聚焦前线|天融信带你直击RSA 2021会议现场 Day 2
作为国际上最顶级的网络安全会议,RSA会议通过主题演讲、沙盒、数字博览会、研讨会等多种方式向全球网络安全相关人员传递最新发展趋势、热门技术以及行业人士专业见解等内容,每天的会议内容都安排的异常丰富。在第二天的RSA会议上,针对基础设施安全、软件开发安全、NIST标准、DevSecOps等多个主题方向,展开了精彩纷呈的演讲。
01
演讲主题:《未来极限计算的网络安全》
在谈到网络安全问题时,以Exascale项目为例,Dr. Anne Fitzpatrick介绍,虽然项目进展顺利,但HPC的可靠性随着规模的增加而降低,同时技术、社会、政治力量等因素也会对HPC的安全问题产生影响,从国家安全角度考虑,确保供应链安全十分关键。
在谈到HPC的发展趋势时,Dr. Anne Fitzpatrick认为需要用全局和生态系统思维去看待HPC的未来,HPC将从按照预制指令执行的机器转移到基于海量数据并且可以“学习”的认知系统,这其中,通用处理器将越来越少,更多的是转向专业化和“design your own”的模式,也许再过40年,我们将不再像现在这样认识HPC。
02
演讲主题:《 DevSecOps联盟的发展现状》
演讲者:Shannon Lietz(Intuit公司DevSecOps总监)
03
演讲主题:《CISA如何为规划基础设施防护线路》
演讲者:Joshua Corman(CISA医疗部门首席策略师)、Sounil Yu (JupiterOne CISO和研究部主管)
04
演讲主题:《三合一:三个NIST框架的分解和重组 》
演讲者:Dave Weitzel(MITRE政策和标准负责人)、Julie Snyder(MITRE首席网络安全与隐私工程师/NCF隐私领域负责人)、Christina Sames(MITRE首席网络安全工程师)
网络安全和隐私两个框架都包含核心层(Core)、概要层(Profiles)和实现层(Implementation Tiers)几个组成部分。核心层里包含组织用于开展风险管理的一系列活动和成果物;概要层是核心层里核心的子集,用于解决达成组织目标时遇到的风险;实现层帮助组织确定是否有足够的风险管理实践和资源以达到其目标。风险管理框架由准备、分类、选择、实施、评估、授权、监控等一系列步骤组成。演讲者介绍了网络安全和隐私框架如何促进风险管理活动的,比如在风险管理过程和活动中,核心层和实现层上可以提供更紧密的联系和沟通,概要层上可以在组织任务/商业目标和网络安全、隐私活动之间建立联系,同时可以避免一些需求上的冲突。演讲者建议,要理解三个框架以及它们之间的关系,建立框架概要手册,明确风险管理实施步骤,将概要设计和风险管理框架应用起来,实现三个框架的融合。
05
演讲主题:《工具时刻:构建您的网络安全架构规划工具箱》
演讲者:Diana Kelley(Founder & Partner SecurityCurve)
通过信息工具进行收集、跟踪和分析企业所在环境信息,然后通过可视化的指标进行展示。
通过设计工具进行建模,可帮助编纂和合并架构规划,利用ArchiMate或UML等标记语言进行更好地设计。
最终,将分析工具、信息工具和设计工具进行有效的结合,进而充分展现可视化、头脑映射和流程协同的作用,以此来设计最适合企业的网络安全架构。
06
演讲主题:《科学方法:安全混沌实验&攻击数学》
演讲者:Kelly Shortridg(副总裁, Capsule8)
安全混沌工程提出了一种新的方法,利用科学的方法和攻击者数学来形成有效的防御策略。Kelly Shortridg通过用决策树来假设攻击者战略,然后探索使用这些动态威胁模型来制作实际实验,以获得对系统复原力的信心,并做好应对事件的准备。一个科学的方法包括以下步骤:提出一个真实问题、提出假设、进行实验、将观察结果与预测相比较,并输出报告结果,基于结果重复、不断修正你对现实的认识等。那么什么是决策树和安全混沌工程呢?安全混沌工程(SCE)一般使用infosec的科学实验方法,了解系统是如何运行的,通过有计划的经验实验、有意引入失败等,创造学习文化,发现系统的真实性,提高系统的安全性。但是实验是在假设之后进行的,那么如何提出假设呢?我们必须对现实作出假设,为我们的实验提供信息,在冲突的情况下,还必须对对手作出假设,而决策树是最好的方法,它通过“信念激励”帮助人类改进假设,了解特定攻击者。这就是决策树与安全混沌工程。
如何使用决策树与安全混沌工程?Kelly Shortridg讲解了一个详细的案例,利用决策树与安全混沌工程,用完整的决策树映射出攻击者可能采取的行动范围,分析攻击路径,在容器中构建攻击树隐矿工,抢占攻击路径的先机,加大攻击投资和复杂度,从而让攻击者知难而退。决策树攻击路径映射分析逻辑图如下:
总的来讲,决策树和安全混沌工程提供一种研究攻击价值和目标价值的科学方法论,通过明确组织目标,构建攻击目标优先级矩阵,构造Y-响应=X-假设的攻击函数,建立SCE实验,形成新的肌肉记忆来应对突发事件,使攻击事件变得无聊,同时让我们的目标资产更安全。
07
演讲主题:《开发人员不喜欢安全的十大原因与解决方案 》
演讲者:Christopher J. Romeo(安全之旅CEO)
DevSecOps是构建弹性网络提供安全能力的重要技术手段之一,Christopher J. Romeo认为Dev和Sec的连接是断开的。究其原因在DevSecOps世界中,开发人员成为了安全人员,但开发人员不了解安全,却经常尝试强制执行流程和工具集,导致开发人员不喜欢安全相关工作,所以Dev和Sec的连接是断开的。Christopher J. Romeo总结了开发人员不喜欢安全的十个原因与解决方案,提出通过协作文化解决开发人员不喜欢安全的问题,十个原因如下图所示:最后Christopher J. Romeo提出需要站在开发人员的立场、与开发人员共同工作一段时间,与之共鸣,建立程序化的方法,实施解决方案解决开发人员与安全的紧张关系,使Dev和Sec建立正确的连接。