RSA 2020在舊金山落下帷幕。大會期間共有41家安全廠商釋出了新產品，涉及安全安全管理、威脅情報、安全開發、安全演練與測試、安全認證與可信環境、網路安全、雲安全、應用安全、終端安全和資料安全11個領域，基本上覆蓋了企業網路安全所有需求。其中安全管理類產品、服務和平臺共計14款，佔比37%，是技術和產品演進速度最快的一個領域。

2020年RSA大會發布新品分佈情況

接下來綠盟君將以安全運營的視角，盤點、總結下新產品和服務，看看它們可以幫助企業解決哪些問題，帶來什麼樣的變化。

RSA 2020大會期間釋出的新產品主要有兩個特徵：第一，過去兩年在大會上的熱點產品與技術已趨於成熟，例如SOAR、MDR服務、MSS服務；第二，傳統的產品和技術在進一步演進和更新，例如具備可信驗證功能的認證產品與技術，攻擊模擬和靶場技術與安全管理平臺。

企業和機構在構建和完善安全運營體系可以考慮：

第一，  對於已經趨於成熟產品與技術，企業和機構可以考慮大規模引入到企業的安全運營體系，例如SOAR、MDR服務、MSS服務。

第二，  考慮對一些傳統裝置進行升級和替代，引入或擴充套件新的安全機制和能力。例如採用具備可信驗證功能的產品替換單純的認證，引入靶場和攻擊模擬技術實現安全運營體系的驗證和評估。

一、安全管理類

1、SOAR    

SOAR仍然是此次在大會議題中的熱點。會議期間，知名廠商CISCO和Palo Alto都發布和更新了SOAR產品，此次釋出的新品可以SIEM及威脅情報相互整合和融合，標誌著SOAR技術已經融入安全技術體系。

SOAR技術可以幫助使用者逐步實現安全響應的自動化、流程化，使用者可以根據已有的應急響應預案結合自身網路環境及安全裝置，預先設定威脅處置和事件處置的劇本（Playbook），將威脅和安全事件響應週期縮短到至準實時成程度。

SOAR的部署和實施將極大提升使用者安全攻防與對抗能力，一方面它可以將威脅監測與研判人員的精力從數量龐大常見攻擊行為工作中釋放出來，集中精力處置沒有預案的高危行為。另外一方面，SOAR的實施也將大幅提升攻擊者探測、攻擊、進一步滲透等環節時間成本和曝光率，對攻擊行為起到震懾和壓制作用。

SOAR實現架構圖

2、威脅自動化分析與研判

飛塔釋出的FortiAI是一個獨立的產品，FortiAI主要應用於威脅和可疑事件的分析研判階段，通過自動化分析和研判，大幅度提升可疑事件的分析研判速度。在攻防演練和對抗中，此類技術可以大幅提升威脅分析師的分析效率和分析能力，確保分析能力不會成為對抗的瓶頸。

FortiAI採用自學習的深度神經網路（DNN）技術，並且作為一個獨立的產品釋出，也一定程度上反映了大資料分析和機器學習技術在威脅分析領域的應用已經逐步成熟。

威脅自動化分析與研判的應用

3、靶場技術與攻防演練

KeySight釋出的Breach Defense平臺，整合了攻擊模擬的功能，使用者可以使用該功能對網路進行模擬攻擊行為，對網路安全防護有效性進行驗證和評估。從安全管理角度看，在相對接近真實環境中進行攻防演練，可以更真實地反應和暴露網路安全防護中存在的問題，根據演練的結果進行整改和改造，更具備針對性和有效性。當企業面對複雜和龐大的安全框架無從下手時，採用靶場技術和攻防演練評估下一步優化和改進的內容將是一種最好的選擇。未來，企業和機構的日常安全運營體系需要構建安全度量和安全驗證機制，在技術上將安全管理平臺整合或對接“靶場”與模擬攻擊技術將是一種趨勢。

靶場系統的樣例

4、SIEM-aaS 、 MSS和MDR

此次大會期間，McAfee、CrowdStride、Secureworks等知名服務商相繼對MDR、SIEM-aaS、MSS服務進行升級，基於雲端的服務日趨完善。McAfee的MDR服務及CrowdStrike通過合作和平臺開放，擴大服務的地域範圍；Exabeam在SIEM-aaS（基於雲端的事件管理自服務平臺）整合UEBA（行為分析）能力；SentinelOne的XDR平臺具備容器安全的檢測與防護能力，SecureWork MSS服務增加了資產配置檢查與管理功能。

雲端遠端服務逐步具備了替代和超越本地化部署的產品，企業和機構的安全運營將有更多的選擇。大型企業和機構可以選擇自建安全運營中心，開放安全能力，向下級單位輸出MDR、MSS和SECaaS服務，中小型企業可以選擇使用MDR、MSS及SECaaS服務構建補充自己的安全能力。

MDR服務示意圖

二、認證與可信類

大會期間，各大廠商共釋出了4款認證相關的新品，其中GreatHorn釋出的解決方案和CyberArk的Endpoint Privilege Manager產品比較有特點，這兩款產品和解決方案在認證的基礎上增加了可信驗證的功能。GreatHorn釋出的帳號接管保護是一種基於生物識別技術解決方案，能夠識別受感染的帳戶並根據使用者的輸入模式鑑定接管嘗試，進一步通過使用者行為判定使用者是否可信。Cyber​​Ark 的Endpoint Privilege Manager增加了特權的防欺騙功能，通過可信驗證機制在工作站和伺服器上的憑證被盜時幫助使用者快速檢測並主動關閉正在進行的攻擊。

傳統認證機制在特定場景下（例如帳號被盜用、弱口令被猜解、開放未授權訪問機制的應用）會失效，認證技術逐步融合可信驗證功能是一種趨勢。

三、檢測與防護類

1、加密流量檢測

Juniper 對SRX防火牆系列產品和雲進行了升級，兩類產品無需在不解密的情況具備加密流量檢測功能和能力。加密流量檢測是閘道器類檢測裝置的盲點，由於網路效能降低和私有協議難以解析的原因，閘道器類檢測裝置難以通過解密來對加密流量檢測。這導致企業只能依賴於終端檢測技術對攻陷主機進行檢測。Juniper在SRX產品實現加密流量檢測後，企業可以通過該閘道器類裝置在邊界實現非法外聯主機的檢測與發現，網路運營商可以具備識別被黑客控制的殭屍主機和IoT裝置的能力。

2、機器人防火牆

Imperva釋出的 Advanced Bot Protection新的解決方案，採用的機器人防火牆技術，使用者能夠識別並且攔截沒有攻擊特徵的異常行為，例如CC攻擊（DDoS攻擊的一種，藉助代理伺服器生成海量合法請求進行攻擊）。採用機器人防火牆技術可以有效對網路抓取，交易欺詐，競爭性資料探勘，未經授權的漏洞掃描，以及網路和移動API濫用進行防護。

3、終端恢復

CrowdStrike釋出的Endpoint Recovery Services，是通過遠端方式幫助使用者在入侵後恢復業務運營的一種服務，該服務可以加速事件恢復生命週期，以最大程度地減少中斷，減少企業的損失。

四、綠盟安全運營解決之道

1、綠盟智慧安全運營中心介紹

綠盟智慧安全運營中心（NSFOCUS  Intelligent Security Operation Center，iSOC）是遵循綠盟智慧安全2.0理念，以運營為中心，智慧化、全場景的統一安全管理平臺。iSOC以大資料框架為基礎，結合威脅情報系統，通過對攻防場景的機器學習、威脅建模、場景關聯分析、異常行為分析以及安全編排自動化、視覺化呈現等技術，幫助客戶建立和完善安全態勢全面監控、安全威脅實時預警、資產及漏洞全生命週期管理、安全事故緊急響應能力。通過獨有的自適應體系架構，為安全運營提供可靠的資訊資料支撐，協助客戶快速發現和分析安全問題，並通過運維手段實現安全閉環管理。

2、綠盟靶場平臺介紹

綠盟網路靶場通過SDN、Docker、流量模擬、虛實結合、APT知識圖譜，大資料安全態勢感知等技術構建各種雲、大、物、工等各類環境的模擬場景，實現網路安全實訓、競技比賽、APT模擬演練、護網演練、攻防武器測試、產品測試評估和技術研究驗證，滿足使用者進行人才培養、攻防演練和測試研究的需求。

3、綠盟機器人防火牆介紹

綠盟科技機器人防火牆主要解決客戶Web系統、業務平臺等Bot流量的管理以及安全防護的，可以解決暴破、爬取使用者資訊，撞庫等安全問題。幫助客戶實現API請求防護和管控、機器人流量管理。能夠通過對各個業務介面的保護實現打擊竊取使用者隱私、撞庫、薅羊毛、黃牛黨等惡意行為，有效攔截自動化攻擊、針對API的手動引數篡改兩大攻擊方式，提升攻擊者的攻擊難度，保障業務系統穩定執行、實現業務能力提升。

4、綠盟MDR服務介紹

綠盟一體化安全運營解決方案（簡稱MDR服務）是以資產為基礎，實現威脅、脆弱性管理閉環，並通過服務工具提升檢測及防護效果的一站式安全運營解決方案。通過為客戶提供從規劃、建設到運維的全價值鏈，貫穿預警、防護、監測、響應和處置的安全閉環流程，以持續降低企業的安全風險。