1）前言

摔倒後，站起來！這就是Resilience（彈性）。

注：Resilience和Resiliency是可替換的拼寫方式，譯為彈性、韌性、復原能力皆可，本文統一為“彈性”。

2020年以出乎意料的疫情考驗了全人類，使RSAC 2021的主題“彈性”（Resilience），比歷屆都更能引起共鳴。

RSA 2021已於美國舊金山時間5月17日8:00（北京時間當晚23:00）召開，這是RSA大會有史以來第一次採用網路虛擬會議的形式舉辦。360安全專家團隊和市場團隊第一時間蹲夜守候，為安全行業傳遞RSA聲音。

 

2）變化的是形式，不變的是熱情

RSA大會始於1991年，由美國RSA公司發起，至今正好30歲。正如RSA演算法已經家喻戶曉，RSA大會也已成為全球公認最權威的年度安全盛會。近幾年來，現場參會人數多達4-5萬人。而今年最大的變化是採用線上網路虛擬會議的形式舉辦。

RSAC最早是RSA發起的，而RSA的名字來自與密碼和安全界無人不知的RSA演算法的三位創造者。而其中最著名的R（Rivest）和S（Shamir）都到場了。另外，還有大名鼎鼎的DH演算法創造者之一Diffie。

 

3）何為“彈性”

RSA大會每年都會有一個主題（Theme），本次大會的主題是Resilience（彈性）。我們由於跟蹤美軍和美國網路安全技術發展，很早就意識到“彈性”有可能成為某界RSAC的主題。比如說：

   2017年，MITRE釋出《網路彈性設計原則》（Cyber Resiliency Design Principles）。

   2018年，MITRE釋出《網路彈性指標、有效性度量和評分》（Cyber Resiliency Metrics , Measures of Effectiveness , and Scoring）。

   2018年，美國國防部在《國防部網路戰略2018》中提出“提升美國關鍵基礎設施彈性”的戰略途徑。

   2019年11月，NIST正式釋出SP 800-160（卷2）《開發網路彈性系統：一種系統安全工程方法》（Developing Cyber Resilient Systems: A Systems Security Engineering Approach）。

   2019年11月，美國國土安全部和國務院共同釋出《關鍵基礎設施安全和彈性指南》。

   2020年，RAND（蘭德）釋出報告《度量網路空間安全和網路彈性》（Measuring Cybersecurity and Cyber Resiliency）。

彈性來自“網路彈性”、“業務彈性”等概念。咋一聽，它更像是一個業務連續性概念，通常與備份/恢復手段密切相關。

但“彈性”是一個大概念。NIST SP 800-160（卷2）提出的網路彈性解決方案（也稱網路彈性工程框架）是比較權威和全面的（如下圖所示）。它將網路彈性（Cyber resiliency）定義為預防、抵禦、恢復、適應那些施加於含有網路資源的系統的不利條件、壓力、攻擊或損害的能力。

圖-NIST SP 800-160（卷2）網路彈性解決方案

由上圖可見，網路彈性的目的是預防、抵禦、恢復、適應。這與安全圈裡熟知的PPDRR（預防-防護-檢測-響應-恢復）安全模型的覆蓋面差不多。NIST SP 800-160專門解釋了為何將網路彈性的範疇，定義得如此寬泛。同時特別強調：所有關於網路彈性的討論，都必須基於以下兩點：

   

聚焦於保障任務或業務功能；

   

基於這樣一個假設：對手必將突破防禦，並在組織系統中長期存在。

彈性如此重要，是因為如果沒有彈性，政府就可能停擺，企業就可能停產甚至破產。只要想想全球疫情導致多少無法現場工作的情況，就知道它對業務連續性產生了多大影響，這也是為什麼遠端辦公突然變得如此重要。最近美國本土發生的“油管”勒索事件，也許就是對本次大會主題意義的最佳印證吧。

強調彈性，意味著網路安全重點從攻擊預防轉變為增強網路彈性：既然入侵不能避免，考慮維持業務正常運營，從攻擊中快速恢復過來才是更現實的選擇。

 

4）開啟“彈性”之旅

開幕式的第一個演講來自RSA執行長Rohit Ghai的《彈性之旅》（A Resilient Journey）。Rohit Ghai認為，在2020年，網路安全經受住了全球疫情和網路攻擊的考驗。但下一次考驗隨時到來，我們必須踏上彈性之旅。

Rohit Ghai認為，正確地制定框架對於解決問題是至關重要的。而網路彈性正是一種很好的方式，來為網路安全行業的問題制定框架。網路安全行業的共同目標不是避免摔倒，而是摔倒後能爬起來，這就是韌性。

Rohit Ghai非常擅長講故事，他透過分享老虎、飛機、縫紉機這三個故事，來傳達他提高彈性的框架方法：

第一個故事關於老虎。這是指2020年上映的《虎王》電影，產生了兩億多的播放人次。這得益於其容錯體系結構的設計。這使我們聯想到，如何在當今的混亂環境中，控制安全性。解決思路有3條：

   一是預測：這需要安全檢測、評估、可見性、威脅情報、模擬攻擊等能力；

   二是零信任：零信任非常非常重要。而最重要的就是要限制信任，不要把信任過度放大。

   三是網路分段：包括東西向分段和南北向分段，並隔離所有受到攻擊的部分。就像我們戴口罩，不僅僅是保護自己，也是為了保護別人。

第二個故事關於飛機。在第二次世界大戰中，盟國希望增強對戰鬥機的保護，所以他們與哥倫比亞大學的一位統計學家合作。統計學家檢查了從飛行任務中返回的受損飛機後，並沒有去加強彈孔多的部位（如機翼），反而是加強彈孔少的部位（如尾翼和駕駛艙）。這種反常識的能力，來自於一個著名的心理學現象——倖存者偏差：很多時候，我們只能統計倖存者，而無法統計墜毀者。但仔細想想就會恍然大悟，那些被擊落的飛機，可能恰恰是被擊中了那些彈孔少的部位！

飛機的故事使我們聯想到當今的問題：如何對最大風險的區域進行優先保護？從網路到端點，到雲到IoT，需要都整合到一起，實現基於風險的智慧優先順序排序，從而保護那些最重要的領域。即使我們跌倒的話，我們也能忍受這樣的風險。

第二個故事關於縫紉機。印度在疫情封鎖期間，要求每個人必須呆在家裡面。而印度某協會的婦女們就在家裡利用縫紉機，來為醫院、政府做出貢獻。這個故事告訴我們，社群是共同成長的，所以她們才能夠發揮更加重要的作用。

類似地，在網路安全方面，也需要有包容性，也需要培育安全社群。只有這樣，才能發揮更大的價值。而RSA大會就起到了這樣的作用。Rohit Ghai還舉了一個駭客少年從善的案例，並呼籲：“我們永遠不要放棄這些人才，而是要去招募越來越多的人才，然後共同成長，而不是培養敵人。”

最後，Rohit Ghai提醒我們：我們目前還沒有遇到一個全球性的網路疫情，說明我們還沒有被充分考驗。彈性之程才剛剛開始，老虎、飛機、縫紉機這三個故事分別教會我們如何跌倒得更少、更快站起來、更有彈性。

 

5）網路安全共創未來

第2個主題演講來自思科董事長兼執行長Chuck Robbins，他的演講題目是《面向包容性未來的網路安全》（Cybersecurity for an Inclusive Future）。

Chuck Robbins指出，面對疫情和新的混合世界，每個行業的每個組織都致力於保持業務彈性。我們的目的就是希望能夠為所有人打造一個更具包容性的未來，而安全必須是一切的中心。

他強調了連線的重要性，對於落後地區，如果能夠把他們連線起來，然後又給他們一些合適的技術，就能夠很有力的改變他們的現狀。所以，我們需要擴充套件這種連線性帶給人類的機遇，而連線性又需要受到安全保護。所以，從疫情中復甦必須是一種包容的復甦，也必須是一種安全的復甦。

Chuck Robbins還強調了零信任、XDR、安全人才培養的重要性。

 

6）安全需要直言不諱

第3個演講是《影響網路安全變化的大實話》（Telling Hard Truths to Impact Change in Cybersecurity），來自VMware全球治理、風險和合規主管Angela Weinman和Netflix DVD資訊保安主管Jimmy Sanders。

兩位演講者聲稱都熱衷於推動安全方面的變革。他們認為，新的員工工作模式和日益複雜的入侵行為，要求安全領導人成為講真話者並採取行動。

總之，這個演講的核心就是講真話，解決真實問題，目的是加強網路安全的彈性。

第一句真話是，現在沒有管理好風險。安全風險缺乏焦點。而如果不能準確的識別確定風險，我們就很難很快的從危害的影響當中恢復過來。必須以風險為驅動因素，衡量投入/產出價值，把有限資源投入在最值得優先考慮的領域。

第二句真話是，傳統安全做法正在拖後腿。我們必須創造一種包容性的環境，讓多元化的想法能夠同臺競爭，讓桌上的每一個聲音都能被聽到，讓最好、最先進的想法獲勝。這樣才可以改善我們的整體安全態勢。

第三句真話是，安全不是一項單獨的運動。在過去一年，正是互相交流幫助我們度過難關。這也正是安全社群的價值，我們需要所有人的努力，需要同行的合作。這反映了“滾雪球效應”，因為所有偉大的想法都是建立在彼此的基礎上的。

 

7）數學卓越獎

接下來是RSA會議獎“數學領域卓越獎”（Excellence in the Field of Mathematics）的頒獎環節。該獎項旨在表彰那些在密碼學領域是先驅者且其工作具有持久價值的被提名人，他們來自大學和研究實驗室。

本屆“數學領域卓越獎”獲獎者是法國國家科學研究院高階研究員David Pointcheval。他專門從事實用協議的設計和分析，並提高它們的安全性，不僅推進了密碼學的理論，而且降低了現實世界中的業務風險。

 

8）密碼學專家小組討論

RSA大會每年都會以“密碼學專家小組討論”（The Cryptographers' Panel）作為開幕日的必備專案。密碼學的奠基人和領導者共同討論網路安全行業所面臨的最緊迫問題。有趣的是，會前並不公佈所討論的話題，有時話題也很發散，會隨興所至。

這一次，主持人Ross Anderson與Ronald Rivest、Adi Shamir、Zulfikar Ramzan同臺線上，談論了比特幣、負責任披露、量子計算機、機器學習和AI安全、供應鏈安全、工程隱私、網路彈性等話題。

最後，主持人Ross Anderson還對Whitfield Diffie進行了專訪。當主持人詢問：未來的網路安全會是怎麼樣的？Whitfield Diffie回答說：人們既想自由，又想連線。但我們的自由是被削減的，我們現在所享受到的自由，在將來看可能非常難得，我們在那個時候可能會特別懷念現在的我們還有一定的隱私性。

 

9）期待你的發現

是的，在介紹完開幕式的主題演講之後，需要你繼續發現令你感興趣的議題。本次會議的議題非常多，官方說法是24個內容主題（Track），200多個具體議題（sessions）。而具體的議程似乎多達500個。討論相對比較多的領域包括：彈性；零信任；威脅情報；安全框架（如MITER ATT&CK攻擊框架和MITER Shield防禦框架、NIST CSF網路安全框架等）；5G網與邊緣計算；物聯網安全；雲安全；供應鏈安全；AI攻防；資料安全與個人隱私等。

此外，創新沙盒作為安全行業的技術風向標，必受關注。已經入選的10強創新產品包括：1）Abnormal-郵件閘道器；2）Apiiro公司-SDL產品；3）Axis security公司-零信任產品；4）Cape Privacy公司-加密機器學習平臺；5）DEDUCE公司-身份安全驗證平臺；6）OPEN RAVEN公司-雲資料安全平臺；7）Satori公司-資料訪問安全平臺；8）STRATA公司-多雲身份管理平臺；9）WABBI公司-DevSecOps基礎架構平臺；10）WIZ-雲基礎設施安全平臺。可以看出，雲安全、零信任、身份安全、資料訪問安全等是被關注的焦點。

10）後記

彈性是一個宣言，是人類不屈的決心！尤其是當安全行業團結在一起時，才可以展現更大的彈性和韌性。當每個你和我都能做出一份努力的話，這個世界就會變得更安全、更美好。

NIST網路彈性指南專門指出：“對網路彈性領域的指引，來源於對威脅形勢的理解，尤其是對APT的理解。” 作為國內應對APT的超級核心力量，360政企安全將持續關注網路威脅形勢和安全創新動態，基於360安全大腦為核心的數字安全能力體系和安全生態體系，為國家、行業、城市、政企的數字化轉型和網路/業務彈性保駕護航。

在實踐角度而言，360安全大腦為核心的數字安全能力體系在“彈性”（Resilience）的概念基礎上又向前推動一步，因為這是具有“主動彈性”（Proactive Resilience）的實戰體系。

簡單地說，360數字安全能力體系，是一個建立在海量安全大資料、實戰型安全專家團隊、漏洞挖掘能力、安全對抗知識庫、APT狩獵能力、雲端公共服務等安全能力的融合體。其目的，是建立一種同時具備環境意識、自我意識和改進能力的“主動彈性”。它不僅是在遭受破壞時能繼續運作，而是能夠主動“看見”破壞，預測破壞，並在破壞發生之前有所準備。此前，360公司多次率先發現的全球0day漏洞攻擊，就是得益於這套協同體系的“主動識別”機能。

現在我們的國家、城市、行業、企事業單位所構建的業務系統變得越發複雜，以至於沒有誰能夠說明其整個執行本質。主動識別由複雜分散式系統所引起的系統安全故障，主動發現和解決重大漏洞，主動暴露“未知的未知”，則能夠更好地發現和應對非預期事件。