2020年RSA大会将于美国时间2月24日至28日在旧金山Moscone Center召开。每年的RSA大会都有个提纲挈领的主题,用来给大会定下基调和指明方向。今年大会主题是“ Human Element (人为因素)”,在面对日益增长、复杂多样的网络攻击下,“人”是最强大的防护武器;在全球数字化转型过程中,从数据开发、保护、治理到利用,“人”发挥着巨大创造力与安全能力。
本届RSA大会,全球共有529家(统计时间截止到2月18日)机构参展,对比去年减少39.5%,参会机构包括安全企业、投资机构、媒体、美国联邦机构、协会团体等组织。美国官方部门有国土安全部、国家安全局、FBI、美国国家标准研究院等参展。
本年RSA 2020参展国家共有23个,参展机构数量超过10家的国家依次为:美国、日本、以色列、德国、加拿大、英国。日本首次参展美国RSA,参展企业共30家,其中14家企业独立参展,16家企业共享展位参展。
从2020年RSA各大洲的参展比例来看:美洲占72.78%,欧洲占17.96%,亚洲占8.89%,大洋洲占0.19%,非洲占0.18%。
本届RSA的中国参展企业7家,受疫情影响大部分中国企业取消参展,较去年减少29家。本届中国参展企业分别是:360、文鼎创、飞天诚信、山石网科、广积科技、绿盟科技、奇安信。
十大网络安全趋势
今年,RSAC收到了2,400份在会议中进行演讲的申请。在最终敲定的分享内容中,RSAC总结出了十大当下的网络安全趋势:
人为因素:众所众知,“人”是整个安全链条中最薄弱的一环。今年的议题中,有大量内容从以人为本的角度出发,平衡IT框架、对风险管理策略进行汇总、降低新威胁带来的隐患、以及建立一个安全为中心的高效IT文化。
产品研发与维护的安全性:由于大量的投稿关注了产品安全开发,今年RSAC新增了“产品安全与开源工具”方面的论坛。议题包含了保护开发生命周期与框架、连接产品和设备的安全性、开源代码安全、以及日益提升的CPSO(首席产品安全官)需求。
IT与OT的结合:随着物理世界和网络世界的距离越来越近,CSO的责任已经不停留于网络层面,还需要承担物理层面与工控系统的安全责任。IT与OT结合的最大问题在于两者由差异很大的文化和供应链组成,而结合的关键在于如何创建一个IT与OT并存的文化。另一方面,未来随着5G、智能家居、智能城市的发展,供应链的安全性与关键网络的安全性将越来越受到关注。
DevSecOps:今年的DevSecOps议题涉及多个方面。除了将风险管理、合规与治理融入DevSecOps之外,还有如何通过整合组织内的沟通、流程与框架达成研发安全的产品。另一方面,如何招聘、培养DevSecOps的人才与团队也成为焦点议题。议题中还有反面的例子——通过案例来说明哪些企业反而并不适合DevSecOps。
隐私与合规:自从GDPR问世以来,隐私与合规受到的关注日益增加:隐私一度只是一种满足政府要求的姿态,而如今的商业机构将注重用户隐私作为自己业务独特化竞争力的表现与提升用户使用体验的途径,从而紧紧抓住自己的用户群体。
威胁情报与分享:安全人员开始意识到,整个互联网环境的安全需要各方合作达成。另一方面,随着AI的发展,自动化能力也在增强——当然,对攻击者与防护方都是如此。当自动化与机器学习逐渐深入组织的各个流程的时候,越来越的议题开始关注机器本身的风险,从而提供最佳的使用策略。
框架:组织内部流程的标准化已经成为一种趋势——甚至已经影响到了组织之间流程的标准化。流程自动化不可避免,那么设定一个有效的框架就尤为重要。今年RSAC的议题在框架方面的议题涉及到了最近流行的MITRE ATT&CK Framework,还有NIST Cybersecurity Framework、CSCF与FAIR Framework。这些框架的演进都指向了更有效的治理与风险管理。
安全意识与培训:从今年RSAC的主题就不难想象,安全意识必然是个关键的领域。今年安全意识方面的议题从多个方面进行,其中很多议题都包含了“网络安全靶场”这个概念,其他包括了针对安全从业人员的道德安全意识、工作环境压力与精神健康等。
沟通:今年同样有很多议题强调了沟通顺畅的价值——尤其是对CISO与CSO而言。他们需要向上、向下,贯穿组织结构地进行沟通,还需要在组织以外和供应链相关方沟通。议题的内容不仅仅停留在语言层面如何高效沟通,还通过dashboard、指标等多种方式,指导安全人员如何展示自己的工作,最终达成相互理解的目标。
职业规划与工作环境:企业在寻求各种不同能力的员工,去填满技术能力上的缺口。今年的议题涵盖了从安全的角度来看个人如何完成自己的工作任务,团队又如何更高效地协同。同时,从企业角度,如何招聘、训练、留下、鼓励安全人才。
RSA安全关键词发现
RSA会议始于1991年,至今已走过29年。作为网络安全行业最具影响力的的会议,每届RSA不仅会吸引世界各国知名的互联网企业参与其中,会议中各主题演讲和参展机构所涉安全领域的安全热词也会成为大家热议的焦点。本届RSA我们统计出近100个安全热词:
其中TOP10安全热词分别是:
从图中可以看出云安全、数据安全、网络安全(Network security)黑客与威胁名列前四,今年新增热词是黑客与威胁(Hackers & threats),云安全、数据安全、网络安全(Network security)连续三年排名前三。与去年TOP10的热词相比,GDPR《通用数据保护条例》着实在2019年成为各大数据安全厂商热议的焦点,今年却淡出视野。人工智能与机器学习终于进入本届热词TOP10,从概念到应用,AI时代是否已经到来?
数世咨询评:网络安全领域越来越重视“人”的因素。此次RSA大会的主题,与2017年ISC大会奇安信提出的“人是安全的尺度”具有同样的认识内涵。“人”不仅是安全的终极目标,也是安全的核心手段和最危险的攻击面。安全的本质是对抗,而对抗的核心是人与人的对抗。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。