这是ISC 2018互联网安全大会的第一天,9月秋初北京的天气格外的好,天空偶尔还会飘起几朵飞碟云,笔者的心情不自觉也跟着轻松了。赶了个早踏入了位于国家会议中心的ISC 2018,这是亚太地区一年一度的安全盛会,每次总能在ISC里感获很多。安全会议的keynote很少有例外,能让轻松的听完,入座“中国互联网安全领袖峰会”后,对于安全的思考在不断下坠。
ISC 2018的主题是,安全从“0”开始,Zero Trust Security。这样的一个主题让笔者在会议前一直都不太能理解,所有人其实都很惧怕自己长期的积累付之东流,从头再来。不过在听完后,感觉有点外松内紧的意思,笔者尝试总结了对这一主题的理解:
一.安全的本质是信任,而安全专家/厂商要做的是以0信任的态度和方法去审视和解决信任问题
安全从本质上讲,是一环扣一环的信任。数学的发展依托想象力下的公理辩证叠加,同样,工业社会信任现实的计算力还不能在短时间内解决RSA的大素数因式分解问题,进而假设性的选择RSA在网络间作加密传输。
信息系统安全发展过程中,从单机时代Unix黑客登陆后门的直接绕过攻击,到早期ARP协议网络的身份攻击。信息系统实现的信任问题一直都因为人类社会利益的存在,做为一个技术问题的随时间迭代着。
不幸的是,信任/安全问题并没有随时间更迭变得越来越少,工业信息技术的每一次发展都是对大多数安全人员/行业都是一个潜在的从0开始的过程,重新去了解新的业务规则,去防范新业务下的种种攻击。
造成矛盾的原因很简单,安全并不能天然的涵盖业务,而是做为一个基础属性存在于业务中,所以对于业务中数据流所产生的信任问题,都需要安全去解决。而解决信任问题的安全专家/厂商就需要以0信任的态度和方法去审视和解决,这看起来非常的难!
二.TSB事件是一个分水岭,把大家带回到了原点,IoT时代的大安全之路在哪?
回到现实,近年发生的斯诺登和TSB事件给安全行业带来了新的视野,反思自身的安全体系是否不足以应对如此高级别的攻击,这从某种意义上把传统安全行业打回到原点。此外,互联网已进入云技术、AI技术笼罩的万物互联时代,新旧安全问题交叠,“安全从0开始”是不为过的。
大安全时代所带来的挑战不是一个信息安全行业能完全解决的,面对这样一个巨大的焦油坑,更需要行业专家把安全看作一个超大整体,从人、技术、过程的视角出发,从行业、社会、政府的纬度去协同行动。
幸运的是笔者从ISC 2018上看到安全行业发生了一些很喜人的变化:
1. 行业领域正在不断地细分,专注在自己所擅长的技术上,并出现细分领域的竞争,不再去卖一堆用户无法评测的产品。
2. 基于零信任理念的安全产品正在行业里推进,把对于人的不信任用技术手段实现,这在安全管理上是有本质性的改变,需要安全行业持续拿出推动0信任的态度。
3. 行业里,前美国网络司令部作战主任 Brett Williams 都希望在安全技术能够有所突破,不管是“360安全大脑”,还是基于”数据驱动安全”的产品,都在不断尝试用AI技术、BigData技术来打造覆盖或部分覆盖正常业务的超级安全产品。
最后,让我们继续在ISC 2018里一同前行,从彼此的信任开始吧,消除人与人的零信任。
声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
