阿里安全資深技術專家鐵花：從 RSA 看安全技術未來

雷鋒網註：以「Better」為主題的全球安全頂會 RSA 2019 近日正式落幕，這場在美國舊金山舉行的「安全奧林匹克」吸引了 4 萬多人蔘會，超過 600 家企業參展，還有超過 550 個分會場涵蓋雲安全、機器學習、區塊鏈等眾多技術主題。

阿里安全防控端負責人、資深技術專家鐵花，2006 年入職阿里，歷經淘寶、來往、阿里安全等技術團隊，2008 年開始從事安全工作，是淘寶最早 SDL 的建立及實施人、淘寶第一代 web 安全解決方案的開發者、安全靜態代碼掃描平台的創建者。

打開今日頭條，查看更多圖片

圖說：阿里安全資深技術專家鐵花

此次參展，他也帶回了對安全技術的思考，本文由阿里安全投稿，全文如下——

今年的 RSA 基本圍繞「三縱四橫」，其中三縱包括.基礎設施、基礎開發框架和公眾（包含以政府提出的監管）；「四橫」包括網路安全、數據安全、業務安全、新安全攻擊面。

從參展的廠商看，已有不少廠商開始基於雲做自己的安全產品，其次有較多的廠商開始做以雲廠商為基礎的網路安全產品，從密鑰管理、資產管理、全端網路安全防控產品、雲安全架構到雲 SIEM ，產品已經有了較為豐富的可選擇項。

論壇有一個比較有意思的環節，有一個講如何在雲上做網路安全的論壇到快開始了門口仍然排了 3 排人在等待入場。從基礎設施上來看雲無疑已經成了眾多業務方的第一選擇，也使得市場上廠商也開始基於雲做更合適的安全產品。

隨著 Serverless 的提出，以及 AWS Lambda 的推廣，本次 RSA 大會中已經不止一個論壇 speaker 開始著重講如何檢測 serverless 類的介面，在 Lambda 的使用中需要注意哪些安全細節。不過在參展的廠商並未看到特別提到此類技術細節的產品，相對來說 sandbox 中倒是有一個針對 API 安全的產品 Salt Security 值得了解下。未來如果 serverless 開發框架成為主流，不知道當前的安全廠商將如何應對，是市場份額被縮小，又或是被革命。

除了serverless，展商中展示最多的就是Google之前提出的 zero trust，在展台中已有不少基於 zero trust 的理念做的認證產品。

還有另外一個層面勉強也算新基礎開發框架就是 AI 演算法的使用，不管是論壇還是展商本次大會，都有大量 AI 使用，可見「網路安全+AI」已經到了較為普遍應用的程度。

在網路安全這塊，基本在本次大會上沒有提及面對公眾的解釋及政府監管，雖然沒有提及面對大眾的感知，本屆 RSA 大會卻有幾個論壇直接討論如何評估網路安全的有效性，必要性其中也有提及了以業務風險的角度去衡量（雖然沒有人直接講具體某個業務安全怎麼做）。

針對網路安全的難衡量性 MITRE 組織的 ATT&CK Framework 開始嶄露頭角，不僅有對應的論壇介紹如何使用還有廠商直接給出了基於ATT&CK做的全端網路安全防護產品。

當下幾乎所有公司都把數據當成了公司核心資產，基於數據做信息化、智能化都脫離不開數據其中也包含個人數據。從一個論壇了解到像谷歌竟有社會學家作為訪問學者會去參與 AI 規則的制定以及對公眾的溝通和技術的科普。可以說大部分社會上不了解矽谷技術的人以及政府，當涉及到個人信息以及 AI 時都會非常敏感甚至恐懼，尤其是政府甚至會在不是非常了解的情況下出台規章制度。這時在美國會有專門的社團去給大眾進行知識科普，以求能讓社會更容易接受先進技術。另一方面相關的公司都會和政府去解釋及平衡規章制度。

很遺憾整個展商及論壇並沒有專門講這塊內容的。可能和定位或者特定行業問題受眾小有關，更有可能是安全廠商沒有辦法找到合適的場景去深入了解落地形成通用的安全產品。

新的攻擊面展商里基本沒有涉及，不過 Sandbox 里倒是有個基於固件的掃描加固產品Eclypsium算是為數不多的針對新攻擊面的產品了。論壇中有部分講到了未來可能面臨的危險包括5G、在智慧醫療、智能出行、監控等層面投入的大量的IoT設備的使用，還有AI可能對人產生的影響。

隨著雲、混合雲慢慢的變成了各個公司是基礎設施，安全在其中也慢慢凸顯出來，可以毫不誇張的說安全可以成為雲廠商的助力，也可能成為雲廠商的阻力。這其中包含雲自身的安全性，以及對於雲用戶的安全生態。

a.雲自身的安全

隨著各大公司以云為基礎設施，其中很大一部分網路安全問題直轉嫁到了雲廠商。雲廠商自身的安全決定了以其為基礎設施的各大公司的安全，也許在不遠的將來能看到更多安全廠商與雲廠商的強強合作。

基於雲的安全生態，也許在不久後就將成為一個雲廠商是否成熟的標誌。成熟的雲廠商將會吸引更多的安全廠商基於雲設施進行開發各類解決不同業務安全問題和網路安全問題的產品，同時一個好的安全生態也會反哺雲市場兩兩相互促進。從 RSA 展商及 sandbox 的產品來看，已有 AWS 已經開始在培養這個良性的安全生態，雲廠商安全的開放建設已然成為雲廠商下一個競爭的賽道。

當安全從業人員每天在處理各種漏洞各種網路攻擊時，經常容易產生意識上的混淆。我們是一直在面對漏洞，網路攻擊還是在面對由於使用漏洞和網路攻擊帶來的業務風險？很少有人去關心為什麼會有人來在某處嘗試漏洞挖掘和攻擊，比如：為什麼要在這個地方嘗試找出 XSS 漏洞？真實目的是什麼？帶來什麼樣的業務風險？所以一定要以業務風險為核心，從業務的視角去真正的抓出背後的意圖。假如業務都沒有了，那作為該業務的安全也不會繼續存在了。

同時一定要有一個明確的範圍和標準。核心資產是什麼？核心業務是什麼？需要保障到什麼標準？當明確職責範圍及核心業務後再看依賴是什麼需要提供什麼樣的保障才能滿足核心業務的安全標準。當然安全標準必須是一個合理的可接受的範圍，因為還需要考慮安全帶來的成本。

b.以低成本有效性及可靠性為核心

當我們去解決業務風險的時候一定要在考慮成本的前提下保障有效性及可靠性。當前業務面對的風險無論從對抗性還是成本上看，在單點一線上去解決幾乎不可能同時滿足有效性、可靠性和低成本，所以我們在解決業務風險的時候一定要全鏈路通盤考慮，在搞清楚對方怎麼搞我們的前提下，還要搞清楚我們在哪個地方哪個環節去解決風險問題是成本最低的，持續有效性是最好的。在做基礎設施時我們經常提security by design，在面對業務風險點時候我們同樣需要考慮全鏈路上的對抗風險by design不能只在一個單點上進行對抗。

面對業務風險，除了考慮成本的前提下用已知成熟的手段去處理，我們還要持續的考慮創新用新的方式方法不同的角度去解決問題，只有用創新性的新思路新方法才能讓安全業務有質的變化。在當前面對海量的業務數據以及海量的安全採集數據，如何讓這些海量的數據變成有效的信息，如何將有效的信息變成每個業務環節需要關注的知識點對抗點，機器代替人的 AI 技術必不可缺，因為數據的量、要求時效的已經完全不是人能解決了。如何有效的使用 AI，如何有效的結合 AI 和人工的經驗，以及如何有效的分配 AI 和人工已經成為了當下必須思考和去解決的問題。

最後借用 2019RSA 大會的主題「better」結尾，當我們面對昨天的問題時能有 better 的解決方案夯實缺失，當我們面對今天的問題時能有 better 的思考路徑，當我們面對明天的問題時能有 better 的設計。

雷鋒網註：想要閱讀更多網路安全信息？你可以關注雷鋒網旗下微信公眾號「宅客頻道」，與更多安全專家一起解讀網路安全未來。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！