RSA Conference 2017(信息安全大会)已于上周在旧金山顺利落幕。作为信息安全行业的年度盛事,本届大会吸引了来自全球的众多顶尖学者和安全厂商。大会在14日-17日共举行了15场Keynotes(主题演讲),内容涵盖人工智能,情报战争,威胁态势,安全变革,行业合作等。受篇幅所限,小编难以将这些精彩见解一一解读,在此我们只尝试回顾其中的一部分,看看这些大咖们都分享了哪些行业热点,对未来趋势又有怎样的判断。
注:为方便各位阅读,部分议题已附官网视频链接,有兴趣的同学可前去观看。
本届大会的Keynotes中有两场为小组讨论性质,属历年RSA大会的必备环节。在这里,主持人会邀请嘉宾就前沿科技成果,热点研究领域和未来值得关注的方向等议题各抒己见。
从人工智能到“以彼之道还施彼身”在14日进行的“The Cryptographers’ Panel”(密码学家小组讨论)中,与会学者阵容可谓豪华――4位嘉宾里有3位是图灵奖获得者:Whitfield Diffie、Ronald Rivest和Adi Shamir(后两位就是RSA中的“R”和“S”)。主持人Paul Kocher就当下许多热点问题征集了他们的看法,例如:
人工智能将对信息安全领域带来怎样的改变;
量子计算机的发展;
由2016年美国大选说起:投票系统面临着哪些问题;
如何看待去年FBI和苹果的撕逼大战;
美国司法部长Jeff Sessions要求安全部门和执法机构“绕过设备加密”意味着什么?;
如果我们被黑了,该不该黑回去?
可以看出,本次讨论涉及话题广泛,其中不乏对时政等严肃内容的点评,不过台上的对话氛围还是很轻松。值得一提的是:多数时间小组成员对各个话题的意见并不相同,在提到当下大热的概念――人工智能和机器学习(接下来还会被多次提及)时,有多位持怀疑态度。比如Susan Landau(伍斯特理工学院网络安全政策与计算机科学教授),她承认机器学习在数据处理上的高效,但考虑到在未来黑客的攻击手段会更加多变和不可预测,人工智能是否可靠仍有待验证。Shamir则认为人工智能会在防御端表现良好,而信息安全仅仅依靠被动防御是远远不够的,他并不看好人工智能在反击端的表现。不过当谈及去年的美国大选时,四位嘉宾的矛头都毫无例外地指向了疑似背后操作的俄罗斯政府。Landau的评论显得格外耐人寻味:当年俄国人从苏联解体的教训中看到了舆情攻击、信息攻击等新型攻击方式,如今他们学以致用将这些手段实践在了美国身上。而此类攻击恰恰对美国这种民主、开放又深植于互联网的国家最有效果,对那些专制,独裁国家的作用反而不大。( 点击观看 )
七大最危险的新型攻击技术第二场小组讨论( 点击观看 )在15日举行,与会者全部来自SANS研究所,包括SANS创始人兼研究总监,主持人Alan Paller。议题摘要如下:
勒索软件与物联网嘉宾:Ed Skoudis(SANS研究所讲师)
可能将勒索软件拿出来讲多少显得有点老生常谈――无论是小编还是在座各位,都不难注意到近一段时间以来勒索软件疯狂蔓延的趋势,并且CodeSec还做过许多相关专题报道,不过在RSA大会这样一个场合郑重、公开地向大众释放一个“提高警惕”的信号还是很有必要的。Skoudis介绍了勒索软件受黑客青睐的原因并着重普及了防御此类攻击的常用做法。
同样值得关注的还有物联网(IoT)系统。他担心黑客已经不满足于将物联网当作发动大规模DDoS攻击的平台了,也许未来会出现新的针对物联网的攻击方式。在缺少相关市场规范条例的前提下,接入物联网的设备、厂商越多,大环境就变得越不稳定。除了常规的账号密码保护手段,Skoudis还鼓励用户积极参与到物联网设备的安全反馈中去,推动厂商对漏洞及时做出修补。在讲话的最后,他还列举了之前奥地利一家酒店遭到黑客攻击,房客被锁在门外遭索要赎金的例子来证明物联网漏洞与勒索软件结合带来的破坏性。
针对ICS(工业控制系统)的攻击嘉宾:Michael Assante(SANS研究所ICS课程主任,工业与基础设施研究主任)
Assante此番的分享更多基于他的个人经历。2015-2016年间,黑客曾对乌克兰境内的若干工业设施发动攻击,不仅入侵了工业控制系统,还不忘搞定了其备份修复系统。他当时曾作为技术指导参与美国支援的技术重建。他感叹黑客的攻击变得越来越组织化,复杂化,而且现代工业对于自动化系统的依赖也许过高,到底应该控制在怎样的程度?这是个值得思考的问题,很多时候,自动化程度越高,一次攻击带来的损失就越大。
弱随机数生成器、开发者对网络服务的依赖和NoSQL数据库面临的威胁嘉宾:Johannes Ullrich(SANS技术研究院院长)
Ullrich抛出的问题显得更加简单直白:他引用了CNCERT(中国互联网应急响应中心)的一项调查:在25个开源的比特币项目中发现了162个有关随机数的漏洞。他认为:小型设备(如某些家用路由)受其规模限制往往无法支持足够安全的随机数生成――这导致WPA2加密可能会被破解;诸如Container和Serverless架构的出现让开发更加高效的同时也带来了新的威胁;对于MongoDB、Elastic Search等NoSQL数据库而言,管理者要对针对性的攻击有所准备――JSON和XML等文件会带来新的安全变数。
之前提到,作为应对新形势下信息安全威胁的热点概念,“人工智能”和“机器学习”在本届RSA大会上备受青睐,并且在几日间的Keynotes中被反复提及。这里我们暂且不谈大会展位上各家厂商是如何宣传的,先来听听这些行业领导者们的看法。
人工智能?机器学习?可能没想象的那么美面对大众高涨的热情,会议东道主,RSA(现EMC信息安全事业部)的首席技术官Zulfikar Ramzan在他15日的主题演讲《Machine Learning: Cybersecurity Boon or Boondoggle》(机器学习:网络安全的泡沫还是福音)中提醒公众要保持冷静,理性看待。
“这些技术的确(在网络安全行业)产生了不小的影响,但问题在于:它们究竟能带来多大程度的改变?”
在Ramzan看来:很遗憾,恐怕不如某些厂商鼓吹的那么多。
Ramzon在演讲中提到,眼下一些大火的技术概念其实没有宣传的那么新奇。比如机器学习,其本质可以简单概括为:通过建立合适的算法来教会计算机分辨行为的好坏。事实上,机器学习在网络安全领域中的应用已经超过10年,比如我们常见的垃圾邮件过滤系统,杀毒软件和线上欺诈行为检测中都会用到。但是对于普通用户而言,他们很难从铺天盖地的广告宣传中意识到这点。
“这就导致了柠檬市场(次品市场,指交易双方信息不对称)的出现――用户难以分辨出产品的好坏。产品功能良莠不齐,例如有些可能导致过多的误报或者无法应对黑客新形式的攻击。”
Ramzon的话更多是在尝试为已经火热的AI市场降温,他或许是不想看到太多泡沫的出现。
但需要肯定的是,机器学习技术这些年来的确在不断进步,尤其表现在数据分析方面。IBM在上周三宣布他们的“Watson”超级计算机可以帮助客户应对安全威胁――只需15分钟就能完成人工需要一周的数据分析工作。
有一点是毋须质疑的:在市场竞争的浪潮下,功能欠缺的产品会被淘汰,一切只是时间问题。就像一位参展者所言:
“这里有来自世界各地的上百家厂商参展,但是其中只有5%-10%的产品经得起考验。最终市场会大浪淘沙,挑选出真正优秀的竞争者。”
人工智能时代的领跑者相比Ramzon的警告,Alphabet(Google母公司)董事长Eric Schmidt则为人工智能的支持者打了一针强心剂。他在与Gideon Lewis-Kraus(《AI,原力觉醒》作者)共同出席的演讲上阐明了自己的观点( 点击观看 )。他认为,未来人工智能将在医疗诊断,数据中心等多种行业的发展中起到关键作用,现在公众的担忧多少有些被误导的成分在里面。
Schmidt选择为人工智能背书似乎只是个简单的立场问题:他本人拥有计算机科学博士学位,且在人工智能相关的领域有几十年的从业经验。更重要的是,去年,Google CEO Sundar Pichai曾如此评价:
“我们将从移动时代进入人工智能时代。”
很明显,Google要做这个时代的领跑者。
Schmidt举例,计算机视觉技术在很多方面具有远超人类视觉的优势――它可以查阅并处理上百万的图片――远非人力能及,而且语音识别技术也是同理。进一步来说,人工智能的优秀表现需要海量的数据支持。Google的图片搜索与识别功能就是一例:想要教会电脑怎么分辨一头狮子和一只羚羊?先把成千上万张图片展示给机器“看”再说。
在人工智能领域,Google开发了自己的算法并成功将其应用在商业模式上,有众多的顶尖工程师在不断努力让Google的数据中心变得更加高效。据Schmidt透露,人工智能的应用将至少带来15%的提升。
他还举了医疗方面的例子:机器学习可以辅助医疗诊断并分析最佳治疗途径。“人工智能可以从已知的数字序列中判断出下一个可能出现的数字。医疗保障与之类似――人们去医院检查身体来判断接下来可能会出现的健康状况,Google一些基于人工智能的项目已经具备这样的能力。”
当Lewis-Kraus表达了他对人工智能自我意识觉醒,可能反过来威胁到人类的担忧时,Schmidt并没有赞同。他认为目前人工智能技术能做到的事情还在人类的设想范围内,现在的科技还远远没有发展到值得我们忧虑的水平,目前人工智能技术并不会带来什么危险。
说句题外话,在访谈中Schmidt也并非表现得一无所虑。他担心政府可能出于安全考虑或受其他因素影响而限制互联网访问(没错,他提到了中国)。他希望政府能签订协议或者建立一定机制来确保互联网的畅通无阻。至于人工智能,他希望该领域的科学研究能保持向大众开放,不会被军事或政府单方面把控。
“小心你自己的数据”作出以上警告的是Intel Security(原McAfee)高级副总裁兼总经理,Chris Young。他在本次大会的主题演讲《Sweating the Small Stuff on a Global Scale》(对付全球范围内层出不穷的小事)中提到:黑客可以通过操纵数据影响人们的决策。这种攻击被他称为“数据地雷”,决策者踩中时可能导致判断失误,错失机会甚至经济损失。( 点击观看 )
他所列举的例子包括2016年受黑客影响的美国大选以及黑客是如何攻击,感染物联网设备的。他认为,随着DVR和安全摄像头等设备的普及,家用网络成为了黑客的重点照顾对象。同时,由于选择在家办公的人越来越多,他们所接入的公司网络也受到了相同的威胁。
在谈及行业内的团队合作时,他引用了NBA球星“魔术师”约翰逊的话。当时热爱篮球的Young询问魔术师像92年的梦之队那样一支众星云集的队伍,大家是如何从平时的对抗中团结起来,取得奥运金牌的。魔术师给出的回答很简单:放下自大;要有共同的,更高的目标。除了再次呼吁业内共同面对威胁之外,为表示诚意,他的团队还推出了OpenDXL――一款开源的威胁情报分享工具。
本场Keynote很有意思的一点,Young在最后为人们展示了在青少年,甚至是小孩子眼里,网络安全是怎样的一个概念,以及他们对未来有着怎样的期待。这段内容或许有一点煽情作秀的成分,但毫无疑问抓住了人们的心理。他在最后呼吁:这就是孩子们眼中的世界,而我们在场所有人现在就是他们的超级英雄,他们的明天值得我们去携手保护。
网络安全之战:我们为何在节节败退?该如何反击?作为美国国土安全委员会主席,Michael McCaul此番演讲更多在关注美国的国家利益本身。他是2015年《网络安全法案》的撰写人之一,曾在众议院任职7年,支持通过立法保证美国信息安全。取这样的标题也不是因为他想搞个大新闻――更多是出于他对当今美国网络安全状况的忧虑。基于多年的网络安全工作经验,McCaul在演讲中( 点击观看 )分析了现在攻击频发的原因以及应该如何应对。小编将演讲文档放在这里( 点击查看 ),太长不看的同学可以参考下面的简介。
1.敌人咄咄逼人的态势来自俄罗斯和中国黑客对美国网络防御体系的破坏;
国家情报机构对美国核心利益信息的攫取;
普通黑客对于美国民众资料,医疗信息的入侵
恐怖分子利用社交媒体开展的新形势战争等
2.为什么我们会接连遭遇失败安全领域的专业人才依然不够,逍遥法外的黑客占据数量优势;
科技的发展令攻击技术往往领先于防御手段;
政府机构,科技企业间的情报共享不够;
法律的不完善导致对于犯罪分子的威慑力度不足;
在国家安全和信息安全间,因涉嫌加密的问题导致人们摇摆不定
3.我们该如何应对?加大投入力度,政府和民间机构应联手对抗威胁
他本人已经提出议案计划在国土安全部开设新的独立的网络安全机构
培养更多的专业人才
对网络犯罪采取坚定的反制措施
加强与盟友间的合作
除了信息安全行业的强相关话题,大会主办方还在近一周的议程中穿插了几场由其他领域的知名学者和领导者进行的主题演讲。他们或来自国防部门,或是知名物理学者,更有艾美奖得主致闭幕辞。每个人都与信息安全有着千丝万缕的联系,精彩思想的碰撞也从来不会局限在一个领域。
与Rimington共同学习领导力与团队合作从题目来看,本场主题演讲与信息安全专业相关度不高――更侧重于团队合作与领导者的角度,甚至你也可以把它当作一场自述:故事的主人公是Dame Stella Rimington。对于没听说过她的人,RSA官方网站上有关于她身份的大段描述。然而,比起她在本届RSA上要介绍的身份来说,其他内容略显多余。这条身份是这样的:former Director General of the Security Service (MI5)。是的,军情五处,最具神秘色彩的情报机构之一的前任局长,007系列电影中“M”的原型。
Rimington介绍了她在MI5的职业生涯。她曾在反颠覆国家,反间谍和反恐三大分支工作过。在她刚刚入行的那个年代,男女不平等在职业选择上体现得淋漓尽致,尤其是在政府情报机构这样的地方。她在争取自身位置时经常不得不据理力争。即便如此,女性获得同样的工作机会仍然是困难重重。后来,在不懈努力下,她争取到了MI5情报专业的培训机会,成为接受此类培训的第一位女性情报人员。除此之外,她还介绍了她是如何受到公开提名,成为部门主管;工作中承受的种种误解与压力以及情报工作的政策是如何随着时代变迁而调整的。
在这里引用一位同样投身于安全行业的女性与会者的评论:“我觉的其中最有意思的部分就是关于她(指Rimington)讲述女性是如何越来越多地参与到情报工作的各个部门中去的。之所以这么说是因为信息安全行业也面临着同样的多样性问题。这倒不是指责有人刻意不接受女性加入或设置了怎样的门槛――更多是因为社会因素,正因如此我们才应该直面这个问题。”
天体物理学家对我们世界的探索最后要提一下Dr.Neil deGrasse Tyson的出场――天体物理学家,作家,演员(有没有在《生活大爆炸》里见过他?)。他在Keynote中没有提及太多关于信息安全的内容,而是为台下观众带来了关于当代多项前沿科技的精彩讲解――从系外行星到引力波。他甚至还由美国政府对加密通信的管束扯到了外星人间的信息交流。在谈及斯诺登时,他给出了如此评价:“爱德华.斯诺登是我见过最纯粹的爱国者。”(他本人曾与斯诺登在2015年9月有过深入对话,有兴趣的同学请 点击这里 )。
后记也许RSA大会在某种程度上代表了过去一年信息安全行业的一张缩影,一个回放――想要加以概括是件很困难的事情:我们可以看到新兴技术概念登上主流舞台,却也遭受质疑;尽管现状堪忧,却仍有无数的探路者在不畏艰险一路前行。也许直接引用领军人物的评价是个不错的选择――在上文未提及的Keynote里,我注意到了这样两篇主题:Palo Alto Networks董事长兼CEO,Mark McLaughlin带来的《安全行业即将到来的毁灭性问题》和微软总裁Brad Smith的《如何在这个动荡的时代抵御网络威胁》。是的,我们必须正视眼前的威胁,但危机的出现并不意味着绝望,重要的是在察觉它的到来后,仍有坚持下去的勇气。在这个动荡的时代里,总有希望相伴。
最后附上大会官方演讲PDF下载地址: 点此进入
*参考来源: NetworkWorld , CSO ,FB小编cxt编译,转载请注明来自CodeSec.Net