洞見RSA 2023｜獨行速，眾行遠——從RSA2023會議主題Stronger Together說起

每一屆RSAC大會都有一個主題，從早期的以歷史典故、重要著作、重要人物等為主題，逐漸以體現時代特色的單詞或短語為主題，代表著行業的發展變革。2023年RSAC大會的主題是：共同強健（Stronger Together）。RSAC大會主辦方給出的描述是“我們是一個由很多人組成的社群。無人獨行；我們建立在彼此多元化知識的基礎上，創造下一個突破——交換想法，分享我們的成功故事，勇敢地審視我們的失敗…以合作為基礎，未來是光明的” 。RSAC會議網站還引用了海倫·凱勒的名言“Alone we can do so little; together we can do so much.”（單獨，我們能做的很少；一起，我們可以做很多）。

本文以此為切入點，簡要分析資訊保安領域合作的必要性及合作共贏的途徑和方式。 

一、RSA近幾年主題及涉及合作的情況

1.1RSA主題中涉及合作的情況

事實上，RSA主題中，不止一次提到合作。例如，在RSA2022年主題“轉變”的描述中提到“Because together, we transform.”（ 因為我們合作，所以轉變）。在RSA2019主題“更好”的描述中提到“Ensuring a brighter future requires all of us—everyone from the C-suite to those of us on the front lines—to be better today.”強調從高管到一線工作人員的共同努力才能做得更好，強調的是單位內部的共同努力。在RSA2016年主題“連線”的描述中提到“through knowledge sharing and collaboration”即知識共享與合作。RSA2014年主題“共享、學習和安全”，直接強調共享的重要性。

1.2RSA近幾年的主題介紹

RSA 2018：“Now Matters”-- “現在很重要”。該主題強調資訊保安的緊迫性，認為網路威脅比以往任何時候都更加嚴峻。這些網路威脅不允許我們等待明天，我們需要在今天，在當前就找到解決方案。

RSA 2019：“Better”-- “更好”。該主題鼓勵人們不斷改進和提高他們的資訊保安措施，以應對不斷增長的網路威脅和攻擊。

RSA 2020：“Human Element”--“人的因素”。該主題強調了人在資訊保安中的作用和重要性，提醒人們不要忽視社交工程攻擊和其他攻擊方法中的人的因素。

RSA 2021：“Resilience”-- “韌性”。該主題強調了資訊保安的韌性和適應性，提醒人們要具備抵禦攻擊以及從攻擊中恢復的能力，以應對不斷變化的安全威脅。

RSA 2022：“Transform” –“轉變”。 該主題強調了網路安全一直在不斷演變，我們需要不斷地適應和變革來應對新的威脅和技術。我們自己也需要發生變化和轉變，以適應新的挑戰和機遇。

二、合作的必要性

前面講到，RSA2023會議主題強調合作。那麼，為什麼要合作呢？本節我們從資訊保安的複雜性、攻防雙方的非對稱性，說明防禦工作的困難性；從資訊保安的外在性說明無論從安全需求的角度還是法律要求的角度，合作存在的必要性；從對手的合作說明我們不合作會更加陷於不利地位；從低等動物的合作說明合作的普遍性。

2.1資訊保安的高度複雜性

資訊保安具有高度的複雜性，包括威脅的複雜性，安全防護的複雜性。這些使得單個的個人或組織很難甚至是無法進行有效的資訊保安防護。

資訊保安威脅的複雜性

隨著技術的不斷髮展，資訊保安威脅也變得越來越複雜。駭客技術的不斷進化，網路犯罪的猖獗，使得資訊保安威脅呈現出多樣化、高度複雜化的趨勢。

資訊保安防護的複雜性

資訊保安防護的複雜性包括：多學科性、技術複雜性、管理複雜性、法律複雜性等。

多學科性。資訊保安是一個多學科的領域，涉及到電腦科學、數學、物理學、心理學、法律學等多個學科。任何個人和組織都不可能全面掌握這些知識。

技術複雜性。資訊保安的技術背景非常複雜，包括物理安全、網路安全、計算環境安全、身份認證、訪問控制、資料安全等等。

管理複雜性。資訊保安不僅僅是技術問題，還涉及到複雜的組織管理和流程管理等方面。例如，如何制定資訊保安策略、如何分配安全形色、如何進行安全培訓等等。

法律複雜性。資訊保安還涉及到法律和合規方面的問題。而一方面，由於資訊科技的高速發展以及攻防的快速演化，很多的法律法規嚴重滯後，帶來法律的不確定性；另一方面，不同國家，不同地區的法律存在不一致甚至矛盾的地方，對於跨區域的機構和應用，存在法律風險。因此，資訊保安在法律方面存在較大的複雜性。

2.2 資訊保安的非對稱性

資訊保安的攻防存在非對稱性，而且天平大多偏向對攻擊者有利的一邊。

典型的非對稱性包括但不限於：

• 攻擊者擁有主動權：攻擊者通常比防禦者更加主動，因為攻擊者可以隨時選擇攻擊的時間、地點和方式，而防禦者則需要根據攻擊者的行動來制定相應的防禦策略，處在被動地位。

• 攻擊者可以單點突破，防禦者需要全面、全時段防禦：攻擊者只要掌握一種技術及與之相應的漏洞，就可能攻擊成功。攻擊者也可以選擇系統暴露面的任何一點進行攻擊，也可以選擇任何對自己有利或方便的時間發起攻擊。而防禦方需要進行全方位、全時段的防護，任何一點、任何一時的疏忽，都可能成為整個防線的突破口。

• 攻擊者可以任選攻擊方式，防禦者需要防禦幾乎所有的攻擊：攻擊者通常可以透過利用系統漏洞、社會工程學等手段輕易地進行攻擊，而防禦者則需要耗費大量的時間和精力來發現並修復漏洞。

2.3資訊保安的外在性

資訊保安具有強烈的外在性特徵，沒有強有力的合作以及法規約束，一些個人、機構會以對他人或機構構成威脅為代價，獲得自己的利益。

外在性“Externalities”（有的也稱為外部性）是一個經濟學術語，是指某個經濟活動或決策所產生的成本或收益，不僅僅影響到直接參與該活動或決策的個體或組織，還會影響到其他人、組織和社會。外在性可以是正向的（positive）也可以是負向的（negative）。

“Positive externalities”（正外在性）是指某個經濟活動或決策所產生的成本或收益，不僅僅對直接參與該活動或決策的個體或組織有益，還對其他人或社會產生了積極的影響。例如，一個企業提供了高質量的職業培訓，除了員工自身能夠受益，還可以提高整個社會的人力資本水平，促進整個產業的發展。

“Negative externalities”（負外在性）是指某個經濟活動或決策所產生的後果，不僅僅對直接參與該活動或決策的個體或組織有害，還對其他人或社會產生了消極的影響。例如，一個人開車習慣不好，喜歡飆車，不僅是影響自身安全，還會危害他人的安全。

資訊保安具有很強的外在性。例如，當大多數人都安裝了有效的防病毒系統，可以降低病毒的傳播，間接地也對沒有安裝防病毒系統的裝置提供了保護（類似於傳染病如新冠病毒防護）。又如，當一個電子商務公司的資訊保安做得好的時候，其保護了客戶隱私不被洩露，也間接的保護了客戶的利益。

由於外溢效果嚴重，使得資訊保安成為全球性挑戰，資訊保安問題已經超越了國界，成為需要世界各國共同面對的全球性挑戰。

2.4 敵手也在合作

實際上，攻擊者之間也存在密切合作，這種合作通常以黑色產業鏈的方式進行。黑色產業鏈是一個由多個獨立的個體或組織構成的生態系統，包括駭客、駭客論壇、惡意軟體開發者、網路犯罪組織等。這些個體或組織之間透過各種手段相互合作，共同實施網路攻擊和網路犯罪活動。這種情況下，如果我們還採取單打獨鬥的方式應對，更增加了攻防的非對稱性。

2.5 群智-低等動物的協作

不僅人以及其他的高等動物懂得協調與合作，就連低等的動物也知道自發性的合作。典型的例子就是群智，即一群動物在不需要頭領的情況下自發組織起來完成一項任務。例如當一群沙丁魚遇到捕食者的時候，自動組合，偽裝成一條大魚。如圖1為沙丁魚群偽裝成一隻長24米的海豚。

圖1 沙丁魚群（圖片來自網路）

三、如何合作

由上述可知，沒有任何一個個人、組織甚至國家可以單獨解決所有的資訊保安問題，資訊保安的保障和建設需要廣泛的合作、共同應對。“Stronger Together”主題反映了這個觀點，它鼓勵人們在各種領域和層面上進行合作和協作，以實現更廣泛的目標和願景。這種合作可以是國家之間的、組織之間的，也可以是個人之間的，無論是哪種形式，都是非常重要的。

 “Stronger Together”主題還強調了多元化和包容性的重要性。在一個多元化的世界中，人們需要更加包容和理解彼此，以實現真正的合作和團結。只有這樣，我們才能更好地利用各種資源和優勢，最大限度地應對各種挑戰和問題，並推動人類社會的進步和發展。

這裡簡要介紹幾種典型的合作方式。

3.1  資訊和資源共享

透過資訊和資源共享，實現合作共贏。如威脅情報的共享就是其中一種。組織機構透過共享威脅情報，及時瞭解最新的威脅和攻擊手法、攻擊態勢，從而採取更好的安全措施，保護其資訊資產和業務安全。綠盟科技透過建立安全情報共享平臺、參與行業安全聯盟、提供安全情報服務和釋出安全報告和漏洞資訊等方式，進行威脅情報的共享，為整個社群整體的安全水平提高發揮了作用。

3.2 人才共享

由於資訊保安人才在市場上的需求量非常大，而供給相對較少，人才缺口很大。因此許多組織可能難以招募到足夠的資訊保安人才。人才共享可以幫助組織分享人才資源，從而更好地滿足其資訊保安需求。

人才共享可以透過多種方式實現。一種方式是透過僱傭外部顧問或承包商來獲取額外的人才資源。如專業的資訊保安服務公司提供的，可以為組織提供專業的安全諮詢、安全評估、安全測試等服務。這種方式可以幫助組織在需要時快速獲取專業的資訊保安人才，同時避免了長期僱傭和管理資訊保安人才的成本和風險。另一種方式是透過組織之間的協作來實現人才共享。作為“巨人背後的專家”，綠盟科技在資訊保安人才培養和人才輸出方面起到了重要作用。例如：

• 建立校企合作機制。綠盟科技與多所高校建立了校企合作機制，與高校共同開展資訊保安人才培養工作，為學生提供實習實踐和就業機會。

• 提供專業安全人才培養和為客戶提供培訓服務，包括安全意識培訓、技術培訓、管理培訓等。透過向客戶提供專業的安全培訓，提高客戶的安全水平。

• 提供安全服務。綠盟科技透過提供人員駐場、安全巡檢等多種方式，為客戶提供安全人才共享。

3.3 風險共擔

透過網路安全保險可以實現風險共擔，可以使企業和個人更好地應對網路安全風險。網路安全保險的效果主要體現在：1）分擔損失，網路安全保險可以幫助企業和個人分擔因網路安全事件所導致的損失。2）分擔責任，網路安全保險可以幫助企業和個人分擔因網路安全事件所產生的責任。3）分擔技術風險，保險公司可以為企業和個人提供安全諮詢和技術支援，以幫助其建立和維護更好的資訊保安防護措施。綠盟科技與保險公司合作，協助保險公司對客戶進行投保前安全評估，並在客戶投保後對投保企業進行持續的安全服務和安全監控，而萬一投保企業發生安全事件，綠盟科技可協助進行應急響應和調查取證等，從而分擔了保險公司和投保企業的技術風險。

3.4 其他合作

除此之外，資訊保安領域的合作和團結還可以體現在以下幾個方面：行業合作，不同行業之間的資訊保安風險和需求也不同，需要各行業之間的合作和協作來解決。例如，金融行業和醫療行業都需要特定的安全措施來保護客戶資料和隱私。國際合作，資訊保安威脅不分國界，需要各國之間的合作和協調來應對。

四、小結

資訊保安風險的複雜性、多變性，資訊保安技術的跨學科、多領域特性，以及安全防護的全面性、系統性需求，使得我們必須“Stronger Together”。事實上，在大多數的領域“Stronger Together”都是適用的。我們擁有同一個地球，同處“地球村”，只有合作才能共贏，合作符合全人類的利益。

參考文獻

[1]  https://www.rsaconference.com/about/theme