由绿盟科技承办的RSAC2015热点研讨会(第七届)昨日召开。研讨会是干什么的?提出观点、总结经验、分享思想,因此本报道不说套话,不写八股,下面是安全牛为没有出席会议或出席会议但还想重温精彩内容的朋友整理出来的精彩内容:
中央网信办网络安全协调局领导致辞
单立坡副局长
我们每年到美国去参加RSAC大会,了解关于信息技术和网络安全技术的新发展,新趋势后回来研讨,已经形成了一个非常好的模式。对我们的技术,对我们的产业发展,都起到了非常好的作用。RSAC研讨会要长久的办下去,让它变成一个凝聚我们网络安全技术界,产业界,凝聚产学研各个方面的一个重要平台!
公安部网络安全保卫局领导致辞
郭启全总工程师
一、关于格局
我国网络安全的形势异常严峻,面临着的危险和挑战,对此我们要有清醒的认识,中国人爱好和平,愿意在网络空间和世界大国加强合作,管控分歧,但不怕威胁和恐吓,从来都不怕……
二、关于机遇
建立了中美、中欧的网络对话机制,加强和中俄合作,为网络安全发展提供了有利的外部环境;中央做出了重大决策部署,制定了大的发展和网络发展路线;国力增强,国家整体实力增加;外交部、发改委、工信部、公安部等部门密切配合,重点行业部门、企业和媒体全力支持,使全社会网络安全意识全面增高。
三、关于共赢
公安部的定位:公安部是国家网络安全监管部门,不是主管部门,是干活的,也是在这个领域的主力部队之一。
信息安全治理保护:国家将进一步完善信息安全等级保护制度……近十年在各部门,各单位,专家和企业的大力配合和支持下,我们国家的等级保护制度得到广泛的认可和实施。
网络安全信息通报工作:国家建立了网络安全信息通报机制,成立了相关的队伍,我们要在中央网信办的统筹下、指导下,共同建好网络空间的信息共享和信息通报具体工作。
近期有一些企业频繁在网上,在自己的平台上发布一些漏洞,发布一些部门系统的信息遭泄露,或者大规模泄露的风险……请企业发布国家某些重要行业领域和系统有关漏洞信息的时候,要顾及影响。如果漏洞公布出来之后会对国家重点系统,关键基础设施产生重大威胁,是帮国家还是害国家呢?
网络安全事件事故:如果发生网络安全事件事故,要报国家的主管部门,行业的主管部门和有关的职能部门,还要报公安机关。公安部门得去调查、侦查,和定性。否则怎么知道是案件、事件,还是事故?,如果是攻击、破坏或犯罪,你把证据都给毁坏了,那我们怎么打击和抓捕犯罪分子?
网络安全保障工作考核:中央要对地方党委政府的网络安全保护工作进行考核,中央综治办把这个任务交给了公安部。做得好加分,不好减分。
智慧城市网络安全工作:有些城市重视安全,有的城市根本不知道什么是网络安全。针对这种情况,中央网信办、公安部、发改委三家共同研究,出台一些指导性的意见、标准,再建立督导组,对我们的大系统,大平台,大数据有所保障,避免威胁社会公众安全。
网络安全执法大检查:从5月中旬到8月中旬,开展为期三个月的安全大检查,请重要行业的部门配合和支持,请企业支持,发现问题及时督促整改。少让我们的大数据被境外掏走,少让我们的公民信息被不法分子偷走……电信诈骗层出不穷的根源就是不法分子盗窃公民信息,然后卖诈骗团伙,我们要刨根。
中国计算机学会领导致辞
计算机安全专业委员会严明主任
我们已经取得了一定的进展,但是还有很大的差距,我们还要继续追赶,直到真正成为我们心目当中要建设完成的网络安全强国,实现中华复兴梦!
绿盟科技科技总裁致辞
沈继业
希望在国际上有一些自己的声音和地位,希望每个人在今天下午得到收获!
美国信息安全产业结构层次及对我们的启示
安天实验室首席技术架构师肖新光
美国的基础厂商门类非常齐全,基本上覆盖了信息技术和服务所有关键领域,同时又是这些领域的领导者。
在美国政府与开放型市场领域厂商之间,构筑了一个非常有效的中间层,这些厂商并不长于在开放型市场领域中高通用化产品,他们长于专有技术,长于情报分析和整合,他们本身起到了既保证美国政府有一定的垄断能力,同时又避免了这些业务数据外泄的可能性。这一非常清晰的设计,使美国的通用安全厂商和政府之间存在着一个先天业务边界,从而使他们避免了完全被美国政府绑定,而影响到他们去逐鹿全球市场。
美国这种安全厂商,可以划分成几个大的类型,一类就是从这种偏重于主机与系统安全的,这里包括了传统的杀毒,或者白名单这些厂商。另外一个领域是以网络设备,以流量上的安全为主导,包括一些外部防火墙的厂商的跟进。还有一些专门性的领域,包括大数据分析,包括存储和云服务中的安全,包括顾问与咨询,包括加密,这里面就构成了一个综合的体系。
从2010年开始,网络安全产业进入了一个大并购的趋势,在形成这种产业整合的同时,进一步强化了美国整个信息安全技术,与信息化整合的趋势。在这样的一个对于独立安全厂商和创新团队的持续并购中,由于非常尊重技术和人才的价值,使它成为上市以外的网络安全创业团队的变现和财务自由的通道,同时在新体系中找到应用的空间和更大的舞台。这样一种比较良性的操作,实际上是鼓励了大体系中的从业者出来发起创业公司,之后这个创业公司现被大体系收购,从而形成了由内部的大体系稳定发展,外部持续创新迭代的良好循环。
当前依然是中国网络安全产业非常艰难的时刻。中国网络安全技术的创新主体依然在民企,这些企业处于国家队和互联网寡头的夹缝之中。一定程度上国有企业基本上对接了全部的安全预算和安全需求,而同时互联网厂商垄断了大部分的人才……当前的互联网厂商在一定程度上成为独立安全厂商融资的一个重要平台。
非常致命的一点,网络安全企业的战略价值和经济价值不匹配的问题依然难以解决。网络安全有非常著名的50万魔咒,就是网络安全厂商很难突破人均年产值50万的瓶颈。想要实现突破,很大程度上是需要国家所带来基础环境的变革,其中重要的是安全观念的转变。我们国家整体安全观念是否能从简单边界的安全观念,转变成国土安全观念,再到全球安全纵深能力的转变,从治理主导向博弈主导转变。如何让中国网络安全厂商快速发展,成为中国信息化保障,成为中国向全球进取的安全保障,这些是我带来的一些问题和不成熟的思考。
智慧安全:基于数据和情报的对抗
绿盟科技首席技术官赵粮博士
为什么提出攻击链?网络安全攻防在成本这一方面,攻击方占了明显的优势,防护方处于劣势。“最低价”采购,管理层不懂行,行为受限等。而且攻击者在暗处,防护者在明处,攻击者可以搜索到他的管理源是谁。在攻击链有这么几个思想,攻击者是有一步一步的步骤,所以要做一个建模,这个建模是结构性的,先做什么,后做什么,在这个模型当中,如果防御者可以比较清楚的知道现在处于什么阶段,做到了哪一步,防御者可以相应的采取一些措施,攻击者每次多做一次尝试,就会增加一次暴露的可能,这个过程将会演化成为攻击者和防守者检测,以及相应的调整战场部署的变化。
中国应该大规模通过自动化的手段,提高自身的力量和速度。力量就是各种能力,一个战场上面两个攻击链的侦查。第二个就是武器化,武器有没有库,你能不能看到武器。还有投掷,你发现一个武器正在投掷,通过电子邮件在投掷,你能不能现场做相应的调整,或者我在快速进行流量的记录和分析,如果你做不到,几个小时时间就过去了,这个时候就加强自己的力量和速度,从本质上提高自己的速度,提高自己的能力,还包括资产名到IP地址,可以切换“环境”。还有公开声明支持攻击链的模型,比如说检测这个报告,检测这个攻击,于是这些指标体系怎么建立,于是很多运营单位,或者是安全的防护单位,他们都以分享同时能够跟踪多少个IOC,然后IOC的位置,建立防护者的智能库,作为他们自己的闪光点,这个形成了一个非常好的态势。
定向和广谱的攻击长期持续并存,没有100%的安全,守方注定会遭遇“失败”。做一个简单的推理,守方有三个能力必须具备,第一个是实时曝光能力,假如他是侦查你的,你能够看到,能够去检查它。第二个你要有全局和视野,以及态势判断能力。第三个是有实时调度和部署能力。
市场没有无缘无故的爱,也没有无缘无故的恨,攻方有经济和市场上的需求,如果不想获得,就离开这个市场。比如说获得了一个帐号,一个卡号大概几美元,他是没法赚钱的,这个有什么启发?如果我们能够阻断,让它无法出卖软件数据,整体上我们就获胜了,因为攻击方没法获利,于是最后会退出。
去年4月7日的心脏出血漏洞披露,通过大量的微博和微信,还有各种各样的社交媒体,通知我们的防御主体,同时还要对这些评估,到底影响了多大的范围和严重性。哪些工具要更新,哪些已经更新了……现在这个过程是非常低效的,是口口相传的,是通过短信、邮件的,不能支持全国范围的更大规模,我们希望在这个过程中,应该建立起分享机制,建立大规模使用互联网技术形成自动化的过程。
创造机会:围绕业务的安全生态
阿里集团安全部技术副总裁杜跃进博士
安全需要更加贴近业务:互联网+意味着越来越多的传统行业和传统生产模式,会变成一种全新的生产模式,从而过去构筑的很多安全的东西全垮掉了,过去很多本来根本不存在的安全问题全部出来了……很多互联网企业都有非常独特的地方,但是这个特点将来应该是共性。
安全需要以保障业务为目标:不是为了安全而安全,为了你的业务更顺畅,你的经济效益更好,你就得深入了解业务。原来我们做风险评估的时候,有一类风险叫业务逻辑风险,只有对业务非常懂的人才能做,我们可以看到业务逻辑的风险会比原来大得非常多。更好的安全是什么?如果从业务的角度来出发,更好的安全是看不见的安全……多多利用后台数据和知识,才可以做到。
机会:对于中国的安全行业来说,可能的思路之一,就是借助业务的拓展来带动安全。一带一路是我们国家的计划,会带领着我们很多业务走出去。在今天互联网+的模式下,所带来的安全需求也会非常大,我们的安全也会借着这个机会走出去。只是往外走的时候不一定是过去的模式。
安全生态的构建:阿里试图建立一个应用层面的安全生态。过去我也讲安全环境,域名不安全,物流不安全,技术网络瘫痪而带来的问题,而今天我说它是基础层面的,我们要做到应用层面的安全。生态不是一两个环节来建立的,需要方方面面的努力,需要转型,需要有更多深入的融合,共同来构建这个生态,大家都变成生态的一部分,可能才是未来的出路。
格局:格局决定了我们的发展空间。在国外尤其是美国,生态环境非常好,这些安全企业 之间和巨头之间都可以有非常好的合作关系,可以有非常激烈的竞争……安全是剑和盾,任何一个团队的剑不应该指向安全公司、互联网公司,应该指向攻击者和犯罪分子。我们的盾不应该是阻隔我们之间的,应该是保护用户的。你的心足够大,格局才会足够大,格局足够大,你的空间才会足够大。想要改变中国这边的格局和眼界,不那么容易,需要大家不断的努力,需要在座的各位不断去影响其他的人,我们要大气一些,我们要有更大的格局,更高的视野,我们要合作起来,才有可能实现。
人人都知道大数据,这个大数据实在太大了,阿里都受不了,要尽量把最好的送上来才能分析。但体制内的数据打通就是一个极难的事情,产业界也不容易。我们还有很多的陋习需要慢慢来改变,比如说不尊重原始的创新和创造,不尊重别人的贡献,我们先从安全提升起来,将来才能更好的携手共赢的可能。
安全国际化的挑战与机会
华为企业网络产品线首席安全架构师钱晓斌
国际化:从国际化的观点来看,一个公司到了一定的程度,要想快速发展,不仅仅是技术层面的事情,可能要在资源层面有一些突破。华为把思科作为对标友商,他的布局跟我们很相似,但安全我们跟他们有很大的不同。思科是一个上市公司,他有足够的资本杠杆来去整合相关的资源,进入快速的发展阶段。通过收购等一系列的运作,可以快速把能力从0提到领先,并在短期之内迅速固定起来,结合原先的优势,迅速对抗其他的公司,甚至打击产业中的竞争对手。
知识产权:在国外经常利用标准来对专利进行推广,来通过这种模式来维护提案人的利益自主可控。我们手里是否有足够的知识产权能够保护自己?这里面的游戏规则非常复杂,一旦站到前端触碰到了对方的利益,你要花很大的代价,很多并购案花了几十亿美金,很大的一部分就是用来收购专利……如果我们要走国际化的发展之路,必定要极早布局专利的问题,并在标准上多做工作。
国际化的机会:可能安全这个市场从全面的红海,有局部变成蓝海的可能性,因为技术和产品形态在不断的变化,以及我们使用安全和对安全的理解在不断的变化。所以市场的空间潜力还是非常巨大的,可能存在着井喷……我们做国际化的市场发展,一带一路这个战略很好指示了我们拓展的方向,可能就是往中亚这条线。提高我们产品服务能力,最终还是有很多的机会。从安全协作性来看,对产品技术服务也提出了同样的要求。你的协作能力要全球化,其背后带来的就是你的安全能力要全球化,否则达不到全球化的要求。所以要在海外设置机构,在当地建立数据采集点,把技术服务跟响应的团队构建在一起,形成全球的结构。包括威胁情报,产品方案的协作,还有云模式的协作。在全球协作的前景下,大家都会选择最有利于自己成长的方向去发展,从而更有利于差异化的呈现,所以这里面有更多的机会。
安全人才的问题:我们各个领域,各个层面对安全人才都非常匮乏。安全实操的人少,有战略思维的高端性人才,或者说顶尖技术人才更少……另外是结构失衡,渗透攻击者多,安全防御者少,工具使用者多,工具研发人少,漏洞利用者多,漏洞挖掘者少,利益驱动者多,理念驱动者少。还有就是整个人才使用和培养机制是比较落后的,基本上学校里面很难培养去符合岗位的安全人才,另外也缺少一些良好技能鉴定机制,很多安全人员靠江湖口碑成就自己的地位。
美国信息安全产业的技术合作
山石网科首席技术官刘向明博士
技术和方案上的合作:一般不涉及到技术的交换,彼此原代码还是自己的,公开一个接口,双方通过接口进行合作。实际上达到一个目的,把双方可以接触到的客户,和给客户提供的方案增加了,从而增加了更多的市场,可能各个公司都会有技术和方案上合作的伙伴。
技术授权:通过技术授权,能够将一些模块拿过来,很快推出产品。还有一种授权的原因,有一些纵向市场,可能开发成本比较高,有一些政府和军工进不了。通过授权给市场上相对比较成熟的厂商,可以更加容易去开发。区域也是一样,有一些国外的安全厂商没法进入中国的市场,但可以把他的产品或者技术卖给另外一家公司,以在中国形成一定的销售。
兼并和收购:从兼并和收购的趋势来说,我们看到传统非安全的厂商通过收购增强他们的安全能力。在美国如果以收入来把前20的空间安全厂商给列下来,实际上前几名都不是针对网络安全。
协会和联盟:实际上在美国协会和联盟并不是特别强势,但会在协议制定方面起到非常重要的作用。在美国安全相关的联盟和协会,相对来说没有特别大的。但这个产业的凝聚力是来自于一些非常有影响力的会议,比如说RSA,Blackhat,所有大厂商都会在一起去提出问题和解决问题。
分析机构:在美国的安全领域里,有一个面对客户的路子,也有一个面对厂商的路子。通过这种结合对客户提供了一个相当于专家的角色,用户要购买新的设备,可以通过专家得到一个相对公正的解答。另外一个方面,正因为有众多客户的资源,对厂商来说也是非常有意义的,一般厂商利用这些分析机构来讨论公司和市场的策略。现在在网络安全领域,NGFW都是厂商联合的分析机构去推出的。这就涉及到分析机构的独立性,大家有一定的疑虑,像一些大的厂商每年给分析机构的钱是非常多,有一些报告是专门和分析机构一起写的,这个独立性如何去保证?从客户的角度来说,至少在美国的客户角度,他认为这个分析机构相对来说是比较公正的。
创新沙盒产品技术分析
启明星辰副总裁毕学尧博士
今年创新沙盒入围的公司有十家,其中大数据安全分析,还有终端安全占了差不多一半。其他的有测试、公共安全、身份认证、源代码审计和应用安全。
应用安全:创新沙盒得第一名的公司,是做应用安全的Waratek。它的贡献是在报告虚拟补丁上面增加了一个安全的容器。它的技术路线主要参照了一种新的应用安全理念叫RASP。在对应用的逻辑、流程和弱点,都不熟悉的情况下,用一个独立的安全设备去保护应用安全,是做不好的。必须要在应用开发过程当中,介入到应用的运行和开发,才能把这个应用安全真正做好。
机器学习和流量分析:从网络上提取源数据进行分析、检测和可视化处理。对分析的结果并不直接判断这个报警是不是有攻击,而是对每个报警进行可信度和威胁度的量化,供管理员或者分析员进一步进行分析。采集的数据源是操作系统的日志和应用软件的日志,把这两个集中起来进行分析,重点去解决内部的攻击,特别是攻击已经到达服务器上,进行一些提前操作。
工控安全:这也是一个热点。工控安全的特点是不大允许主动去探测跟扫描,因为传统的扫描可能把工控系统扫坏,影响比较大,所以一般采用被动分析。目前也用到了大数据的一些分析方法,可以识别公共网络里面访问的异常,通过建模和异常的定位,最后也是能引导分析,发现潜在的一些安全威胁。
众测管理平台:一万多名安全研究人员在平台上注册,这些人对不同的操作系统,不同的应用都有所研究,各有特长。一旦接到渗透测试的用户需求以后,可以进行在线的测试,并能做到按测试的效果收费。这种方式和传统的渗透测试有很大的区别,包括安全公司能做渗透测试的人和能力都是非常有限的,通过互联网相当于把这个能力放大增强了。
源代码安全审计:这种工具在市场上有不少,它的特色是可以对代码当中的漏洞进行比较准确的定位,漏报率要低,目前可以满足源代码安全审计的标准,这也是一个方向。对于应用安全的广泛比较有效的就是渗透测试和源代码审计,这两个都是很大程度上依赖于人的工作,把它工具化,能够做到准确可用,是一种新的发展方向,也是很有意义的。
通过比较去年和今年的创新沙盒公司,我们可以看到目前大数据的分析成为初创公司研究的一个热点,特别是机器学习在分析当中的应用研究得比较多。把客户的日志,包括数据汇总到云端共享是产生情报的重点场景,众包模式在网络安全服务当中也在不断的产生应用。
从RSAC2015看安全发展趋势
百度云安全资深行业分析师张峰
盒子话题:中国IT安全市场的数据,目前来讲安全硬件占的比例还是超过一半。好多用户购买的需求,如果不是盒子,感觉不是那么可靠。
移动安全:百度截止到目前从移动端带来的收入已经超过50%,所以不是说意识到移动安全的重要,而是发挥了实实在在的作用。另外云安全也已经非常成熟了,大家讨论这种成熟的云安全,还是移动安全。
物联网安全:互联网即将消失,“物联网无所不能”,说这句话的是谷歌执行董事长斯密特……埃森哲预计到2030年,物联网将为全球创造新产值14.2万亿美元。在将来的物联网上,有70%的终端都会存在安全的隐患……京东、小米,豌豆颊,美丽说,以及超过80、90%以上的互联网公司,在安全宝做渗透服务的时候,得到的统计数据,有82%的公司是存在高危漏洞的。
而且这里面还存在着三个前提,第一个前提就是说这些互联网公司都已经有钱,在IT上还是比较舍得投入的。第二个前提,这些互联网公司还是有专门的安全人员,稍微大一点的公司还会有一个安全团队。第三个前提是我们在进行渗透测试的时候,渗透服务的时候,还是事先通知了客户,事先有授权。
所以基于这三个前提下,我们仍然得到了82%互联网公司存在着高危漏洞。所以我们认为目前互联网的安全既使在收入比较重视的情况下,也是一个非常严重的话题,所以将来的物联网可能会存在更大的机会。
谈谈RSA会议的变迁和参会者的困惑
中科院DCS中心翟起滨教授
RSA会议是由民间志士挑战政府的会议,这种挑战带来了麻烦,同时也带来了光明。RSA的产品不断的出来,得到了民间很多的赞扬……美国信息革命都是一些民间人推进的。
为什么美国的企业总是很强势,符合一种自然形态,就是说NAS觉得损害国家利益的,你用法律来说,只要符合美国的法律,我就可以干。
RSA进入中国是2010年,我做了很多的工作,跟相关部门谈,搞一个小的论坛,人员不超过300人,开的第二年很有意见,第三年就不好办了,跑到成都开……最后他们不到中国办了,到新加坡了。
RSA会议慢慢变味,一直到后来政府进行干预。尤其是911以后,09年美国NSA局长亚历山大做了一个演讲,他说演讲之前迟到了两分钟,因为刚接到一个电话,说纽约整个金融机构被黑客给攻陷了,然后说这个攻击源是北京。这些人攻击中国就是个口头禅,不经过脑子来思索。
RSA会议我连续参加了20次,从1991年起,可能打造了连续参加RSA的我国民间新纪录。
实际上也有很多国际友人,对中国是非常友好的。ArthurCoviello曾经几次会议上讲,说中国管理IT业的部长是很到位的,因为他很懂。他说美国的颜色革命针对中国是不应该的……2011年美国搞了一个听证会,赛门铁克和迈克菲都来作证,锁定攻击源的时候,EMC说在中国的情况很复杂,说不要给出这样一些断定。他的目的是向中国政府传递一个信息,玩网络的攻击不是容易玩的,尤其跟美国人玩,得有一定的技术。第二,你要相信美国有些人对中国还是很友好的,有些事情要收敛一下。
2014年Mandiant很猖狂,说所谓黑客的国家是中国,攻击源就锁定中国。2014年RSA会议第一天中午12点,这些人在一起,就是美国情报局长,还有克拉克,就谈斯诺登的事件,特别提了华为,华为的产品和军队的后门。
我们必须思考一个问题,我们的企业将RSA会议作为走出国门开拓国际市场的首选视角是不是恰当?如果恰当,我们应该做些什么?我们没有话语权,只有展出产品的权利,360的杀毒软件那么好,一装上了,一会儿说你这个有问题,一会儿说那个有问题,你要想到国际上竞争,就要拿出好的品牌。时间不够,我就讲这些。
主持人宣布会议结束
北大信息学院计算机系主任陈钟
我们探讨了很多,甚至有很犀利的对抗,但是我想还是记住中国和美国两位老大:习主席讲了中国和美国是建立新型大国关系,奥巴马也表示出了美国欢迎中国的和平崛起,在这样一个大的框架下,我们的信息安全产业怎么去发展,的确有很多值得我们去思考的事情。我们的企业要走出去,在RSA大会里也在逐渐扩大我们的影响。所以最终希望大家发挥我们的个人智慧,集体的智慧,行业的力量,在我们的政府有效的各项支持政策鼓励和保证下,把我们整个产业能够推进成为世界能够认可,能够有发展的信息安全的产业。
再次感谢大家!
(演讲全套资料下载)
