全球领先的网络安全会议RSA Conference™在美国旧金山莫斯克尼(Moscone)中心正式拉开帷幕。这是一场网络安全领域全球的顶级盛会,每年平均约有45000人参加。今年是RSA大会的第32个年头,它汇集了世界顶级网络安全、政府和商业领袖,以学习、讨论新兴趋势并制定最佳战略,以帮助组织和社区解决当前和未来的网络威胁。2023年度RSAC大会议的主题是:Stronger Together(一起更强大)。RSAC大会官网首页引用了海伦.凯勒的名言来进一步诠释这一特别的主题:“一个人的力量是有限的,集体的力量是巨大的(“Alone we can do so little; together we can do so much” ,Helen Keller)。该主题无疑在全球遭受世纪疫情、地缘冲突以及持续动荡的国际环境的大背景下是极其鼓舞人心的。
随着人类世界进一步数字化、社区化、多元化和扁平化,与之相对应的数字威胁也正变得更复杂、更具有创造性、破坏性和更难以通过传统的方式应对。因此,人类为了应对不断变化的数字威胁,不能再依靠单打独斗,而是要通过多方的交流、分享、并勇敢的审视和面对失败,才能实现真正意义上的突破。RSAC大会强调,只有通过团队的共同工作和不断协同创新,才能影响相关政策、建立新的最佳实践,才能确保构建更加多样化、更加坚定和有效的数字安全防御体系。该主题所揭示恰恰是:只有合作是基础的时候,未来才是光明的。
2023年年初,人工智能(AIGC)的爆炸性出现并快速重塑我们的世界。“一起变得更强大”是一个恰当而有说服力的主题,它不仅仅表示是数量上的力量或人类的力量的汇聚。它更是关于创造、组合和使用人员、工具、机器、自动化——任何事物——以最大效率实现最佳结果【1】。
据了解,参加本年度2023年度该社区拥有超过625家供应商和700多位演讲者。去年参会人数为26000人左右,往年平均参会人数约为45000人,预计今年参会人数会在3-4万人左右。
RSA会议实际上是一系列IT安全会议组成。它最早成立于1991年,当时还是一个小型的密码学会议,隶属于RSA公司。RSA公司成立于1982年,其缩写字母RSA分别代表该技术的发明者Ronald Rivest、Adi Shamir和Leonard Adleman 三位麻省理工学院的先驱数学家的首字母缩写。他们早在“创新“成为今天的流行词之前就真正定义了“创新”。这些有远见的人发明了著名的RSA公钥加密系统(该算法1983年 9月20日被授予专利),为后来的所有安全数据通信奠定了基础。RSA 密码系统已被整合到所有流行的安全产品中,例如安全套接字层 (SSL) 和安全shell (SSH) 以及许多其他商业产品。该专利自2000年9月21日颁发之日起17年后到期。
图1 RSA算法的发明者:Ronald Rivest、Adi Shamir和Leonard Adleman
随后,参加RSA会议的人数逐渐增多。到 1997 年,会议已发展到 2,500 名与会者。据Network World报道,2005 年,微软首席执行官比尔·盖茨 ( Bill Gates)发表了主题演讲,会议的重点从密码学扩展到更广泛的 IT 安全会议,出席人数更多。到2008年,会议有17,000 名与会者和375家参与的IT安全供应商。其它里程碑事件包括:在2010年的RSA会议上,奥巴马政府公开披露了2008年创建的、以前保密的综合国家网络安全计划(CNCI)。2014 年,RSA会议的赞助商RSA Security 被指控在其产品中添加后门程序后,8名发言人抵制了RSA会议,归因于美国国家安全局 (National Security Agency)可以监控RSA安全技术的用户。F-Secure首席技术官Mikko Hyppönen是当时最早发起抵制的人。他希望RSA Security道歉,而该公司的声明是指控不属实。一些人指出,RSA会议和RSA 安全公司只是松散地联系在一起。那年会议的讨论主要集中在爱德华·斯诺登泄密事件和美国国家安全局与美国科技公司的关系上。截至2017年,该会议在美国估计有40,000–43,000名与会者参与。
RSAC过去五年主题词回顾
自1995年以来,每年都会选择一个独特的主题。下面列出最近五年中RSAC所选择的主题词,我们可以从这些主题词中看出数字安全领域的历史变迁。
2022年:转型(Transformation)。作为一个社区,我们已经改变了。随着世界变得更加数字化,它首先期待我们的保护和响应。使每个人都能安全、自信地连接。并且该大会还引用了著名作家村上春树的一句名言,“当你从风暴中走出来时,你将不再是走进来的那个人。这就是这场风暴的意义所在。”以此来比喻走出新冠疫情的人类世界,而新冠疫情也彻底改变了数字安全世界。
2021年:韧性(Resilience)。作为一个社区,我们有不同的观点。不同的角色。因为有弹性需要无穷的力量。不能有任何松懈。没有休息。没有终点线。由于对新冠疫情的担忧,2021年的RSA会议100%转为线上举行。
2020年:人为因素(Human Element)。随着安全专家和威胁参与者都在使用所有新技术、策略和人工智能,有一点保持不变:我们。我们是网络安全中的人为因素。当我们认识到网络安全从根本上讲是关于人对人的保护时,世界就会变得更美好、更安全。
2019年:更好(Better)。掌握最新的威胁。投入额外的时间。把安全放在首位。我们来这里是为了体验更好的解决方案,集思广益更好的想法。
2018年:现在很重要(Now Matters)。世界上近一半的人口都在互联网上,信息正在以惊人的速度传播。无论我们喜欢与否,我们的个人生活都在变得数字化。网络威胁比以往任何时候都更加严重。
更早期的大会主题在此不一一列出。从近年来RSA大会的主题我们可以看到网络安全正在深刻的影响着我们这个星球。网络安全正在从突破一种技术变成整个社区的安全问题,变为数字化转型的基础。网络安全正在影响着这个星球上的每一个人。
2023年RSA大会关键词
本次大会主题热度排名为:分析、情报和响应(85)、黑客与威胁(82)、风险与管理(82)、DevSecOps(80)、技术基础设施与运营(73)、安全策略与架构(67)、保护数据供应链(57)、云安全与运营(55)。另外, “数据安全”在所有演讲的议题中占比最高,约为所有演讲主题的55%,排名第一;我们帮助读者总结了2023年RSA大会的一些关键词,如图2所示。
图2 2023 RSAC大会关键词
RSA的首席执行Rohit Ghai在大会的开幕式发表了题为“迫在眉睫的数字身份危机“的主旨演讲,正式拉开了本年度的RSA 2023年度大会的序幕。什么是数字身份?为什么数字身份受到如此关注?数字身份包括物理文件的任何数字表示,例如出生证明、护照、执照、医疗保险卡和身份ID等。它还包括“软”身份,如在线凭证、用户名、密码和用于多因素身份验证的一次性访问令牌,使人们能方便的依靠数字身份访问电子商务、社交媒体和银行应用程序等。另外,数字身份还包括非人类身份(设备、机器人、API)的身份,应用程序与应用程序之间的连接身份等等。在当今的数字世界中,人们越来越多地在网上进行日常活动,因此,数字身份的重要性怎么强调都不为过。数字身份已经成为数字经济中信任的基础。数字身份面临哪些迫在眉睫的危机呢?回顾2022年发生的诸多网络安全事件,例如SolarWinds漏洞导致大规模供应链攻击事件为网络安全行业敲响了警钟,它促使我们对身份和身份安全的看法发生重大变化:特权身份导致的网络安全事件已经成为云上安全问题的主要归因。事实上,不少的安全运营中心 (SOC) 团队正面临着跨端点、应用程序、服务器和网络的大量信号淹没的告警痛苦之中。他们尽管看到了风险事件,但无法完成足够的深度分析,因为无法把安全事件关联到身份威胁检测和分析的安全范式。Verizon数据显示,被盗凭证(Identity)现在占所有数据泄露的50%左右。另外,网络攻击者和更复杂的高级持续威胁(APT)组织正在积极瞄准身份和访问管理(IAM)基础设施。身份攻击路径是攻击者用来完全控制组织的最简单和最可靠的目标。随着生成式人工智能技术如ChatGPT等的爆炸性发展,攻击者率先进入了自动化时代。我们看到基于ChatGPT的网络钓鱼活动正在迅速增加,包括欺骗或胁迫用户放弃其身份验证凭据的电子邮件和聊天对话,并增加帐户接管(Account Take Over,ATO)的风险。另外,deepfakes等深度伪造技术可以轻松绕过当前使用的最常见的验证方法。在Web3场景下,传统的中心化系统向去中心化系统的转变,身份安全问题更加突出。因此,我们处于一个不断扩大的互联的、不断蔓延且隐藏着安全漏洞的数字世界之中。使得身份安全的防御变得更加具有挑战性,传统的身份安全范式(MFA)已然失效。毫无疑问,身份保护俨然是网络安全的第一道防线。其实,回顾在过去的几年里,身份和安全属于两个不同的领域。身份通常属于IT部门负责,而安全则归安全团队负责。随着越来越多的组织将业务转向云计算,数字身份已成为保护数字资产不可或缺的一部分。因此,在2022年身份与安全的界限很难再分的那么清楚,已经开始融合。为了应对未来的数字安全威胁,我们需要有新的解决方案。Gartner 副总裁分析师Mary Ruddy将身份优先安全定义为“一种使基于身份的控制成为组织网络安全架构的基本要素的方法”。他甚至将身份优先安全描述为“最终目标”。
针对数字时代客户所面临的数字身份安全威胁,我们提供了如下一下建议:1. 加强对员工的教育。随着越来越多的攻击者开始利用ChatGPT 等AI技术进行网络钓鱼,网络攻击者借助人工智能技术使得其变得更难以被发现。不断加强对员工的教育,并且使得员工了解如何正确的使用类似于ChatGPT等人工智能工具,不断提升安全文化素养,让他们在与聊天机器人和其他人工智能支持的解决方案交互时更加谨慎,降低遭受网络钓鱼或被欺诈的安全风险。2. 采用ITDR模型。身份威胁检测和响应(ITDR)是保护数字身份系统的工具和最佳实践的集合,主要解决黑客攻击身份管理系统的问题。它具备两个主要功能:一个是检测(Detection),包括TTP(策略、技术、程序), UBA(用户行为分析),IOC(攻击指标)等,即在网络攻击前实现对身份系统的安全状况的评估,如有没有错误配置、漏洞和特权暴露等,为特权访问管理(PAM)和身份治理与管理(IGA)提供基本的预防控制,以在凭证或身份泄露时限制过度特权的暴露从而缩小攻击面,二是响应(Response)功能,即可监控网络攻击并在攻击进行时能实现被攻击的身份系统的分离。如可实现消除(eradicate)、恢复(Recover)、报告(Report)和补救(remediate)等身份威胁剧本。ITDR技术进一步丰富了零信任的内涵,该技术被Gartner评为2022年网络安全的主要趋势之一。可预计将成为下一代增强身份安全的主流技术。3. 构建零信任体系架构。通过仅在身份验证后授予访问权限并确保最低权限访问,安全领导者可以减少利用 ChatGPT 绕过缺乏安全意识的用户的攻击者的威胁。这些控制将阻止无法验证其身份的网络犯罪分子的访问,并限制攻击者在能够绕过身份验证协议的情况下可能造成的损害。不仅限制开发人员,而且限制超级权限员工的访问权限,以有效执行其工作所需的最少资源。实时检测威胁的风险、信任、欺诈、机器人程序和行为等。4. 监控异常活动和用户信任状态。用户通过身份验证后,他们处于相对较高的信任状态。但是,信任不是一成不变的。它会随着时间的推移而变化。因此,必须使用工具(包括垃圾邮件过滤器、行为分析和关键字过滤)持续监控公司帐户的活动,以识别和阻止恶意消息。无论网络钓鱼攻击的语言多么复杂,如果员工和消费者看不到消息,他们就不会成为受害者。根据通信者的行为和关系而不是特定关键字来隔离恶意消息更有可能阻止恶意行为者。5. 利用AI和自动化实现更快、更准确的威胁响应。网络攻击已经在利用AI,而 ChatGPT 只是他们将使用它来访问组织环境的另一种方式。组织必须利用AI/ML提供的功能来提高网络安全并更快地响应威胁和潜在漏洞。身份安全领域正在发生系统性的变革。随着人工智能技术的飞速发展,尤其是生成式人工智能技术正在重塑整个行业,当然也在重塑网络攻击者的攻击方式。
选择数字安全供应商的三条建议
为了应对充满挑战的2023,对于任何组织机构而言,对安全供应商的选择至关重要,该选择将直接影响其数字化转型的进程。那么,组织如何选择合适的安全供应商呢?下面给出三条建议可以作为参考。一是要构建数字安全能力。任何组织必须加倍关注他们的安全供应商是否具备与时俱进的安全能力,即安全供应商自身是否有能力应对未来的数字安全风险。安全与风险管理领导者更加关注的是如何利用其现有的投资,提升安全防御能力。所以,安全厂商提供的安全产品一定要以能力为导向,才能帮助客户真正创造价值。传统的硬件产品堆叠方式已经不能满足组织应对未来安全威胁的需求,反而会增加管理成本、风险暴露面,并加重组织未来数字化转型的负担。二是要选择可长期“陪伴式”的新型可信任的安全服务商。除了安全相关的问题之外,越来越多的组织会要求安全厂商帮助解决更多其它业务相关的问题。安全是业务的基础,业务是安全的前提。这种新型的客户关系将体现在与客户共同成长,紧密结合客户的业务,帮助客户实现数字化转型,而不是仅仅推销安全产品。构建可信任的“陪伴式”合作伙伴关系,将成为未来新型供需关系的基本特征。这将对提供单一产品和服务的安全厂商带来挑战。三是为整合及早做准备。2023年会进入“整合”期。对风险和安全负责人而言,首先考虑的是减少安全供应商数量。Gartner预测,到2025年,80%的企业将实现从单一供应商的安全服务边缘(SSE)平台统一网络、云服务和私人应用程序访问。70%的企业将把保障云原生应用程序生命周期的供应商数量整合到最多三个供应商。其次,风险和安全负责人在未来的重要任务是减少和整合安全工具。数据显示,一个组织平均所拥有的安全工具达到47个,53%的IT专家承认他们不知道他们部署的网络安全工具的工作情况,63%的受访者表示他们观察到安全控制报告说这些安全工具阻止了网络攻击,但实际上并没有。因此,这种状况不可能持续。未来组织将越来越多需要的是“拎包入住”的数字安全服务。
作者:360天枢智库高级研究员 凉州
参考文献:
【1】https://www.rsaconference.com/about/themes【2】https://www.rsaconference.com/usa/agenda/full-agenda#q=identity&t=agenda-upcoming-tab&numberOfResults=25【3】360天枢智库,《2022-2023数字安全观察年度报告》,2023.4