昨日，网络安全与信息化产业联盟和360共同主办的“数据的力量——全球领先安全技术分享会”在京召开。会议由联盟副秘书长王克主持，中央网信办信息化发展局副处长张会新与联盟理事长于晴女士为大会致辞。

演讲人一共8个，内容全部以RSA作引，围绕威胁情报进行阐述和讲解。

一、《初心》
——360集团副总裁、360企业安全总工谭晓生

“保持一颗初心非常重要，安全圈的人，面临的诱惑和挑战非常巨大。”

RSA感想

谭晓生表示，RSA已经25年，从中可以看到安全产业、产品、技术的各种变化，但“变化的是形势，不变的是初心。”而且，RSA让人非常佩服的就是对整个产业脉络的把握非常准确。如公开承认“攻防不对等”和“防护失效”。

安全产品的深化趋势，从防护到检测，再到响应，是一种务实的“退而求其次”。安全市场越来越细分，国内同质化竞争太过，美国则呈现出繁荣的细分市场。

1. 衰弱的BYOD

此外，谭晓生还尝试解释了曾经风光一时的领域BYOD的衰弱原因。他认为，创新肯定会有大量的失败。Gartner的分析师认为，BYOD的市场之所以没起来，是因为“企业应用的基于消息流传的”，而BYOD安全对于这种流传产生的价值不大。但同时也认为，BYOD的需求客观存在，只是可能会以一种新的面孔出现。

2. 终端安全强势回归

“终端只是采集点，重要的是基于终端应用程序行为分析。”

除了传统的终端王牌厂商，还涌现了大量终端安全新厂商。如：Tanium/SecureANy/Cylance/CrowdStrike/Bit9+CarbonBlack等。终端安全的发展属于螺旋式上升趋势，现阶段大数据是驱动力。

3. 无人不谈威胁情报

都在与威胁情报有关，要么自己生产威胁情报，要么声称自己的产品已经接入了威胁情报。威胁情报的作用和发展毋庸置疑，但离真成熟的市场化还有一段距离。

4. 对创新的重视

表现在参加创新沙盒的公司有大幅度的增加，业界非常重视创新产品，并不断的产生颠覆。墨守成规的做法可能真得不行了，美国这些年来的发展对我们有很大的参考价值。

一边是海水，一边是火焰

谈到国内的网络安全行业，谭总用了这个很有意思的比喻。

火焰是：

RSAC参会人数创新高
习总的“没有网络安全，就没有国家安全”
国家网信办成立
网络空间安全协会成立
互联网公司千万级年薪挖网络安全人才
黑产从业者都想洗白
网络安全创投火热
漏洞价格飞涨

海水是：

安全防御体系失效
网络安全企业收入与利润的压力
互联网公司从安全公司抢人
恶性竞争
网络安全服务单价依然上不去
安全研究与现行法律冲突
国内安全企业间很难合作

信息安全企业与安全研究人员的定位

军火供应商？
军队？
保安公司？
黑帮？
江洋大盗？
杀手？
侠客？
大内高手？
军人？

“我入行时就做了判断，这个行业就是保安，收入来自于企业营利的N分之一，这个行业是有天花板的，注定是不会有暴利的。要有这样的初心，安全才能做的长久。”

安全工作的本质是保障客户业务正常运行，支持客户降低运行成本，在尽可能低的安全开销下，最好不要发生安全威胁，万一发生了，则要尽快恢复业务，而且成本要负担的起。

不忘初心，方得始终。

（谭总之前的一篇RSA感想：《进化：RSAC 2016随笔》）

二、《从Diffie-Hellman 获得图灵奖谈起》
——国家重点实验室翟起滨教授

翟教授的演讲内容，在两天前绿盟的 RSAC 2016上就讲过。以下是几个关键点：

民间创造力无限、鼓励年轻人创新、政府要跟上发展的新形势、习主席接见网络安全企业代表……

这个世界真得在改变！

三、《威胁情报在金融行业的应用》
——民生银行信息科技部总经理助理吕晓强

一、RSA大会随想

吕晓强先是对RSA近几年的主题进行了回顾，2013年：掌控数据保护世界，2014年：分享·学习·保护–利用集体智慧，2015年：改变–挑战当今的安全理念，2016年是连接保护。

“虽然现在安全问题的突出对于厂商来说是个机会，但对用户方来说压力会大。”

“不同意安全防御是个失败的战略，还是需要有城墙的。”

面临的困境：传统威胁没有消除，不知道防护的效果，敌人在哪里，在干什么，主要还是靠产品的防护。

二、民生银行在威胁情报方面的实践

“信息安全是一个实践性非常强的工作，需要知已知彼，现在我们只能知已。”

安全威胁呈现多样化、复杂化的趋势，多样化导致信息安全问题的复杂化。

如何与应对网络威胁？要符合黑天鹅理论，攻击事件是不可避免的，因此心态很重要、管理要落地、技术要实用。目标是从被动安全转变到主动安全，掌握战场主动性，尽量缩短攻击发生后，发现攻击的时间。

不多说了，上图：

四、《协同——威胁情报与大数据安全分析的实战》
——360企业安全集团副总裁韩永刚

韩永刚也以RSA开篇，介绍了创新沙盒的获奖者Phantom，强调了自动化安全和威胁情报的趋势。

威胁情报的生产能力源于数据，实战必须结合数据，才能更好的发挥作用。

“威胁情报来自于数据，还要应用到数据，促进数据分析 ，才能发挥其价值。”

在实战场景中，韩总介绍了威胁情报的五大应用场景，包括对黑产的发现溯源等。由于不久前韩总在安全牛《CS3：威胁情报解决方案高峰论坛》上介绍过类似内容，此文不再重复。（详见CS3：威胁情报解决方案峰会全程记录）

五、《连接的力量》
——君源创投管理合伙人金湘宇

“数据是连接的重要基础和重要载体，有了数据之后可以做更多的事情。”

威胁情报专家金湘宇以连接为主题开场，先盘点了一下两年来RSA上的热词变化趋势：

金湘宇表示，国外现在已不大主动提及威胁情报这个词，因为威胁情报已不新鲜，已集成到大多数产品之中，因此无需多说。

威胁情报已进入连接状态，各种情报形成安全智能系统，之上有自适应，再往上是弹性或可恢复系统。

什么是连接？不仅仅是连接数据，还有组织、人、流程、方案、平台、产品、技术、数据、服务，最终达到保护。

产品之间的连接：如IOC阻断(Phantom公司)

标准之间的连接：如CVE、STIX、TAXII、OpenIOC等

厂家之间的连接：

“国内厂家难协作，难百花齐放，其中一个原因就是，重要的购买需求，主要通过招标的形式。产品不同质化不符合招标标准很难被招上。”

服务与产品的连接：典型的如火眼

“管理服务占的份额越来越多。”

政府内部的连接：如爱因斯坦计划

“爱因斯坦很大的一块是威胁情报。”

政府和民营企业之间的连接：如网络安全信息共享法案(CISA)和信息共享与分析中心(ISAC)等，后者做政府和私营企业之间的沟通平台。

政府和生态之间的连接：如DHS的安全和弹性网络生态样板架构（SRCEEA）

烽火台威胁情报联盟

作为烽火台的发起人，金湘宇表示：

“大公司难合作，但小公司更愿意创新协作，更有意愿做数据的共享连接。”

六、《威胁情报背后的较量的思考》
——安天实验室移动安全总经理潘宣辰

潘宣辰的演讲内容，属于很少见的“移动威胁情报”视角的解读，而且潘总的PPT喜闻乐见，容易读懂，本文就不越俎代庖了，直接上PPT：

七、《中美威胁情报发展现状探讨》
——微步在线CEO薛锋

由于两天前薛总刚刚在 RSAC 2016 上介绍过基本相同的内容，此文不再重复。（详见RSAC 2016 热点研讨会的前三个议题）

八、《洋葱狗行动：你见到的未必是真相》
——360追日团队边亮

洋葱狗是首个针对国外攻击的APT研究成果，长期对亚洲国家的能源、交通等基础行业进行网络渗透和情报窃取。

首次活动可追溯到2013年10月，之后两年仅在7月底至9月初之间活动，木马自身设定的生命周期平均只有15天，具有鲜明的组织性。

由于PPT没要到，这个议题只能介绍到这里。

九、ISC 2016 中国互联网安全大会启动

会议的最后，谭晓生宣布 ISC 2016 启动。会议基本框架没有大的变化，还是第一天训练营，第二天正式开幕，第三天结束。邀请中的国外嘉宾包括卡巴斯基、布鲁斯·麦康奈尔和迈克菲等人。