RSAC2019觀察：Make Cybersecurity Management Better

RSAC2019的會議主題是Better，既包括了有效的網路安全保障可以讓這個萬物互聯所支撐的現實世界變得更好這一層巨集觀含義，也包括了鼓勵將每一個特定細分領域內的基礎安全保障實踐通過微創新做得更好，並認可其價值這一微觀層面的含義。

從RSAC2019的議程安排中，我們看到了安全行業對於若干資訊保安管理領域，以及對於網路安全中人的因素的特別關注，其中包括：

• 安全治理/風險/合規管理GRC領域，這屬於ISMS的傳統關注領域，會議議程中的演講涉及網路安全體系框架和標準、GDPR合規、威脅建模應用、風險建模應用、安全度量實踐、風險評估方法等主題；
  
• 人員安全管理領域，相關主題演講主要涉及安全培訓、安全意識等領域的實踐分享，突出了人員安全管理對於整體資訊保安保障的重要性；
  
• 資訊系統生命週期管理領域，議程中DevSecOps Day的設定，以及眾多關於如何將安全控制前移，有效覆蓋資訊系統全生命週期的開發和運維階段的主題演講，分享了行業管理實踐、自動化技術工具等方面的寶貴探索和經驗。
  

在RSAC2019引人注目的創新沙盒大賽的競爭中，入圍的十家創新安全公司中，其產品與解決方案有相當比例與網路安全管理領域相關：

• WirmWheel專注於個人資訊和隱私保護，在隱私保護監管日趨嚴格的背景下，ISMS中的安全合規控制領域需要與時俱進補充對應的管理策略和技術手段；
  
• Shiftleft所提供的靜態脆弱性檢測技術方案和動態應用保護技術，屬於廣受關注的DevOps資訊系統全生命週期管理領域，不僅具備更強的程式碼安全脆弱性發現能力，而且能滿足應用脆弱性無法有效修補的現實需求，這也都是ISMS中系統獲取、開發和維護管理控制領域需要優化解決的老問題；
  
• 有三家公司的解決方案與雲端計算場景的管理優化密切相關，DualityTech的同態加密方案與ISMS的密碼控制領域相關，為有效解決多租戶環境下的資料隔離保護提供了一種未來的可能性，DisruptOps和CloudKnox的解決方案則是ISMS的訪問控制管理領域所關心的重要問題，即如何在雲端計算場景下尋找更為有效的許可權管理手段；
  
• 最終獲得冠軍的Axonious關注的是資產管理這一非常基礎的領域，資產管理在ISMS中的地位猶如豐田的Camry汽車，要追求紮實和好用，用更新的技術手段，去優化解決基礎實踐領域中屬於昨天的問題，在此基礎之上才有可能從整體上優化安全風險管理水平的提高。
  

無論是RSAC2019議程中的主題領域，還是創新沙盒大賽入圍和優勝結果，我們都可以看到這樣一種態度，使用創新技術手段，提升安全管理實踐的精細程度和效率，改善一直存在的管理實踐問題，從而使資訊保安管理實踐變得更好（Make Cybersecurity Management Better），無疑是與RSAC2019的會議主題Better相契合的。