目前在網(wǎng)絡(luò)安全行業(yè)有哪些熱門(mén)話(huà)題?即將在舊金山舉行的2020年RSA大會(huì)將為此提交一份出色的答卷。

RSAC組委會(huì)表明，他們收到了2400份網(wǎng)絡(luò)安全行業(yè)演講嘉賓的議題申請(qǐng)，在經(jīng)過(guò)整理和審核之后，他們發(fā)布了十大網(wǎng)絡(luò)安全熱門(mén)話(huà)題，安全人員可以此來(lái)判斷行業(yè)的總體趨勢(shì)。

“諸如零信任和無(wú)服務(wù)器，Kubernetes，量子，混沌工程，漏洞賞金和端點(diǎn)衰減(或復(fù)興)之類(lèi)的關(guān)鍵詞比比皆是。”

“人是安全要素”(Human Element)是今年大會(huì)早已確定好的主題，許多提交的議題很難完全切中這一主題。負(fù)責(zé)RSA會(huì)議內(nèi)容策展主管Britta Glade和內(nèi)容策略師Kacy Zurkus在報(bào)告中說(shuō)到：“絕大多數(shù)提交的議題側(cè)重將人的影響作為一種手段，幫助了解如何更好地利用通用框架、為風(fēng)險(xiǎn)管理決策者提供信息、緩解新興威脅以及建立以安全為中心的高效文化。”

十大熱門(mén)話(huà)題

人是安全要素：眾多議題都涉及安全方面的人為因素，與“數(shù)據(jù)、威脅、風(fēng)險(xiǎn)、隱私、管理和團(tuán)隊(duì)”等內(nèi)容交織探討。

設(shè)計(jì)、開(kāi)發(fā)和維護(hù)安全產(chǎn)品：大會(huì)首次專(zhuān)門(mén)開(kāi)設(shè)產(chǎn)品安全和開(kāi)源工具討論環(huán)節(jié)，因?yàn)樗麄兪盏奖纫酝鼮樯钊氲漠a(chǎn)品安全研發(fā)的技術(shù)文章，主題涵蓋用戶(hù)界面設(shè)計(jì)、人工智能、隱私、安全運(yùn)營(yíng)中心等。

IT和OT融合的安全：IT技術(shù)和運(yùn)營(yíng)技術(shù)融合的挑戰(zhàn)之一在于它們是“兩種不同的概念，供應(yīng)鏈也不大相同”，因此，如果要成功地進(jìn)行兩者協(xié)作，文化、理論變革應(yīng)先行。

軟件工程流程安全：隨著企業(yè)相繼采用DevSecOps，對(duì)于安全工程的需求也不斷增長(zhǎng)，提交的相關(guān)議題也越來(lái)越多，不僅包含風(fēng)險(xiǎn)管理，還包含在開(kāi)發(fā)運(yùn)營(yíng)中的治理流程。

隱私與合規(guī)相生，與萬(wàn)事萬(wàn)物的交織：歐盟的《通用數(shù)據(jù)保護(hù)條例》讓“隱私”為人重視，企業(yè)業(yè)務(wù)對(duì)于“隱私”的把控也在不斷成熟。“在過(guò)去，隱私是“良好企業(yè)公民”可有可無(wú)的特質(zhì)?，F(xiàn)在隨著企業(yè)越來(lái)越注重用戶(hù)隱私的保護(hù)，隱私問(wèn)題有成為核心業(yè)務(wù)和安全話(huà)題的趨勢(shì)。當(dāng)然，這不僅是出于對(duì)合規(guī)的關(guān)注，而且還可以提供業(yè)務(wù)差異化和良好的用戶(hù)體驗(yàn)。”

威脅情報(bào)和共享：情報(bào)共享一直是 “網(wǎng)絡(luò)防御”的基石，但是設(shè)備自動(dòng)化是無(wú)法抵御所有的網(wǎng)絡(luò)風(fēng)險(xiǎn)，尤其是當(dāng)攻擊者利用社會(huì)工程手段時(shí)，比如欺詐問(wèn)題或身份驗(yàn)證問(wèn)題等。“我們發(fā)現(xiàn)，提及自動(dòng)化本身的弱點(diǎn)和挑戰(zhàn)的議題有所增加，其中不乏一些技術(shù)性很強(qiáng)且非常詳細(xì)的議題，并提供了指導(dǎo)和最佳實(shí)踐考慮。”

框架、框架還是框架：框架和自動(dòng)化是一個(gè)很熱門(mén)的議題。 “我們看到了大量與MITER ATT&CK框架、NIST網(wǎng)絡(luò)安全框架、競(jìng)爭(zhēng)性安全文化框架(CSCF)和信息風(fēng)險(xiǎn)因素分析(FAIR)框架相關(guān)的議題”，這可以作為公司持續(xù)改善治理和提高風(fēng)險(xiǎn)防范的部分管理流程。

安全意識(shí)和培訓(xùn)：由于認(rèn)識(shí)到培訓(xùn)的價(jià)值，今年“網(wǎng)絡(luò)靶場(chǎng)”一詞很熱，即用于進(jìn)攻性安全培訓(xùn)的虛擬環(huán)境。另外，關(guān)于人類(lèi)可持續(xù)性問(wèn)題也很熱門(mén)。 “一些議題談到了安全意識(shí)的道德和倫理問(wèn)題，而另一些議題則強(qiáng)調(diào)需要更多地注意工作場(chǎng)所的壓力和心理健康，這對(duì)于安全從業(yè)人員來(lái)說(shuō)尤其重要。”

溝通：眾所周知，企業(yè)CSO和CISO進(jìn)行全方位溝通的重要性不言而喻，需要對(duì)進(jìn)入其職權(quán)范圍的內(nèi)容都要有所了解。此外，在安全攻防方面，比如“紫隊(duì)”(混合進(jìn)攻與防御)，也在不斷通過(guò)合作保證團(tuán)隊(duì)具有互補(bǔ)技能來(lái)增強(qiáng)安全防護(hù)。“紫隊(duì)”的協(xié)作表明溝通十分重要。

專(zhuān)業(yè)人才培養(yǎng)和團(tuán)隊(duì)建設(shè)：“如何聘用、培訓(xùn)、留住和激勵(lì)人才”仍然是新興的網(wǎng)絡(luò)安全行業(yè)重要且必要的關(guān)注點(diǎn)。確實(shí)，是否會(huì)有足夠的人員參與到每個(gè)開(kāi)放的網(wǎng)絡(luò)安全角色扮演中來(lái)，仍待商榷。

正如組委會(huì)所說(shuō)的，這些議題涉獵范圍廣，領(lǐng)域多。他們表示， “人類(lèi)的知識(shí)和經(jīng)驗(yàn)是無(wú)窮無(wú)盡的，如果要說(shuō)議題的廣度和深度，這十種趨勢(shì)只怕是蜻蜓點(diǎn)水。諸如零信任和無(wú)服務(wù)器，Kubernetes，量子，混沌工程，漏洞賞金和端點(diǎn)衰減(或復(fù)興)等其他關(guān)鍵詞還有很多!”

人是安全要素

毫無(wú)疑問(wèn)，今年的RSA主題“人是安全要素”的關(guān)注度隱約呈上升趨勢(shì)，因?yàn)槿藶橐蛩赝窃S多信息安全系統(tǒng)的致命弱點(diǎn)。

當(dāng)然，該主題涵蓋的內(nèi)容不止于此。組委會(huì)表明，“相關(guān)議題探討了人機(jī)關(guān)系的持續(xù)發(fā)展、有意或無(wú)意地利用人性漏洞的軟件和平臺(tái)的使用、隱私、機(jī)器學(xué)習(xí)等，我們也在這幾年的議題中不斷摸索未來(lái)趨勢(shì)。”

此外，整個(gè)行業(yè)也越來(lái)越關(guān)注安全行業(yè)人員的精神健康，今年的議題可以反映這一趨勢(shì)。“今年提交的議題似乎給了提議者主動(dòng)權(quán)來(lái)解決更多敏感的人為因素的挑戰(zhàn)，比如不利的工作環(huán)境對(duì)個(gè)人和團(tuán)隊(duì)的損害，安全人的自負(fù)為網(wǎng)絡(luò)安全工程項(xiàng)目帶來(lái)風(fēng)險(xiǎn)等。”

超越“Better”

許多行業(yè)都是如此，關(guān)注人類(lèi)似乎很自然地是當(dāng)務(wù)之急。和往年平淡無(wú)奇的主題相比，這個(gè)主題的特色在于更有亮點(diǎn)，比如 “Better”(2019)，“Now Matters”(2018)，“Power of Opportunity”(2017年)。

在早些時(shí)候的主題就稍微怪異一些了，比如較為冗長(zhǎng)的“The Great Cipher Mightier Than the Sword”(2012年)和“The Adventures of Alice & Bob”(2011年)。這些主題則更多地側(cè)重于歷史和密碼學(xué)專(zhuān)著，比如蘇格蘭人的瑪麗皇后和納瓦霍的“密碼竊聽(tīng)者”，再到“西方密碼學(xué)之父”萊昂·巴蒂斯塔·阿爾貝蒂以及英國(guó)密碼學(xué)天才艾倫·圖靈等等。

網(wǎng)絡(luò)安全重要性與日俱增

可以肯定的是，RSA主題的演變表明了大會(huì)日益重要的意義以及網(wǎng)絡(luò)安全關(guān)注度的不斷攀升。2008年，有17000名參會(huì)者。十年后，這個(gè)數(shù)字已經(jīng)增長(zhǎng)到42000。

在2020年，RSA會(huì)議將開(kāi)展數(shù)百場(chǎng)演講，邀請(qǐng)50多位演講者，包括美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長(zhǎng)Chris Krebs和魔術(shù)師Penn&Teller。預(yù)計(jì)本次會(huì)議出席人數(shù)將達(dá)到45000。

數(shù)據(jù)表明，盡管今年的議題包羅萬(wàn)象，但突出的一點(diǎn)將還是網(wǎng)絡(luò)安全與日俱增的重要性。與往常一樣，保障網(wǎng)絡(luò)安全不僅僅涉及到技術(shù)，還有人員、流程和系統(tǒng)。小到企業(yè)醫(yī)療系統(tǒng)，大到人類(lèi)福祉和民主國(guó)家，網(wǎng)絡(luò)安全是每一個(gè)人的事情。

網(wǎng)絡(luò)安全防護(hù)之路道阻且長(zhǎng)，但面對(duì)挑戰(zhàn)的勇氣也讓人熱血沸騰。