈建設(shè)的經(jīng)驗。企業(yè)在應(yīng)用區(qū)塊鏈技術(shù)，收集要求時，需要涉及信任模型、管理、身份和保密等內(nèi)容。區(qū)塊鏈只是一個工具，并非一項業(yè)務(wù)。企業(yè)廠商需要擺正態(tài)度，不能把區(qū)塊鏈當(dāng)做靈丹妙藥，而應(yīng)當(dāng)從實際應(yīng)用角度來思考其在安全領(lǐng)域的發(fā)展。

目前，企業(yè)對區(qū)塊鏈技術(shù)的應(yīng)用仍處于探索階段，到2019年的大會上，采用區(qū)塊鏈技術(shù)的產(chǎn)品或解決方案或許會成為亮點。

網(wǎng)絡(luò)安全沒有銀彈

進(jìn)入2018，網(wǎng)絡(luò)世界的安全問題似乎并未減少，安全事件頻發(fā)，信息泄露依然嚴(yán)重。RSA 2018大會上發(fā)布的ISACA網(wǎng)絡(luò)安全報告指出，81%的安全專業(yè)人員表示自己的企業(yè)在2018年已經(jīng)遭遇了網(wǎng)絡(luò)攻擊，50%的受訪者表示2018年至今所遭遇的網(wǎng)絡(luò)攻擊已經(jīng)超過了2017年的總和。此外，還有31%的企業(yè)表示公司董事會還沒有充分確認(rèn)企業(yè)安全的優(yōu)先級。而技術(shù)水平過關(guān)的安全人才依舊有很大缺口。此外，網(wǎng)絡(luò)安全問題已經(jīng)延伸到網(wǎng)絡(luò)的各個角落，不論是個人公民、私人公司還是政府機構(gòu)都難以幸免。

這是否意味著我們所處的網(wǎng)絡(luò)世界安全環(huán)境越來越嚴(yán)峻了呢？并不是，網(wǎng)絡(luò)安全也許正變得更好，這是RSA總裁Rohit Ghai的觀點。在RSA 2018大會上，Rohit Ghai發(fā)表了主題演講，他認(rèn)為，網(wǎng)絡(luò)安全正變得更好，人們逐漸放棄了“銀彈”思維，對安全有了更加正確的認(rèn)知，安全業(yè)務(wù)正著眼當(dāng)下，更加務(wù)實。

當(dāng)前，企業(yè)正采取商業(yè)驅(qū)動的安全方法來管理數(shù)字風(fēng)險。風(fēng)險本身并不是威脅，太多或者太少的風(fēng)險才容易帶來問題。在應(yīng)對風(fēng)險過程中，存在“金發(fā)女郎效應(yīng)”（即剛剛好的狀態(tài)），企業(yè)的目標(biāo)就是引入機器學(xué)習(xí)、人工智能等當(dāng)下熱門且已經(jīng)日趨成熟的新技術(shù)，在數(shù)字化世界中達(dá)到這種狀態(tài)。

著眼當(dāng)下，腳踏實地

遠(yuǎn)離“銀彈”思維后，當(dāng)下就成了焦點。這也是RSA 2018大會的主題“Now Matters”所要傳達(dá)的理念。

1.DevSecOps——安全融入開發(fā)運營

RSA 2018大會上的一項報告表明，在企業(yè)開發(fā)生命周期中，應(yīng)用安全實踐的年增長率達(dá)到15%。擁有成熟DevOps實踐的公司中，有59%的公司將安全自動化納入了開發(fā)過程，有88%的公司投資于應(yīng)用程序安全培訓(xùn)；有63%的公司表示會利用安全產(chǎn)品來識別容器中的漏洞。越來越多的企業(yè)意識到將安全納入開發(fā)運營的重要性，并預(yù)計或已經(jīng)采取措施落實DevSecOps。

Contino的聯(lián)合創(chuàng)始人兼首席技術(shù)官Benjamin Wootton認(rèn)為，僅僅在DevOps過程中采取安全思維是不夠的，需要全面落地DevSecOps，將安全當(dāng)做軟件交付過程中的基礎(chǔ)原則。這不僅關(guān)乎開發(fā)、部署和安全的自動化，還涉及改變整個組織的架構(gòu)（技術(shù)團(tuán)隊和其他團(tuán)隊），這都決定著整個軟件的開發(fā)周期。如果安全人員意識到這一點，就會發(fā)現(xiàn)，DevSecOps會成為所有大組織的選擇。

2.組建可靠的安全團(tuán)隊

然而，僅僅依靠新技術(shù)還是不夠的。新技術(shù)有助于提高安全成效，但是依照墨菲定律，新技術(shù)就等同于新的漏洞，技術(shù)既是目標(biāo)，也是武器。因此，技術(shù)背后的人也是安全發(fā)展的另一個重點。在技術(shù)成為雙刃劍的時候，安全團(tuán)隊的水平?jīng)Q定著企業(yè)的安全業(yè)務(wù)水平。面對日益復(fù)雜的攻擊環(huán)境，單純的防御已經(jīng)不再有效，有些威脅甚至是“防不住”的，企業(yè)需要升級應(yīng)急響應(yīng)策略，在響應(yīng)之外，也要關(guān)注攻擊事件本身，分析攻擊手段、漏洞特征等，做好威脅情報與其他安全技術(shù)的整合，將整個團(tuán)隊聯(lián)動起來。

ISACA的數(shù)據(jù)顯示，填補網(wǎng)絡(luò)安全職位所需的時間有所縮短、安全管理人員的合格人選數(shù)量有所提高、企業(yè)招聘安全員工的預(yù)算有所提高，這些對于安全團(tuán)隊建設(shè)而言，無疑是好消息。

3.內(nèi)外兼顧

除了復(fù)雜的網(wǎng)絡(luò)環(huán)境和黑客攻擊帶來的外部威脅，在企業(yè)內(nèi)網(wǎng)中，各種企業(yè)內(nèi)員工的違規(guī)操作或惡意竊取事件也不斷被曝光，成為另一類重大安全隱患。因此，在RSA 2018大會上，安全負(fù)責(zé)人已經(jīng)開始將身份認(rèn)證以及數(shù)據(jù)安全視為新的安全邊界，圍繞這些話題展開了探討。有調(diào)查顯示，企業(yè)內(nèi)部員工的行為表現(xiàn)往往是危及企業(yè)數(shù)據(jù)安全的關(guān)鍵因素，60%的情況下攻擊者能夠在幾分鐘之內(nèi)搞定一家企業(yè)的網(wǎng)絡(luò)入侵。而企業(yè)供應(yīng)鏈也成為網(wǎng)絡(luò)攻擊者的新目標(biāo)。供應(yīng)商、渠道商常常受到專業(yè)人員、資金投入等方面的局限，無法為其所服務(wù)的網(wǎng)絡(luò)資源提供可靠的安全防護(hù)，成為企業(yè)遭受攻擊的一個重要渠道。

因此，企業(yè)在應(yīng)對外部威脅的同時，也要加強對內(nèi)部員工的審核和安全意識培訓(xùn)，由內(nèi)到外切實保護(hù)好企業(yè)安全。

當(dāng)然，在任何國家和地區(qū)，網(wǎng)絡(luò)安全都離不開政府的行動和政策。不論是歐盟的GDPR還是我國的《網(wǎng)絡(luò)安全法》，都確保了網(wǎng)絡(luò)安全工作有法可依、有據(jù)可查。政策先行，策略才能落實，這也是RSA總裁Rohit Ghai所倡導(dǎo)和強調(diào)的。

與以往相比，商業(yè)利益相關(guān)者對網(wǎng)絡(luò)安全的投入更多，網(wǎng)絡(luò)安全即將成為董事會級別的事情。這只是網(wǎng)絡(luò)安全工作的本質(zhì)，我們最大的成就是永遠(yuǎn)不要登上頭條。

這句話，大概也是所有企業(yè)的心聲。