RSA 2021会议进行到第三天,来自研究机构、行业联盟、专业公司等不同背景的演讲嘉宾,围绕云安全、区块链、量子计算等多个主题方向,从不同层面分享了发展趋势及独到见解。
01
演讲主题:《将MITER ATT&CK®框架用于云威胁调查》
演讲者:Jasdeep Basra& Tanu Kaushik 加州大学伯克利分校研究中心主任
MITER ATT&CK云矩阵将针对云的已知攻击行为汇总为一种结构化列表,主要内容包括10大战术和41项技术。10大战术为:初始访问、持续性、特权提升、防御规避、凭证访问、发现、横向移动、收集、渗出、影响。每一个战术对应多项技术,从而形成攻击行为知识库,用于攻防能力覆盖、情报分析、威胁狩猎及攻击模拟等领域的评估。云矩阵如下图所示:企业可以将ATT&CK框架应用在安全工作的多个方面,包括确定当前部署的安全产品或工具是否存在欠缺、安全策略实施、威胁建模、量化与采用云服务等新技术相关的风险等。但是在使用ATT&CK中,也存在一些问题,比如缺乏与安全产品的互操作性、映射到技术困难、误报过多等。87%的企业认为ATT&CK将改善云安全性、79% 的企业觉得ATT&CK增加了云应用的舒适度,69% 的企业认为使用ATT&CK可以更轻松地将SOC外包给提供商。演讲者提出,企业应使用ATT&CK框架进行威胁调查,调查所有数据源中威胁,从而实现自动化防御。
演讲主题:《数字可视化:以包容和机会平等来弥补技能之间的差距》
演讲者:Kris Rides(CEO&Founder, nextCISO)、John Yeoh(Global Vice President, Research CSA)、Jenai Marinkovic(CISO & CTO&Founder, nextCISO)
来自CSA和nextCISO的三位安全专家,结合自己的经历和见解一起畅谈了在数字化发展浪潮下对于多样化劳动力和多元化安全技能的构想。其中谈到通过七个步骤来构建一个多样化的、面向未来的、可靠的网络安全人员队伍。七个步骤具体包括:积极寻求各种形式的多样性人员;在安全职业生涯初期就学习企业业务和关键流程等技能;形成具备创造力的设计思维;学习演讲技巧、谈判和对复杂问题的解决能力;学习主要的网络安全框架(SOC,ISO,NIST)、风险管理和隐私保护等安全基础;学习包括云计算、机器学习和人工智能等在内的新兴技术技能;积极地确保学生有机会从事针对不同客户的工作;通过端到端的信息审计以及ISO 27001 ISMS的开发项目等,以寻求通过各种形式参与到客户的工作中。多样化的劳动力对企业来说不仅仅是一种竞争优势,而且对人类创新发展至关重要。通过积极培育多样化的网络安全工作人员,提供平等的工作机会,并通过创新实现更多新发展,这是我们为进入到下一个发展阶段做好准备的关键。
演讲主题:《区块链安全保障与运用 》
演讲者:Adrian Bednarek(CISO,Overflow Labs)
确定私钥唯一是保护区块链上资产安全的关键。拥有数以亿计的比特币/以太坊账户,但在生成私钥时是随机并有可能出错的。演讲者介绍了密码学及区块链通用知识、分析了区块链生成私钥、从私钥派生椭圆曲线公钥、EC公钥派生以太坊地址的三个步骤(如下图所示),并以以太坊为例,从hackers视角描述运用区块链不良随机数生成弱点,构建发现弱私钥的安全保障过程,重现了如何检查生成的比特币/以太坊密钥、如何扫描 340 亿个密钥,从而发现732个私钥的安全实践。
演讲主题:《自动化和云原生时代的知识冰川》
演讲者:Emily Fox 云原生安全的联合主席
随着自动化技术的不断发展,攻击复杂度也在不断降低。回顾历史,自动化开始于1940年-1950年期间,但那时还只停留在编译代码和编程测试阶段;进一步发展是在1960年-1970年,Email、网络游戏、微处理器开始盛行;安全概念则出现于80年代,C++、1986年计算机欺诈和滥用法案、字(词)处理器使人们开始关注安全性;而由于1990年计算机的爆发,Linux&Java、Web浏览器、Wi-Fi、在线交易等纷纷涌现;在Y2K时代,重点更是转向DevOps,强调快速开发和部署。没有知识,我们就无法获得信息,而没有信息,就更不可能实现安全。所以演讲者提出信息是安全的基础。正如上图的知识冰川,我们自认为已经掌握了它的全部工作原理,实际上只是露出水面的那一小部分内容,真正的工作原理却深藏于水下。同理,整合和自动化可以使安全管理更容易,但没有透明度的整合和自动化则会模糊和掩盖实际的安全威胁。演讲者建议,我们应以过往知识为基础进行系统性思考,彻底理解业务如何工作,而不仅仅停留在认为它是如何工作的层面。同时还要培养团队间的多样性,拓展跨行业的技能,彼此互相学习,从而找到速度、知识和安全性之间的平衡。通过扩大反馈循环,使其具有可操作性和知识性,从而确保业务快速、安全地运行。
演讲主题:《量子计算:破解rsa算法的新奇思路 》
演讲者:Anastasia Marchenkova,Bleximo量子研究员,Pendo软件工程师
一个好的量子计算机要有定义好的量子位、能够初始化量子位的状态、较长的退相干时间、通用的量子门集、量子位特有的测量能力;同时也可以从量子位的规模、门错误率、测量错误率、串扰(crosstalk)、量子位的拓扑结构等几个维度评价量子计算机的好坏。IBM计划在2023年发布1000位的机器,而PsiQuantum声称5年内计划将位数做到100万。量子技术的发展意味着量子计算机可以用很短的时间破解之前需要上亿年时间的RSA算法。
量子计算飞速发展,安全问题随之而来。早在2016年年末,NIST就开始组织“后量子密码标准”的制定;2020年7月,评选标准出台,经过公开评选,26个候选算法剩下15个,基于晶格、基于纠错码和基于多元的加密成为最有可能的候选算法。而最新标准将于2022年发布,最终选出的算法必须既能经得起量子攻击以及传统的经典攻击,同时保持足够快的速度,因为加密算法需要在网络、智能手机、传感器和许多其他计算能力有限的设备上运行。