RSAC2023解读第1期 | 未来安全趋势揭秘

2023年的RSA Conference（RSAC2023）是全球网络安全行业的又一次盛会，已于2023年4月24日至4月27日在美国旧金山顺利召开。作为安全界的“奥林匹克”，RSAC大会更是网络安全领域的重要风向标之一，备受瞩目。华为安全技术专家们在大会的吸引下，针对RSAC2023的众多议题和创新沙盘展开探讨，以本文为开篇，将推出一系列解读文章，敬请持续关注。

当今世界处于剧烈变化阶段，从去全球化到地缘政治危机爆发，各国经济放缓，以及AI和量子新一代革命性技术开始重构产业。每年的RSAC大会是安全产业的市场风向标，它的主题更贴近客户的心灵感受，从去年的Transform（转型）到今年的Stronger Together（一起强大），总体是在表述“天冷了”，攻击更多、新技术冲击的情况下，更渴望团结协作的力量。

据大会的一项报告，网络犯罪的年GDP产值排在中美两国GDP之后，可以列为第三大经济体，其中对勒索犯罪的关注依然是热点，探讨勒索软件攻击防护，以及付赎金的方式等话题；另外，基于地缘政治的网络对抗加剧，大会讨论了关键基础设施的安全防护能力，包括DDoS攻击、钓鱼欺诈、漏洞利用、供应链攻击、数据泄露等。对于这类针对性的攻击，攻击手段通常复杂，隐蔽性强，攻击速度快，给防御留下的响应时间窗口短。因此，需要更快速的机器反应速度，自动化和智能化在其中扮演着关键角色。

未来对安全管理者而言，挑战重重，预算在消减，威胁在增大。据面向消费领域的网络行业安全调查显示，安全管理者面临的最大挑战是时间管理，消费行业安全管理者平均每周花费27小时在非主要工作职能（即日常活动）上。安全管理者还有其他问题：人手不足 （66%）；任务超额 （55%）；在托管环境中缺乏可见性 （45%）；工具、技术或集成不足 （32%）等等。在风险关注上，对勒索软件和数据丢失防护居于首位，其次是身份和访问管理、网络钓鱼、业务中断、漏洞管理、信息欺诈，以及风险治理与合规。

安全作为所有事物和复杂系统的属性，就是数字世界的一个维度，可以压缩，但不可消减。组成数字世界的众多系统的不同形态，决定了安全产业的碎片化，100+的不同安全产品类型，以及人和组织制度的因素，对于安全管理者是个最大的挑战。

未来安全的双解之道：
融合安全产品和AI技术

从发展趋势看，安全产品融合和AI在安全的应用可以看做未来安全的两个解决之道。在RSAC2023大会上，与会的安全专家们就这两个话题也充分发表了意见：

安全产品的融合，是一直隐藏在安全运营背后的核心问题。无论是从经济角度，花更少的钱做更多的事，还是在现实威胁下，真正有效的管理和利用已有安全能力上，都需要安全产品的融合。从大会上的顶级安全专家的访谈看，安全供应商的数量众多，解决方案的数量也多，把安全分散到100种不同的产品中，会让安全变得很复杂，而客户需要的是无缝顺滑的安全体验。产品间能够协同工作，不同平台融合，安全供应商之间的协作，或者社区协作对网络安全至关重要。传统的七国八制的产品集成的建设方法，在实际的网络空间安全对抗中，已被证明效果不佳，孤岛和烟囱式的方案，无法有效协同。Gartner提的网络安全网格的体系架构，通过四个基础层：安全分析和情报层，分布式身份层，策略和状态管理层，整合仪表盘层，最终实现一个分布式安全服务的可组合扩展的安全协作架构。

ChatGPT引发的无处不在的AI（Artificial Intelligence，人工智能）浪潮席卷而来，成为大会的非官方主题。智能化潜移默化，逐步渗透到安全建设的各个方面，也同时会成为各个安全厂家军备竞赛的重点。会上有数十家公司宣布了他们的人工智能集成网络安全产品，其中微软的Security Copilot，谷歌基于LLM构筑的Sec-PaLM，以及Security AI Workbench的第一个落地新产品VirusTotal Code Insight，通过分析潜在的恶意脚本并解释其行为，最终有助于改善对哪些脚本是真正威胁的检测。SentinelOne推出的生成AI驱动的威胁狩猎工具Purple AI，基于数据湖之上，能自动处理不同来源的数据，它使用自然语言查询系统的能力将为分析师节省大量时间，并使安全团队能够响应更多警报并捕获更多攻击。

不管当前实际效果如何，业界基于大语言模型至少在安全运营层面向安全分析师助理在演进，预计会在不远的将来代替人工大量事务性的分析工作。AI在安全领域的应用会是个颠覆性的工作，它在代码安全、行为异常检测、文件分类研判，威胁情报提取都会不断突破，在基于身份的零信任领域，AI的实时评估也会不可替代。同时一个问题，也会是所有安全业者的想知道的，如何训练拥有一个强大的安全领域的AI模型，这里面不仅仅是算法模型的创新和突破，更多是需要拥有一个庞大而多样的高质量安全数据集，并有正确的工程训练的方法，来对齐训练人工智能模型。从已有经验看，AI在安全领域应用容易上手，但想达到被客户接受的可用程度，门槛还是非常高。

在关注大方面的同时，也看看有哪些关键的平台和技术方向。

作为集约化、标准化和服务化的网络安全边缘服务平台，SASE（Secure Access Service Edge，安全访问服务边缘）符合客户的降本增效的需求。埃森哲的调查显示，客户在讨论下一代网络战略时，认为SASE可以实现环境的灵活性和敏捷性，并降低业务的整体运营风险，和身份管理、零信任结合起来更强大。Gartner把SSE（Security Service Edge，安全服务边缘）定义为：“SSE可以保护对Web、云服务和私有应用程序的访问，无论用户的位置或他们正在使用的设备或该应用程序托管在哪里”。SSE提供驻留在云中的安全性，并将功能与物理位置分离。同时还包含可见性或数字体验管理。作为MQ（Magic Quadrant，魔力象限）新品类，值得关注。

XDR（Extended Detection and Response，扩展检测与响应）正从安全运营的成熟度曲线顶峰滚落，虽然从其技术框架和功能集上看，和SIEM（Security Information and Event Management，安全信息与事件管理）差异不大。但XDR对于实时检测，响应的及时性和有效性上更看重。一般认为XDR都是EDR厂商演进而来，对于检测响应，Telemetry信息至关重要，相比传统SIEM采集的各种主机、网络、云的日志信息，EDR采集的端侧信息更加精确，所以能高置信度的分析研判。除了精确信息采集，XDR/SIEM平台还强调自动化响应处置。Torq是一家初创公司，其技术为自动化安全操作提供了一种无代码方法，能连接所有基础架构环境中的所有应用程序和堆栈，包括Slack、Zoom和Microsoft Teams；并支持任何命令行界面或编程语言，以及容器化操作的编排。

攻击面管理一直是安全运营者的高优先级工作，其目的是帮助组织及时识别数字资产，提前有效预防和减轻遭受外部攻击的风险。当前，攻击面管理可以通过结合ISA（Infrastructure Sensitivity Analysis，基础设施敏感性分析）和BAS（Breach and Attack Simulation，入侵与攻击模拟）技术来更好地降低受攻击风险。

AI的广泛应用，使得AI模型本身的可信和安全成为关键。本次RSAC沙盒冠军HiddenLayer站在了风口，防护框架方面提出了MLDR（Machine Learning Detection and Response，机器学习检测与响应），复用了检测和响应的概念，给出面向企业的AI资产梳理、风险发现和检测响应比较系统、完整的方案。安全模型的可解释性和抗攻击能力，对于未来安全防护很关键。

Akamai的报告显示，针对API（Application Programming Interface，中文意为应用程序编程接口）的攻击在2022年又创了记录，API作为数字世界不同系统间的桥梁，针对它的防护越来越重要。目前行为分析是用于识别攻击和提高API安全性的主要方法之一，Akamai提出还可以在三个方面改进：在危机发生之前缓解新的或零日漏洞，实践安全代码开发，以及集成自动化安全控制来匹配攻击的速度。

敌对双方的舆论引导，以及钓鱼欺诈越来越多，需要对虚假信息的识别和传播进行检测。有时从内容很难判断真假，大会提到不真实信息的检测技术：找出传播行为、分享行为、以及影响力评估，发现协调一致行为。考虑到未来安全，人是最薄弱的因素，大语言AI模型生成钓鱼、欺诈邮件能力强，防止社工攻击最关键是要实时检测和发现虚假信息。

在后面的章节中，各华为安全领域专家会就RSAC2023大会中观察到的一些关键的安全产品/方案以及安全相关技术的趋势变化进行详细解读，以便大家更好地掌握和应对未来安全的变化。在巨大的不确定性和新技术变革浪潮下，安全始终要护航更美好的数字化时代：更多链接，更多分享，更多协同，产生更强大的生产力。