由绿盟科技承办的年度安全大会 RSAC 2016 昨日召开，会议主题为“连接-协同-防御”，由北京大学信息学院陈钟教授主持。下面是安全牛记者在现场的记录：

致辞部分

公安部网络安全保卫局赵林副局长在致辞中表示：

当今网络安全形势的几个重要变化，一是网络安全成为搏弈和区域合作的重要议题，包括中美、中英、中俄、中德，以及东盟上合组织、达沃斯论坛等都将网络安全作为重中之重的一个议题。同时这些区域性合作组织也把网络安全作为加强互信增进合作的重要抓手。所以网络安全问题已经远超出了一般层面的技术和产业发展，已经变成国与国之间斗争中合作的新领域，合作中斗争的新常态。

第二，互联网快速发展使网络安全不断面临新的挑战，甚至带来了颠覆性的影响。网络安全越来越像金字塔，BAT3占据金字塔的上方，大量创新企业在艰难起步。如何利用互联网的快速发展，加快网络安全不断的成长和进步，是未来的重要任务。相对于发展来讲，网络安全更需要给予更多的关注和支持。

我们常说“发展是硬道理，硬发展没道理”，但是我觉得网络安全就是要硬发展，否则生存会面临问题。

第三，是对网络社会概念的理解目前还不够全面和准确。从工作实践来看，网络空间虚拟社会并不能准确的表达网络社会的本质属性。网络是由人构成，具有复杂的社会属性，需要整个互联网行、IT行业都来关注网络社会的发展，网络安全是保障网络社会健康有序发展的守护神。

第四，网络犯罪日新月异，案件破获的难度越来越大。目前网络诈骗电信诈骗呈地域化和团伙化趋势，黑色产业链发挥着非常重要的帮手和作用，我们重打击轻防范的局面没有根本性改变。要发展我们自己的信息安全产业，就要走出去借鉴国外最新的理念技术。

计算学会计算机安全专业委员会严明主任在致辞中表示：

在计算机和计算机网络的研发推广应用的过程当中，我们必须承认，美国确实是我们信息安全和网络安全的老师。但在我们不断的学习实践和信息化建设当中，我们自己也在成长壮大。

“学生总是要毕业的，学生里面有一部分人将来可能是会要赶上甚至超过老师的。”

首先承认我们是学生，但是我们不想当那个总是被欺负的学生。特别是在我们的国家日益强大在我们走向中国梦的时候。

他山之石可以攻玉，重视学习，善于学习，是我们中华民族的优良传统。希望通过交流研讨国际网络与信息安全的新趋势、新技术的信息，为我国信息安全和网络安全的趋势动态和热点问题提供有价值的参考和借鉴。

绿盟科技副总裁黄一玲致辞：

RSAC前年的主题是新生，去年的主题是格局·机会和共赢，今年则是“连接·协同·防御”，这些主题凝聚了很多专家领导和同行企业的智慧。

“本次大会的主题反映了当前以及未来的科技趋势，任何行业未来都需要与安全连接，安全已经成为大安全的概念。”

演讲部分

一、《打破死环，迈向连接协同防御》
——绿盟科技首席技术官赵粮博士

为什么安全事件频发

成本太高？不是，投入巨资的非常强大的安全系统，也照样被入侵，塔吉特就是典型的例子。安全团队消极怠工？不是，一些的响应人员都在疲于奔命。设备功能不够？不是，每次安全事件中都有各种触发告警。是后果不严重？不是，CEO、CIO都有辞职的。

一个可能的原因，情报不足或者误判。在企业IT安全运营中告警是非常多的，诸多的网络安全事件把安全管理员淹没。但这是真正的原因吗？

把眼光放大一些，当一个有着庞大业务和IT系统的机构成为攻击目标的时候，从攻击者的角度怎么看。塔吉特是通过第三方供应商的HVC系统实现入侵的。

有非常多的手段和方法来实施攻击，被攻击者很难进行全面的防御和覆盖。在中国实际的生活环境中，大部分人深受其害。比如，了解个人信息的垃圾电话。这意味着攻击者可以用非常低的成本获取目标访问权限的机会，并带来高回报。所以我们可以预见勒索软件会大规模爆发，因为个人隐私数据的大规模泄露和低成本的获得，这就是目前我们身处的大环境。无需高大上的技术和工具，或非常高的成本，就能实现攻击。

网络安全立法可能带来的负向激励

如果出现了网络安全事件会导致刑法处治，从客观的效果上来看会造成事实上的负向激励。攻防战场上有黑帽子和白帽子，灰色市场有几十万人和几百亿的收入，正当的安全从业者是几万人左右。如果存在直接被执法部门抓起来的可能的话，负向激励的效果不可避免。

攻击者会分析你的信息，以往都有哪些活动，然后精准的利用钓鱼攻击达到目的，这是一个非对称的战争。

就是每年发生的安全事件里99.9%都是利用的已知漏洞，这说明安全团队没有足够的资源实施漏洞的监控和升级剖析。

现在从管理层到整个技术层认可的一个事实，所有的网络安全体系是失败的，因此没有必要做100%的安全。既然一定会出现安全事件，最关键的就是出现事件以后怎么办。

比如发生安全事件后，如何通知监管机构、客户和公众，怎么做好沟通、控制风险。或是当出现安全问题的时候怎么去战略性的动员，以及达到消除威胁的目的。

“在当今的网际威胁场景下，业务必须具备网络攻击之下的复原力才能持续成长。提升事件响应能力对于复原力很关键。这是我们的使命，促使我们的平台持续创新，以帮助客户业务更智慧、有备无患、更有效的响应。”
—— 布鲁斯·施耐尔(Resilient Systems CEO)

攻击者是独立的，他需要作出攻击是否会成功而不会被抓起来的判断。如果攻击者非常顺畅的得到想要的东西，之后就会有更多的攻击发生，这是破窗效应。但如果我们开始调查分析这个事件，并通过升级相应的防御体系和检测体系，最后准确的找到出攻击源，把攻击者抓起来，就会迫使攻击者退出这个战场。

我们作为整个防御主体会屹立在战场。在碰到一系列的安全事件的时候，能不能充分地重视，能不能有效地调动信息资源、安全资源建立安全事件的样本，丰富我们的情报库和权限安全防护系统，这才是我们的主战场。我们想在实现大规模、普遍性，还可以接受成本的情况下作出这样的防御，我们别无选择。因此需要把大家联系在一起，实时的在线的，共同做好这个工作。

Connect to SYNC

要知道哪些是重要的，哪些是高的，哪些是弱的。还需要用自动化的系统做这个工作，不管是软件定义还是做所有的流程，都需要在线需要连接，只有连接才能被保护。

“以前的物理隔离是不成立的，或者说在某种程度上是不成立的，至少手机就可以联结在一起，最终我们是相互连接的一个生态。”

连接看起来那么自然但是又不那么自然，连还是不连是个问题。往前推五年，云计算很可能是一个阴谋，因为只要增加了联网的时间和次数，就增加了攻破防线的可能。但现在我们知道了，云计算是我国的战略，我们要提升我国IT发展和经济运行的效率，我们需要做的是搞好云计算的安全。

如何连接

我把它分为四个阶段：物理连接、业务逻辑、威胁情报和协同防御。物理隔离已经不再安全了，有好多通讯可以跨过隔离。我们需要把安全系统联结在一起，在这个基础上梳理安全业务，把工作日志、审计策略等各种各样的更新流水线化，在此基础上做好情报的分享。

我们要知道敌人在干什么，知道轻重缓急做好判断，把更多的生态要素拿进来放在一个战场上，一起迈向连接协同和防御，共同对抗我们的敌人。

我们需要充分利用人地云机四个要素，设计好在云中各种各样的能力和资源，克服在本地部署的设备，利用宝贵的专家资源，大力建设各种各样的安全系统情报系统和安全分析系统。在此基础上，把提供者和消费者时时联结在一起，把时间窗口降低到分钟级。

现在的攻防环境下，每个用户都可以变成一个贡献者，因为他可以起到网络威胁探针的作用，每个人即被保护也保护别人。我们现在要做的安全不外乎是这么一个原理，通过已知的风险和威胁看有哪些未知的风险，这是基本原理，问题是你有多少专家和系统资源做这个推导，你拥有多少已知。当我们这个生态有足够大的已知，并且能够调动足够多的资源，又比竞争对手更快、更有效、更低成本的话，就可以把他逐出战场。

我们在去年发布了一个安全防御体系，在这个体系上看到安全的消费者紧密的通过在线联系在一起，更多专家资源在这个平台上紧密的协作，我们叫连接已达成智能分享，连接响应已达到可运营的应用，希望大家组合在一起形成一个健康的生态环境，保护我们的互联网。

二、《从RSA看网络安全合作与协同》
——华为产品与解决方案网络安全办公室总监陈恺博士

讲到安全生态，就离不开合作和协同，生态建设是一个非常庞大、非常复杂的问题，我结合参加RSA以及过去工作的一些经验，给大家分享一下我的看法。

国内通过几年的参展，今年参会的人数和级别达到了一定程度的规模，而且水平也是在逐步走高。另外讲到安全的合作协同和攻防现实，大家都很清楚，攻击和防护是非对称的态势。

攻防的不对称性

从技术角度来看，网络的攻防是不平衡的。因为网络安全总是基于风险或者是威胁来做防护的，只有新的风险或者新的威胁，防护方才会做研究，才会开发新的技术和解决方案，去部署防护措施。因此从这个角度上看，防护永远跟着攻击走，至少是慢半拍的。

从经济角度看，攻击的收益是确定的。当黑客做一件事的时候，他是知道这件事的收益在哪儿，通过什么获利等。即便早期的黑客喜欢炫耀技术，但这也是一种收益。从防护者的角度来看攻击者的收益是概念性的，这时我们的防护工作是被动的，或者有侥幸和惰性心理在里面，导致防护是不平衡的。

还有攻击面的问题，对于防护来说，方方面面都要注意到。但对于攻击者来说，由于目标明确，他知道你有防火墙，IPS等，就会想方设法绕过各种各样的防护，比如社工，这也是不平衡。

最后是合作，黑色产业链的合作和建设，的确比我们防护层面生态链的建设友好的多，体制要完善的多。

“单纯的防护是无效的，将来更应该在检测技术上做投入，2020年检测方面的投入在网络安全防护上要占到60%，这是一个趋势。”

安全生态建设的迫切性

不管是政府还有产业界，都已经迫切的意识到要建立安全合作的平台或者一个健康的安全生态。我们不仅要从技术产品、解决方案等技术层面协同和合作，另外还要从个人企业、政府，从用户到提供方还有防护方，来构建一个安全的生态圈，信息的共享是非常重要的。

安全合作和协同面临的挑战

一是安全技术和产品的管制。从全球来看，各个国家尤其是先进国家在安全技术产品服务有着各种各样的管制策略。既然网络安全威胁是全球化的，那么生态建设也应该全球一致协同。但是国家管制给产业界带来了障碍，比如美国的密码技术管制，欧洲进出口的管制等等。

另一个方面是知识产权问题。是不是要分享，分享出去以后权益怎么保护等。第三是渠道和平台的问题，各种各样的安全联盟和产业组织都在建立，那么各个公司的利益、诉求以及权利义务的确定，是非常复杂辛苦的一个过程。如果有的公司只吸收不贡献，慢慢地只要有一家这样做，另外几家热情也没有了，这是平台和渠道的问题。

政策法规和国际政治平衡的问题。从全球国际层面来讲，各个国家如何平衡合作是一个难题。大家都在讲国际网络空间的治理，但到底应该是什么样的体制还不清楚。这样的事情，对跨国公司来说影响是非常大的。到现在也看不到一个国际上的统一准则，中国联合俄罗斯等几个国家，在联合国已经做了好几次的提案，目前是没有结果。

另外是企业和企业，以及企业和政府之间的合作。因为网络空间是密不可分的，经济安全国家安全，军事安全、科技文化方方面面都会涉及。国家一定要管制，这方面的法律规定等安全合规企业一定要遵循，而且是应尽的义务。但安全合作需要一个大的战略，涉及到企业相互之间的利益，国家与国家的平衡，政府与企业之间的配合和管制等。

作为一个企业，在合作或协同的过程中，心态应该是开放的。当然作为一个企业来说，一定要在核心业务上掌控自己的主动权，要控制合作过程中在这方面的主导。但同时为了合作和协同，还要创造更多的条件，如业务合作渠道，技术上开放接口，对合作伙伴的培训支持等。如英特尔和微软，就是围绕自己的核心产品做第三方开源东西并开放一些标准和协议，以及对合作伙伴的培训和支持。

融合与转变

华为最早是一个通信厂商，通信行业过往是一个相对封闭，而且是一个管理非常严密和严格管控的体系，而且客户相对来说也跟IT产业的客户不一样。但两者正在融合合转变，通信也在IT化，IT也离不开通信。在IT上有互联网，而合作方的客户我不知道是谁，即便是云服务商面对客户的问题也控制不了。因此，如果你是一个安全供应商，一个合作伙伴，你应该在你的安全的合作、开发、运营的过程中应该要有转变。

华为的企业宗旨是开放合作共赢，我们从一个通信厂商往ICT厂商转变，就要转变企业运作的思维模式，要跟大家建立各种合作，合作共赢是一个大的方向。

三、《中美威胁情报发展浅析》
——微步在线CEO薛锋

微步在线是做威胁分析的，是基于SaaS的分析，不做任何硬件和软件。

在我们眼中，真正的威胁情报应该是这样的：

左上方代表木马病毒，右边是对网络空间的探索，域名IP和行为，下面是关联。这个东西在实战过程中，可能比炫丽的地图炮更有用一些。

每一次网络攻击里少不了这几个元素，比如文件，木马文件或者正常的PDF文档，域名IP、邮件等。在一个典型攻击里别人发一个Word文档，连了一个域名，这个域名是由哪个邮件注册的，这个域名有多少子域名，过去每一天IP怎么变化等，这些信息在网络安全应急响应中，在破案溯源过程中起到非常重要的作用。

我的理解，威胁情报主要是干三件事，检测、响应和溯源。首先是检测，迅速发现问题，然后尽快作出响应，最后在响应过程中围绕相应的信息进行溯源。

这是一个比较典型的威胁情报框架，情报在生成之后跟其他的设备产生联动，在客户那儿进行检测报警，客户在采取行动的时候能从其他地方得到一些上下文，能看到这个域名属于哪个黑客团伙，最后作出决策并采取行动。

威胁情报生态的分类

分三类，一类是做威胁情报，自己没有设备，但是生产威胁情报。最典型的代表是FireEye收购的Mandiant，这个公司做出的情报就是给其他厂商用。另一类有很多公司，包括防火墙厂商，它起到商店的作用，他自己不生产威胁情报，但在他的平台上可以买到各种各样的经其认可的威胁情报。最后一类是最终用户，如企业或者政府。

国内一些金融机构和互联网公司也逐渐开始拥抱威胁情报，国内像BAT、携程等互联网公司成立了威胁情报奖励计划，来收集与自身相关的威胁情报。可能互联网客户和金融客户更重视业务安全，搞清谁是黑产，哪个手机号是羊毛党的，胜过网络安全本身的帮助。

威胁情报的连接与协同

威胁情报技术天生连接各种各样的人、设备和安全方案，但威胁情报并不会替代任何一个过去已有的安全产品，不管是防火墙、杀毒软件、WAF还是IDS。有了威胁情报可以更快更强更高的提升检测效率。Gartner提出以I打头的概念，情报驱动，这是一种新的产业升级过程。

RSAC的趋势，这是所有参展公司的数据。蓝色的是合规，红色的是威胁。可以看到威胁不断在攀升，合规一直在掉。

威胁情报的共识

第一点是数据。大家基本上认可数据量越大越好，另外还有一些不是那么明显和直观的，比如数据的多样化，是本地的还是云端的，是省区的还是全球的，以及关联性、准确性和时效性等。

然后是可操作性，这是区分什么是情报什么是八卦最基本的标准。有人曾你说被黑了没用，关键是得解决这个问题如果只会说你被黑了这只是八卦，但如果他说你哪台电脑上存在什么文件连了什么东西这种非常具体的信息，知道之后可以马上验证，这是情报。

另外一个共识，IOC(威胁情报指标)不等于威胁情报。比如说域名、木马和黑名单没有什么区别，真正的区别在于，如果有人告诉你某个域名是哪个组织使用，是干什么事情的，还能告诉你这个域名跟其他的木马有什么关系，对客户来说才有更大的价值，不仅仅是一个黑名单。

美国威胁情报资本市场

这个表格里面列了美国50%到70%的作威胁情报的公司，公司成立时间长的有七八年，短的有两三年，基本融资在B轮C轮，额度是两千万到一个亿美金。但中国专注做威胁情报的企业非常少，因此从资本市场来看，国内能看懂威胁情报的投资机构还是比较少的。

威胁情报的共享体系

美国的共享体系分的比较细，做的最好是美国金融体系共享机构，还有IT和ICS系统的共享体系。这一点跟国内类似，威胁情报的交流和共享很大程度是刷脸的工作。不会因为你去美国政府或者去大公司就给你威胁情报，即便是创业或者竞争对手有些情报也可以共享，这是很好的精神。

有些人提出威胁情报的共享往往是以不图短期回报为目的的，这是一个长期性的社区建设工作，这里面信任起到非常大的作用。欧洲也有一些组织和机构，只不过没有美国活跃。希望在国内以后也会有威胁情报共享的机制，但是因为一些复杂的原因，这里要打一个问号……

—-抱歉的分割线—-

由于时间和精力的原因，此次RSAC研讨会，只记录了领导致辞和前三位演讲嘉宾的发言，后继的四个精彩报告，安全牛将在日后奉上，以飨读者。