數字化的混亂之治

歷年聽來，RSAC主題演講的選題大都頗費心思，在資訊氾濫的今天，內容即使乾貨滿滿，也仍要讓題目足夠新鮮有趣，對聽眾產生啟發並長遠思考。本次大會開幕日的前三個主題演講分別是

“The Trust Landscape”

“Lightning in a Bottle, or Burning Down the House?”

“Rise of the Machines: Staying Ahead of the Next Threat”

題目雖各不相同，但核心內容有著承接和呼應的。數字化變革和新技術的湧現，影響著國家、民生的方方面面；這些新技術也帶來了新的風險和威脅。識別並緩解這些風險，才能更好推動人類的進步。安全的目標在未來是營造可信的環境，才會支撐技術和商業模式的創新、發展。

【章節一】混亂未來

在城市開放的資料中，人們一直關注如何利用模型統計對犯罪率高的街區進行佈防與分析，進而期望實現預防犯罪或及時阻止犯罪；而道高一尺魔高一丈，同樣的資料和技術，如果違法者所用，卻可以用來推算出最佳的犯罪方案。 類似的例子，基於深度學習技術的人臉識別給身份認證提供了巨大便利，然而利用同樣的技術， deepfake可以完整創造出一段你從未說過的話，讓旁人真假難辨。

【章節二】數學之禍

混亂的根源是AI，它是近幾年對這個時代衝擊力最大的一項技術。雖被冠以智慧，而AI的本質僅僅是數學。以史為鑑， McAfee的CTO  Steve Grobman以飛機類比，科技帶來便利的同時也將帶來生命的毀滅。對於技術來說，更關注於如何優雅的更好、更快、更強的解決問題， 無論是飛機抑或是AI。

應用了技術的機器只應該負責尋求答案解決問題，而人類則應當發現問題提出問題。隨著科技快速發展，人們將會生活在一個近乎與現實生活同樣多面的網路空間當中，而當技術如此的無法控制時， 安全該何去何從？數學與科技引發的混亂該如何治理？這應該是值得每個人認真思考的。

【章節三】Risk is good

真正的安全危機，在未來就是信任危機。 可信環境，正是針對這種潛在危機提出的方法論。我們需要做的是感知風險，進而管理風險。風險是無法完全消除的，因為只有基於風險，大家才能在投入與潛在損失之間平衡，做出最好的決策。

目前零信任作為最火的安全理念頻繁出現於各大會議及宣傳中，但在這裡，大會主席Rohit Ghai 提出了新的方案 -- 信任鏈。

 

筆者更加欣賞這個信任鏈方案。 信任，是安全問題的本質。但零信任似乎是站在歷史或當下來思考，提出了我們不需要信任，每一步的操作，都要進行驗證。而在未來幾百億的管理終端面前，這將演化為一個無法落地的難題。 信任鏈則是著眼未來，將聲譽跟可信等價，借鑑了經典的樸素貝葉斯演算法以及區塊鏈的思路，以現實身份與虛擬身份結合作為信任鏈的最小元組。 在未來，這個元組的聲譽會隨著威脅行為的變化而透過關聯元組反饋到整個信任鏈中，而自身組織的決策可以基於整個信任鏈對元組聲譽的評估，進行風險管理。

縱觀近兩年RSAC的變化，少了些新技術、新概念，更多注重了技術的應用和改進，為使用者提供更便利、實用的解決方案，與今年大會的主題“Better”很契合，首日的最重要的三個演講也都著眼未來，作為安全從業者，為社會打造更好、更安全的未來。