RSA 2019議題前瞻 | 安全讓世界更美好
一年幾度的 RSA 大會將在 2019 年 3 月 4 日到 3 月 8 日在美國舊金山舉行,RSA 官網照例放出了行程安排以及一些專家的博客文章。今年RSA 2019 USA大會的主題是「Better」,簡短的一個詞折射出信息安全領域逐漸轉向踏實化以及不斷發展提升、越來越好的願景。
綜合看來,今年的議題依舊涵蓋行業趨勢、細分領域發展或具體技術與應用探討。除了傳統的密碼學專家討論會,數據保護、人才培養、DevSecOps、安全教育與培訓、安全合規管理等話題也成為議題的關鍵詞。經過分析發現,議題以及參展商共同突出了「雲安全」這一熱點。此外,今年的大會也依舊延續了RSA多樣化、包容性的風格,邀請到優秀女性、首席安全官等,分享安全領域或公共領域的成功之道。
主題概覽
精選關鍵詞
DevSecOps
:近幾年,DevSecOps愈發流行,引起廣泛的探討與落地實踐。我們曾在多篇文章以及報告中提到這一技術在2018年的發展情況及在2019年的展望。在2019 RSA大會上,關於DevSecOps的議程數量不少,且專門設立了DevSecOps Day(3月4日),以及關於DevSecOps建設的議題研討。雲安全:
隨著企業大部分上雲,雲成為了企業新的部署業務,也帶來了新的安全問題和潛在的新安全解決方案。本屆RSA大會既有關於雲安全的培訓課程,也有以其為主題的會議和議題。身份驗證與隱私安全:
2018年GDPR的實施將用戶隱私保護以及相應的身份驗證與身份安全推到了新的高度。2019 RSA 大會關於身份和隱私的討論有很多場,其中比較大型且受到顧問委員會欽點的是《安全、隱私與人類行為》(3月4日)。威脅情報:
威脅情報在安全中的角色越來越重要,如何讓威脅情報更高效、更可用,成為安全從業者關注的重點。2019 RSA大會上有多場關於威脅情報的探討,涉及其實際應用方法、應用案例、AI自動化情報預警發展等。培訓課程
1. 關鍵安全控制:規劃,實施和審計
2. 雲計算安全
3. 安全意識培訓
4. 自動化信息安全
……
主題演講或研討會議題摘錄
1. 密碼學的發展與未來(RSA首席技術官、密碼學家和安全專家、計算機科學教授等)
人們老早就使用加密技術來保護數據並實現通信的機密性、完整性、真實性和隱私性。隨著互聯網的發展,密碼學也不斷發展並應用到電子商務領域。這個圓桌會議主要討論在數字化轉型的時代,密碼學的發展與未來。
2. 數據保護的未來:適應隱私發展
受到全球法規和大量數據泄露事件的影響,許多組織者都極力採取合適的隱私保護舉措來滿足複雜的道德要求和競爭要求。消費者也更加重視自己的數據與隱私安全,思考與企業數據共享的程度。本次會議將探討隱私保護的未來,探討個人數據的價值、以及企業搜集、使用個人數據的情況。
3. 五大最危險的新攻擊技術及其應對方式
當前最危險的攻擊技術有哪些?它們如何運作?應當如何阻止與應對?應當如何做準備以應對未來的威脅?這個議題也許能給出一些參考。
4. 網路安全一線面面觀 (火眼CEO Kevin Mandia 、火眼全球情報部門負責人Sandra Joyce)
來自火眼的專家觀點總是比較有參考性。這個話題將探討未來幾年可能在網路安全領域起到較大影響的攻擊者、戰術和網路安全趨勢。
5. 機器已經崛起:走在新威脅之前(思科安全專家)
機器人與物聯網的普及帶來了新的攻擊面和新的威脅。思科 IoT 部門領導以及Talos 團隊領導將分享如何在安全、信息技術和運營方面進行協作,以便將早期的研究和經驗轉化為成功的防禦策略。
6. 安全技術在公共政策中的作用(IBM安全專家 Bruce Schneier )
計算機安全已然成為一種公共話題,但技術專家卻很少參與政策討論。讓懂安全技術的人員參與到公共政策的制定當中,對於公共安全和整個社會組織都比較重要。互聯網時代制定公共政策需要考慮的是:我們的生活多少程度上要依賴技術控制?在什麼情況下需要技術參與?這都需要討論。
7. 如何應對網路安全人才短缺問題
網路安全人才短缺問題嚴重,還有很多專業人士中途退出。面對這種困境,很多企業通過改善企業文化,提高包容性、平等性與多樣性,同時不斷調整適應變化等多種途徑,來應對短缺問題。這些經驗值得借鑒。
DevSecOps——安全從內部開始
DevSecOps 的理念已經出現很久了,但具體落地仍舊存在各種問題。安全公司Comcast的安全人員將從自身出發,講述涵蓋自動化、速度以及端到端產品安全生命周期的DevSecOps落地實踐。
安全、隱私與人類行為
為何人類行為讓網路安全變得如此複雜、困難?這場關於安全、隱私和人類行為的研討會可能會給出一些啟示。會議由多所頂尖大學的專家主持或參與,分享他們針對安全和隱私行為、思維模式的研究發現,並探討實用的安全和隱私工具,指出人們採用的新技術可能帶來的威脅。
其他議題:
安全基礎建設
不斷出現的新威脅
企業安全探討:安全創業者和企業家的創業指南(涵蓋初創、投融資、市場營銷等多個領域)
DevSecOps 的發展與未來
給為人父母的安全建議:讓你的家庭網路更安全
提升公有雲的安全性
第三方風險管理效率探究
利用機器學習提升安全預判的準確性
公鑰加密
在合規的要求下提升應急響應效率
2028年的安全場景:防火牆會永存嗎?
利用面部識別對抗恐怖主義
GDPR實踐經驗
GDPR實施一年後的現狀
關鍵能源基礎設施的供應鏈安全問題
IoT威脅如何影響農場和工廠
容器安全與CI/CD的速度
MAC 與認證加密
網路安全領域的女性:人才的尋找、吸引與培養
4G-5G的變革——深度安全觀察
創新沙盒
2018 年獲得RSA創新沙盒的公司是 BigID,這是一家專註於數據保護的公司。公司使用先進的機器學習和身份識別智能來幫助企業更好地保護客戶和員工數據,量級可達到 PB 級。BigID可以幫助企業更好地保護和保護其最敏感數據的隱私,減少違規風險,並符合歐盟GDPR等新出現的數據保護條例。在 2018 年 GDPR正式實施之際,這家公司可謂是站在風口上抓住了機遇。2019年,RSAC創新沙盒評比繼續進行,分為 IoT安全、ICS安全、SANS Netwars、無線安全等多個板塊進行比拼。
此外,現場還有模擬的紅藍軍攻防對戰,實時的破解演示等,應當會讓觀眾體驗到不同的精彩。
熱點精選
1. 「Better」主題的含義
多層含義:
業內共同努力,尋找更好的解決方案;
與全球安全行業同仁更好地交流連接;
保護數字世界的安全,讓現實世界更美好
2. 參展廠商數量攀升,涵蓋安全行業多種產品、技術及解決方案
今年美國RSA大會的參展商數量超過700家,國內參展商也超過30家。涵蓋的主要領域包括威脅情報、應急響應、應用安全、加密、雲安全、DevSecOps、AI、機器學習、移動安全、IoT安全、政策法律、監管、隱私、數據安全、安全策略、訪問控制、惡意軟體防禦、垃圾郵件防禦、審計、認證、BYOD、行為分析、大數據分析、生物認證、區塊鏈、殭屍網路、關鍵基礎設施、終端安全、防火牆、取證、風險管理、SIEM、漏洞管理、供應鏈安全等等。
3. NSA 將發布免費逆向工具
前段時間,官網更新稱NSA 將在大會現場發布免費的逆向工具。這個工具名為GHIDRA,從技術的角度來說,這是個反彙編程序,能將可執行文件分解為彙編代碼,然後由研究人員進行分析。具體可參考以下兩個網站:
https://github.com/NationalSecurityAgency
https://code.nsa.gov/
其實 NSA 在 2000 年伊始就開始研究這套工具了,還與其他美國機構(包括 CIA)共享。維基解解密在 2017 年 3 月揭露的 Vault 7 系列工具也包含 GHIDRA 這款工具。發布的檔案顯示,GHIDRA 由 Java 編寫,採取 GUI 交互界面,可以在 Windows、Mac 和 Linux 系統中使用。GHIDRA 主要用於測試監控機構內部可疑軟體的運行與流量,還能分析所有主流操作系統(如 Windows、Mac、Linux、Android 和 iOS 等)的二進位文件。用戶如果需要其他功能,還可以利用GHIDRA 的模塊架構特性,直接添加軟體包。預計來自官方的發布將受到大量關注。
更多RSA 2019相關報道,請持續關注 FreeBuf更新。
*參考來源:RSA官網,轉載請註明來自FreeBuf.COM。
※全流程信息收集方法總結
※Windows ADS在滲透測試中的妙用
TAG:FreeBuf |