RSAC一直被喻為安全行業的風向標。世界各地的安全廠商齊聚一堂就雲端計算、大資料、應用安全、安全管理等熱門話題進行交流。本文是綠盟科技對本次大會焦點的簡要梳理，供各位參考。

從創新沙盒看終端安全

綠盟科技發現本屆RSAC的議題有了一些明顯的變化，營銷性的概念少了，安全迴歸其本質，關注解決實際存在的安全問題，這從大會上最受關注的創新沙盒比賽也可見一斑。 

本屆被冠以“最具創新性”公司頭銜的AXONIUS主要是對使用者的裝置進行管理，包括資產管理、應用管理和補丁管理等。資產管理雖然不是屬於明天的fancy技術，但卻是實實在在的讓安全團隊構建完整防守體系的第一步，也是最重要的一步。有時候，“知己”比“知彼”更難。

Top10廠商涉及資產管理、DevOps、雲安全、資料安全和韌體安全等多種強化終端安全的技術。從攻擊者的角度來說，無論發起多麼複雜的攻擊，在網路中經歷了多少環節，採用了多少高階的技術，這些攻擊動作必須通過某一個或多個終端才能完成。終端正是大多數安全事件發生過程的跳板、目標或者發生地，終端成為了安全的主戰場。儘管終端上執行著賬戶管理、防毒軟體等基礎防護，但仍存在安裝效率低、盲區大的問題。此外，對越發複雜的APT攻擊，僅依靠單一終端資訊難以察覺。這些問題需要聯合眾多終端的資料與安全能力，進行統一平臺安全分析與管理，以提供全面、精細的事件檢測與安全響應。

為應對終端安全威脅，綠盟科技於2018年推出了一款終端安全防護產品——綠盟終端檢測與響應系統（綠盟EDR：NSFOCUS Endpoint Detection and Response），該系統採用了主動防禦和橫向對比模式，使企業的防禦模式轉變為主動、動態、自適應的彈性防禦，降低企業安全風險、溯源安全事件、提高IT運維效率，全面提升企業的安全防禦能力。

未來的終端安全體系，必須具備至少3種能力：對平臺和終端知識的全面理解和靈活掌控、對已知威脅的精確感知和敏捷響應、對未知可疑活動的及時發現與主動攔截。多（全）維度屬性的資產管理貫穿於其中，提供堅實的資料支撐；自動化資產發現、主機風險態勢識別、多維度的視覺化，幫助客戶快速精準定級風險，降低運維成本；全面事件活動軌跡記錄，使用者可迅速還原事件發生過程，形成完整事件證據鏈，確認相關責任人；綜合多源資料的精確檢測和供應多種策略的靈活響應，提升防護的精準度，降低企業安全風險。

通過自動化響應發現安全威脅

在本屆RSAC創新沙盒大賽入圍的廠商中，其產品、解決方案有相當比例與網路安全管理領域相關。另外從議程安排中，我們看到了安全行業對於若干資訊保安管理領域，以及對於網路安全中人的因素的特別關注：

· 安全治理/風險/合規管理GRC領域； 

· 人員安全管理領域； 

· 資訊系統生命週期管理領域。

期望通過安全管理來達成四個目的：減少來自SIEM告警的干擾，避免人工關聯，提供對威脅的洞察力，簡化incident響應流程。

綠盟科技最新的兩項研究發現大部分網際網路的業務系統在上線後半小時內會被攻擊者探測發現並開始遭受攻擊；系統的最新漏洞在資訊公開後 10 小時～13 小時，攻擊者會採用最新的攻擊程式碼對開放在網際網路系統進行攻擊。

以上研究展現了攻防演進速度驚人的形勢，為更好的應對高速的網路威脅，綠盟科技推出了一款集安全威脅檢測裝置、安全威脅分析平臺、安全專家服務於一體的一站式安全運營支撐服務——可管理的威脅檢測與響應服務（NSFOCUS Managed Detection and Response Service，以下簡稱綠盟 MDR 服務）。

與單一的安全防護裝置相比，MDR服務可以在裝置提供的威脅預防能力的基礎之上，進一步提供威脅源及安全事故的檢測與處置能力，形成事前主動預防、事中積極對抗、事後及時響應的一體化威脅管理解決方案，避免安全建設專案的風險，綠盟MDR還進一步融合業界最先進的大資料分析技術、機器學習技術、智慧決策技術為客戶有效精準地識別安全威脅和事件。

AI本身的安全問題值得關注

微軟的資深專家Bugra Karabey在RSAC 2019上分享瞭如何把機器學習作為分析工具在安全攻擊分析中的應用，他們提出的一個場景“如何使用主成分分析聚類識別安全事件模式”引起了綠盟科技的關注。他們針對大規模的安全事件庫，構造了一個採用PCA聚類分析進行降維分析模型，形成安全事件資料集並識別潛在威脅，其workflow如下圖所示。 

和微軟安全分析思路不謀而合的是，綠盟科技在過去的一段時間裡，也是在摸索中形成了特有的機器學習+規則關聯分析構建安全威脅分析解決思路。構建出機器學習分析引擎-TURING引擎，並提出了將關聯分析框架構建於TURING引擎之上，通過機器學習+規則關聯分析，實現安全威脅智慧推理分析，逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺。

當今AI成為各個安全公司驅動安全能力提升的新“引擎”，很多產品在利用AI最大程度上提升安全檢測和防護能力。同時，AI本身的安全問題也浮出水面，對網路安全行業來說，“AI是手段，安全是目標”，用AI做安全檢測和防護同時，也要考慮構建安全的AI。綠盟科技天機實驗室發現利用TensorFlow本身的系統漏洞，黑客可以很容易的製造惡意模型，從而控制、篡改使用惡意檔案的AI應用。面對更多未知的漏洞和危險，AI開發者近乎是束手無策。

綠盟科技通過在RSAC2019上針對AI本身的安全問題的討論總結出了部分解決方案：

1） 區塊鏈的引入

區塊鏈是安全、分散式、恆定的資料庫，由分散式網路的各方所共享，這個資料庫可以記錄交易資料，審計起來也很容易。

2） 提高可解釋性

目前由於AI演算法內部的運作往往是不透明的，AI的黑箱問題和可解釋性問題越來越受到關注。深度學習方面的最大挑戰之一是向客戶和監管機構解釋模型是如何得到答案的，但根本不知道模型是如何得到答案的。

3） 基於AI的安全系統的安全性評估系統

設計新的安全框架來衡量和量化基於AI的安全系統。在該安全系統中需要能夠解決：評估資料是否被有意汙染，引入第三方資料時是否會導致無意的資料汙染，AI給出不可靠資訊如何評估，是否自動化回應AI推薦的決策並採取行動等。

基於零信任制定訪問控制

混合環境的雲安全主要包括身份認證和訪問控制，如何一次驗證身份就可能按照給定的訪問控制策略訪問不同環境中的各種資源，又能抵禦攻擊者的惡意訪問，一個比較好的模型是零信任模型。本屆RSAC上，綠盟科技通過雲安全方面的交流發現了一些變化趨勢——提到零信任的廠商明顯增多，與往年提概念不同，2019年各家都拿出了產品，例如Duo的零信任身份認證訪問，Zscalar、Cyxtera、Meta Network等的SDP訪問控制方案。即便是標準化的SDP，各家廠商也有所不同，例如Cyxtera的方案是將資料傳輸到自己雲端，然後分發到客戶側；而Zscalar和Meta Network則是直接打通，前者是通過代理方式，除了訪問控制外，還增加了如DLP、WAF等功能；後者通過路由的方式，且聚焦於流量排程，加細粒度的訪問控制，自稱下一代的SDWAN。

Meta Network的網路結構

總體而言，各種零信任機制能在複雜環境中提供靈活的訪問控制機制，避免因粗粒度的策略造成系統被入侵，同時將傳統面向網路的訪問控制轉變為面向使用者資產的訪問控制機制，更加準確有效。

本屆RSAC上中國安全企業軍團已成為僅次於美國的第二大參展團，綠盟科技一直在緊緊跟隨全球安全的大趨勢，這已經是綠盟科技第12次參加RSAC。包括綠盟科技在內的國內企業參展的產品型別已經從單一產品，發展到複雜方案以及綜合性安全能力輸出。

中國安全企業的被關注度在逐年提高，中國安全企業自身的實力也有了很大提升。但是我們也不得不正視，與美國、以色列這兩個網路安全產業強國相比，國內安全企業在國際影響力還有差距。但我們相信，只要繼續潛心專注於設計優秀的安全產品，專注於創新的安全技術研究，中國安全產業的發展一定會越來越好。