RSAC 2022 | 深度解讀十大熱點議題,把脈產業變革趨勢
釋出日期:2022-06-16 作者:虎符智库
本文8375字閲讀約需23分鐘
2022年度的全球網絡安全行業盛會RSAC落下帷幕,本次大會以“轉型”(Transform)為主題,被認為是去年主題(Resilience,彈性)的延伸和拓展。從彈性到轉型,RSAC的主題變化透露出網絡安全產業的持續變革。
RSACEORohitGhai在主題演講中強調網絡安全的轉型變革。
RSAC2022的170餘個主題演講,主要圍繞10大熱門主題,其中包括:數據與隱私安全(熱度14)、身份安全與零信任(熱度14)、軟件供應鏈安全(熱度10)、勒索軟件(熱度10)、AI安全(熱度10)、威脅分析及狩獵(熱度10)、風險管理(熱度9)、雲安全(熱度6)、物聯網及工業安全(熱度6)、基礎設施安全(熱度4)。
1
從本屆RSAC的熱點議題,可以看出網絡安全的多個細分領域都在發生變革。
1.熱度14指會議有14個演講的主題為數據與隱私安全,下同
一、數據與隱私安全
數據與隱私安全是近5年來的熱點議題。隨着數字經濟的發展和數據流通需求的增長,其熱度持續升高。數據與隱私安全融合了傳統安全技術應用和創新技術應用,產生了新的需求和應用場景。數據治理、隱私計算、隱私合規成為數據安全的創新驅動力。
本屆RSAC的數據安全議題集中在數據保護,如雲上行業(如醫療)數據保護、企業數據保護、數據本地化保護政策,以及政府數據交易與授權訪問等。在隱私安全方面,熱點議題則集中在如何保障基礎設施(如5G)、設備(如汽車),以及應用(如AI、區塊鏈)的隱私安全方面。
具有代表性的數據安全議題包括:
在“雲安全:如何保護雲上醫療數據”的議題中,專家以AWS、Azure和DevOps平台為例,將雲上醫療數據包括概括為三點:(1)安全設計,包括身份驗證、DevOps、標準、流程。(2)安全執行,包括通道、掃描、策略、受限訪問角色。(3)安全運營,包括環境掃描、可用性管理和補丁管理等。最後,專家提出了三條建議:(1)使用雲原生配置控制工具控制安全性和成本。(2)通過代碼使基礎設施和通道民主化。(3)實施透明的DevOps文化。
在“讓企業員工保護高價值的數據”的議題中,專家從企業內部風險的視角,提出改變了內部風險的3個關鍵驅動因素:(1)數字化轉型正在改變我們的合作方式;(2)知識型工作者隨時隨地展開工作;(3)人們正在頻繁換工作,比以往任何時候都快。因此,從控制企業內部風險的角度保護高價值數據,需要做到3個T:透明度(Transparency)、培訓(Training)、技術(Technology)。
在“你能抓到我麼:保護5G中的移動用户隱私”議題中,來自可信連接聯盟(TCA)的專家關注的重點圍繞國際移動用户身份(IMSI)的安全漏洞,以及保障用户身份隱私的方法,提出基於SIM卡的加密是唯一可行的方法,包括消費者和工業物聯網用例。
在“隱私和區塊鏈悖論”議題中,專家比較了區塊鏈的優點與劣勢,提出了區塊鏈用於隱私保護以及GDPR合規的四個注意事項:(1)一項技術和一項法規-數字世界中的隱私並非僅靠技術就能解決的問題。在技術方面,區塊鏈正在通過在食品信託、集裝箱、貿易融資和國際支付等不同領域提供價值的網絡取得巨大進步。尊重數據和交易的隱私是這些項目的核心。(2)起點相反,但基本原則相同—區塊鏈和GDPR共享數據隱私的共同原則。兩者都希望監督我們自己的數字私人數據交易和支付(在比特幣的情況下),或在GDPR的情況下需要與他人共享的個人數據。(3)公共網絡中的隱私-隱私並不一定意味着用户需要一種私有區塊鏈網絡方法,可以在GDPR框架下實現滿足公共網絡隱私需求的區塊鏈網絡。(4)刪除權-GDPR要求之一是個人要求組織時刪除的權利,擁有他們的個人數據以完全刪除該數據。
二、身份安全與零信任
身份安全是傳統的賽道,零信任理念和雲業務應用的發展為身份安全注入新的活力。
隨着零信任框架和谷歌零信任應用的出現,零信任成為身份安全領域的新理念與創新熱點。隨着雲應用的發展,雲訪問安全成為熱點。疫情下遠程辦公的需要使得身份安全再度成為熱點。“彈性”是2021年RSAC大會的主題,零信任則被認為是建設“彈性”網絡的安全基礎設施。
本屆RSAC的身份安全議題集中在多雲環境的身份認證、生物識別技術應用,以及身份認證機制面臨的風險等。在零信任方向,熱點議題包括傳統零信任的缺點,新的零信任機制,以及零信任在工業系統中的應用。
具有代表性的身份安全議題包括:
在“為什麼零信任網絡訪問被破壞,以及如何修復它”議題中,來自PaloAlto的專家指出基於零信任的ZTNA1.0方案存在諸多缺陷,包括違反最小特權原則、沒有對用户行為進行持續的跟蹤和授權、沒有流量檢測、沒有數據保護、無法保障應用程序安全等。專家提出了ZTNA2.0的方案,以解決上述問題。通過在第7層基於App-ID識別應用程序充分實現最小權限原則;一旦授予對應用程序的訪問權限,就會根據設備姿勢、用户行為和應用程序行為的變化不斷評估信任度;提供對所有流量的深入和持續檢查,甚至是允許的連接以防止所有威脅,包括零日威脅;跨企業使用的所有應用程序提供一致的數據保護,包括私有應用程序和SaaS,具有單一DLP策略;始終如一地保護整個企業使用的所有應用程序,包括現代雲原生應用、傳統私有應用和SaaS應用。
在“零信任架構的構建”議題中,來自NIST的專家分享了國家卓越網絡安全中心NCCoE實施ZTA零信任架構項目。部署方式包括增強的身份治理(EIG)、微分段、軟件定義邊界(SDP)。整個架構包括ZT內核組件、終端安全、數據安全、安全分析以及ICAM。應用場景包括員工訪問公司資源、員工訪問互聯網資源、承包商訪問公司和互聯網資源、企業內的服務器間通信、與業務合作伙伴的跨企業協作、利用企業資源提高信任評分/信心水平等。
在“為工業控制系統帶來零信任”議題中,專家分析了工業控制系統面臨的風險點,提出了在工業控制系統中部署零信任的方法:(1)OT和IT邊界:在企業網絡、工廠系統和現場之間建立邊界,分割網絡。(2)OT資產:屏蔽和監控無法運行安全軟件或打補丁的工業端點。(3)OT網絡:使用適應現場網絡中使用的工業協議和技術的網絡安全。(4)離線操作:保護為維護而引入的可移動媒體和外部設備。(4)SOC/CSIRT:監控整個環境以簡化威脅檢測和事件響應。
在“面對/關閉:使用生物識別技術進行身份驗證的戰鬥”議題中,來自思科的專家提出了DeepFake等技術對人臉識別和身份認證帶來的技術風險,以及相應的法律風險,並提出改善的建議:(1)瞭解有關人臉識別和人工智能的更多信息,盤點FR認證和其他應用程序。(2)對FR申請進行法律風險評估,將FR整合到安全風險評估/管理流程中。(3)建設完整的治理體系,實施治理控制。
三、軟件供應鏈安全
受貿易戰和供應鏈攻擊事件影響,軟件供應鏈安全成為熱點。美國商務部和國土安全部的軟件供應鏈安全規範、代碼安全和軟件開發安全被高度重視。代碼安全與開發過程已深度結合,強調軟件供應鏈的安全監管與協同。開發安全和代碼安全是軟件供應鏈安全的主要抓手,並呈現融合發展的趨勢。
本屆RSAC的軟件供應鏈安全議題集中在供應鏈的脆弱性,相關法律和政策等。在技術方面,熱點議題則集中在軟件開發安全如DevSecOps。
具有代表性的軟件供應鏈安全議題包括:
在“安全的軟件供應鏈是否可行”的議題中,專家提出當前世界軟件供應鏈已經是高度發達的網狀結構,威脅可能來自供應鏈的任何層面,包括惡意供應商、錯誤/易受攻擊的軟件、未經授權擅自修改開發或交付等。為應對軟件供應鏈安全威脅,需要採取的措施包括供應鏈體系認證、供應商文件、軟件測試、連續的提升、對開源軟件的檢測等。具體包括:對供應鏈軟件的成熟度進行現實評估,制定安全計劃以及可達到和可擴展的目標。確定對阻礙者的加速監控/響應,瞭解企業內部軟件組織的安全態勢。在開發和第三方代碼方面獲得供應鏈指導委員會的批准。獲得對安全軟件的內部承諾,在所有合同中增加供應鏈安全要求,對供應商的軟件進行抽查等。
在“構建企業級DevSecOps基礎架構:經驗教訓”的議題中,專家指出軟件開發安全面臨的挑戰,包括:(1)對應用程序的安全狀態缺乏統一的看法和理解(2)如何實現代碼分析管理及保障安全信息源的多樣性。(3)開發者缺乏支持,開發團隊之間缺乏信息共享。
為應對挑戰,專家提出了企業級DevSecOps解決方案,包括(1)由庫存組件和開源構建的軟件框架,將軟件掃描工具打包成docker鏡像的統一方式,Docker化的掃描工具可以插入到許多不同的CI管道中。(2)存儲庫/項目與產品和團隊之間的銜接。基於團隊添加項目和數據,確保代碼/工件/程序集/docker圖像/雲帳户可以鏈接到產品和團隊。(3)為所有安全漏洞提供通用數據模型和統一GUI。允許根據需要添加新的掃描工具或安全信息源,實現漏洞的標準化展示。(4)提供部門/產品級別彙總報告。包括存儲庫/工件級別的細粒度漏洞報告,在部門/產品級別彙總漏洞,展示跨部門/產品的安全成熟度等。
四、勒索軟件
勒索軟件成為2021年美國首要的網絡安全威脅。根據FBI統計,2021年勒索軟件攻擊了至少649個美國關鍵基礎設施,其中包括美國最大燃油、燃氣管道運營商科洛尼爾公司遭到黑客網絡攻擊勒索,導致供應中斷和燃料短缺的事件。2021年美國成立了勒索軟件工作組(RTF),由來自行業、政府、執法部門、民間社會和國際組織的60多位專家組成,倡導統一、積極、全面、公私合營的反勒索軟件運動。
本屆RSAC的勒索軟件議題集中在對勒索軟件的分析、防護,以及應對勒索攻擊的恢復能力等方面。
具有代表性的勒索軟議題包括:
在“勒索軟件現實清單:防止攻擊的5種方法”議題中,專家提出了防止勒索軟件攻擊的5種方法,包括:(1)封堵漏洞。勒索軟件團夥通常利用過去兩年內的CVE,目前瞭解到被利用最多的包括MSExchange、SolarWindsServ-U、Log4J、Accellion、SonicWall、PrintNightmare和SMBv1。(2)知道何時丟失了密鑰。核心關注點包括憑據盜竊和初始訪問代理(IAB)。憑據盜竊常用的手段包括AZORult、PredatortheThief、Kpot、MARS、Redline、Racoon、MarsStealer。應對IAB的措施包括IAB出售對多個威脅參與者inc.的訪問權限。勒索軟件團夥;在實際勒索軟件攻擊之前,通常通過地下論壇出售對公司的訪問權早期識別可以節省數百萬美元;通過ZoomInfo或RocketReach類型工具識別受害者等。(3)瞭解網絡犯罪分子,學習他們的常用手段。例如Conti小組正在積極利用ScriptsGithubrepos、CobaltStrike、CVEPoC等。經常使用非惡意工具來獲得他們的目標。這些資源是開放的,防禦者也可以學習同樣的資源。(4)深入瞭解勒索軟件機制,發現惡意軟件爆發之前的行為痕跡。攻擊者嚴重依賴非惡意工具,而傳統的網絡安全控制關注過多的惡意文件,卻忽略了行為才是關鍵。因此應重點關注攻擊者使用工具的行為。(5)創建減速帶和檢查點。採取包括多因素身份驗證、網絡分段、限制瀏覽器cookie壽命、活動目錄安全等措施,加強縱深防禦使得攻擊者橫向移動更加困難。
五、AI安全
本屆RSAC的AI安全議題集中在AI訓練和應用中的數據與隱私安全、AI開源工具安全、AI測試安全等AI自身安全,以及將AI技術用於威脅分析和零日網絡攻擊。
隨着海量數據的積累、計算能力的發展、機器學習技術創新,圖像識別、語音識別、自然語言翻譯等人工智能技術得到普遍部署和廣泛應用。AI對於傳統計算機安全領域的研究也產生了重大影響,除了利用AI來構建各種惡意檢測、攻擊識別系統外,黑客也可能利用AI達到更精準的攻擊。
同時AI自身的安全性變得前所未有的重要,如果應對利用數據投毒、深度偽造等技術幹擾破壞AI的正常學習與應用,也成為網絡安全領域面臨的新課題。
具有代表性的AI安全議題包括:
在“AI的隱私和合規性—開源工具和行業看法”議題中,來自IBM的專家分析了面向AI應用的隱私保護技術,如差分隱私、匿名化、分佈式計算和加密技術等,以及各種技術的優缺點。IBM專家認為,從行業視角看,AI隱私保護應具備以下特點:(1)防禦應該是非破壞性的。大多數組織已經擁有複雜的機器學習設計和運營流程,解決方案應該以最小的中斷集成到這些流程中。(2)產品應設計成人工智能隱私工具包,“一鍵式”解決方案更易於學習,具有良好的默認參數有助於入門,以及可解釋的可視化首選項。(3)可擴展性和性能。一些隱私保護方法非常適合學術工作,但不要擴展到企業工作負載,工具需要自動化和高效的算法,和基於風險評估的模型優先級。在此基礎上,IBM推出了用於AI隱私的開源工具,能夠實現模型匿名化和數據最小化,並展示了相關的應用案例。
在“利用人工智能和深度學習對抗零日網絡攻擊”議題中,來自CheckPoint的專家認為面對當前網絡威脅困境,基於AI的安全技術表現出高效阻斷攻擊、最佳威脅捕獲率、接近零誤報的特點,只有AI才能保證網絡安全。CheckPoint搭建了威脅雲ThreatCloud,通過30多個AI引擎實現不同的安全功能,主要包括:(1)檢測未知惡意軟件-受感染主機檢測、沙盒靜態分析、沙盒動態分析引擎;(2)檢測網絡釣魚-郵件靜態分析、移動零釣魚檢測、反釣魚AI引擎;(3)提升準確性-網絡AI引擎聚合器、移動AI引擎聚合器、機器驗證簽名引擎;(4)異常檢測-雲網絡異常檢測引擎;(5)戰場狩獵-活動狩獵引擎;(6)揭露隱形漏洞-分析師頭腦、惡意活動檢測引擎;(7)分類-文檔元分類器矢量化家族分類器、機器學習相似度模型、MRAT分類器等。
六、威脅分析及狩獵
網絡攻擊技術和方法不斷升級換代,攻擊者從腳本小子、黑產犯罪團夥向國家級組織演進,攻擊能力不斷提高,攻擊技術不斷升級;威脅利用從已知到未知不斷髮展變化。
威脅狩獵是一種主動識別攻擊痕跡的方法,由威脅獵人利用威脅分析工具、威脅情報和實踐經驗來積極篩選、分析網絡和端點數據,尋找可疑的異常或正在進行的攻擊痕跡。近年來威脅狩獵工具的自動化水平不斷提高,逐漸成為應對高級持續威脅的重要手段。
本屆RSAC的在威脅分析及狩獵議題集中在全球網絡威脅態勢、基於AI的自動化威脅分析技術,以及威脅狩獵實踐。
具有代表性的威脅分析及狩獵議題包括:
在“2022年網絡安全狀況:從大離職到全球威脅”議題中,ISACA專家分享了2022年網絡安全狀況報告。根據ISACA的研究,在網絡威脅態勢方面,2021年企業最關注的5大網絡安全影響包括:組織的聲譽、數據泄露對客户造成的傷害、供應鏈攻擊造成業務中斷、商業秘密的丟失、組織的股票價格、財務狀況。5大網絡安全威脅分別為:網絡犯罪、黑客、內部威脅、國家威脅、內部誤操作。5大網絡攻擊方式分別為:社會工程學、APT攻擊、安全配置錯誤、勒索軟件、未打補丁的系統等。在人力方面,當前全球網絡安全從業人員數量嚴重不足。在2021年有63%的企業網絡安全職位有空缺,五分之一的企業表示需要六個月以上才能找到合格的空缺職位的網絡安全候選人。其中空缺最大的細分領域包括雲安全(52%)、數據保護(47%)、身份安全(46%)、應急響應(43%)、DevSecOps(36%)。
在“CHRYSALIS:人工智能增強的威脅獵手和法醫時代”議題中,專家介紹了將數據科學和人工智能引入威脅狩獵和數字取證進該領域的進步的技術:(1)ML&TH聯結學習用於異常分析的技術;(2)機器學習用於惡意軟件分析並實現檢測和分類的技術;(3)基於機器學習揭露惡意軟件的技術,包括使用帶有預訓練模型的ML進行惡意軟件檢測、使用SqueezeNet和邏輯迴歸模型、使用卷積過濾器提取特徵以將其分類為惡意軟件。(4)基於機器學習實現內存取證的技術,包括用於識別受損數據集中的特定模式,使用Volatility3輸出應用ML算法來尋找可疑行為,並可以與pslist、psscan、pstree、malfind、netscan等一起使用;(5)基於機器學習實現深度日誌分析的技術,包括從標記的數據中學習以分類為異常或正常條目,在大量系統日誌中使用LSTM識別異常,IDS/防火牆日誌以檢測DDoS和端口掃描等。(6)基於機器學習實現流量分析的技術,包括遠超傳統系統能力的定製化深度監控、執行聚類以發現異常並區分異常值、在大型數據集中發現未知威脅等。
七、風險管理
網絡威脅是利用電子信息和系統中的漏洞的惡意攻擊,而安全風險管理旨在降低網絡攻擊的可能性和影響。通過識別、評估和減輕企業電子信息和系統的風險,實施安全控制以防止網絡威脅。
面向關鍵基礎設施和重要行業的高級持續威脅日益嚴重,企業必須建立風險評估機制,使用威脅情報界定風險,開展安全測試等一系列風險管理措施,從而實現體系化的網絡安全防護。
本屆RSAC的風險管理議題集中在網絡風險分析以及風險管理的合規模型等方面。
具有代表性的風險管理議題包括:
在“有針對性、統一和協調的服務,以更好地降低風險”議題中,專家認為由於新冠疫情帶來的居家工作和“大離職”使得雲服務提供商必須加速開展安全託管業務,而急於通過MSSP解決這些挑戰是以犧牲其他領域的資源/風險為代價的,在許多情況下,企業過度補償檢測和響應領域的新工具和服務,而犧牲了他們的識別、預防和恢復策略,因此需要開展相應的評估和規劃,評估的內容主要包括識別、防護、檢測、響應、恢復。評估的過程包括:(1)需求評估,包括明顯被忽視的領域、目前資源不足且風險太大的地區、存在明顯技能差距的領域、您可能在現有工具或服務中有重疊的領域、內部資源可能不可行或不建議的領域,(2)使用安全框架來指導評估,(3)將調查結果與MSSP服務進行比較。
八、雲安全
雲應用的普及導致相關安全問題的熱度持續增強。雲安全賽道在一直演進,細分領域、技術方向不斷演化,從以容器安全為代表的基礎設施安全,到平台層面API安全,到SaaS層面業務安全。基於雲原生的威脅管理,數字調查取證,雲安全管理平台,資產管理等成為今年雲安全的重點議題。
本屆RSAC的雲安全議題集中在雲上的數據安全、身份安全等方面,以及多雲環境的安全架構。
具有代表性的雲安全議題包括:
在“安全左移:現代雲安全的十大最具顛覆性的想法”議題中,專家提出安全左移的思想,認為在當前雲安全響應太慢、太晚、缺少應用程序上下文、無法修復的現狀下,應重新考慮以運行時為中心的雲安全方法,主要包括(1)以開發人員為中心,安全性必須集成到開發者平台中,包括代碼庫、業務流程等(GitHub、GitLabs、Jenkins、Jira……)。(2)擁抱IaC安全性,IaC安全性將成為雲安全的基石(VM、CSPM、CIEM全部基於IaC掃描左移)。(3)補丁即代碼:採用基於IaC和拉取請求的不可變運行時原則和補丁作為代碼。(4)AppSec的迴歸:不能忽視SAST和SCA的AppSec規則,它們是雲安全策略中最重要的部分。(5)無代理方法:雲安全供應商必須利用雲API來實現無代理和持續的雲安全,例如將VM轉換為基於API的雲原生VM。(6)運行時安全仍然很重要,並且EPP供應商必須採用雲架構(例如eBPF)。(7)微分段/ZTNA、的IAM策略非常複雜,應尋求自動化解決方案。(8)持續部署安全網關,並考慮整個雲應用程序生命週期的變化。(9)策略即代碼,用一個單一的策略即代碼統一,考慮開放標準而不是以供應商為中心。(10)瞭解自身現狀,大型企業將持續部署混合雲,而中小企業則通常選擇單一公有云。
九、物聯網及工業安全
物聯網及工業安全由於其龐大的終端規模及潛在的安全威脅而受到關注。近年來物聯網技術正在加速向各行業滲透,智慧工業、智慧城市、智慧交通、智慧健康、智慧能源等將成為產業物聯網連接數增長最快的領域。利用物聯網終端的挖礦、設備劫持事件頻發,智能醫療、交通、家居產品不斷爆出安全漏洞,並且造成不可逆的生命財產損失,從而使得物聯網及工業安全成為熱點議題。
本屆RSAC的物聯網及工業安全議題集中在終端設備的漏洞檢測、可信機制及安全模塊方面。
具有代表性的物聯網及工業安全議題包括:
在“防篡改元件如何保護物聯網”議題中,來自可信連接聯盟(TCA)的專家指出,到2025年,物聯網連接數將達到240億,而對物聯網連接的安全防護能力則嚴重不足,這既包括對單個設備的近距離攻擊,也包括雲端的遠程攻擊。而防篡改元件可以實現基於SIM、eSIM、eSE的快速認證與數據安全傳輸能力。
十、基礎設施安全
在前幾屆RSAC上,基礎設施安全話題相對冷門,今年熱度有所回升。一方面因為過去兩年美國的重要基礎設施大規模遭受勒索軟件和供應鏈攻擊的威脅,此外5G和工業互聯網的建設進入到應用階段,以能源互聯網為代表的產業應用引起了更多的重視。
本屆RSAC的基礎設施安全議題集中在關鍵基礎設施的網絡攻防和安全運營方面。
具有代表性的基礎設施安全議題包括:
在“分佈式能源基礎設施的入侵與防護”議題中,專家提出到2024年能源互聯網市場將達2000億美元。能源互聯網安全是一個新的領域,需要不同的網絡安全架構:保護系統/平台(例如DERMS、ADMS),確保公用事業和第三方發電資源的連接,驗證第三方發電源、聚合器和逆變器供應商的數據的完整性,檢測第三方電源上的異常和潛在惡意活動並預測潛在的下游影響。因此需要建立供應鏈安全防護機制,檢測並防禦來自供應鏈上下游的攻擊,以應對類似SolarWinds事件的攻擊。
結語
從本屆RSAC的熱點議題可以看出,網絡安全的許多細分領域都在發生變革。
數據與隱私安全在尋求具體應用場景的解決方案以實現產業落地;身份安全與零信任在尋求新的架構以彌補實踐中發現的不足;軟件供應鏈安全在嘗試構建企業級開發安全架構;應對勒索軟件則有了體系化的組織和方法;AI安全在探討自身的安全合規以及在對抗零日網絡攻擊中的應用;雲安全在探索安全左移的運營商安全。
今年熱點議題是對RSAC2021的網絡安全“彈性”主題的回應,也是在網絡安全行業進入深水區,如何解決諸多不確定性問題的積極嘗試,對於我國網絡安全建設和產業發展具有重要的參考價值。
關於作者
喬思遠:虎符智庫專家、信息安全博士。