聚焦前线|天融信带你直击RSA 2021会议现场 Day 4
5月20日下午,一年一度的RSA盛会正式落下帷幕。在RSA会议的最后一天,多位演讲嘉宾围绕安全弹性、云安全、安全文化、AI、威胁模型等主题呈现了精彩纷呈的演讲。
1
《走向未知-通过安全混沌工程构建安全弹性》
演讲者:Aaron Rinehart(CTO and Co-Founder Verica @aaronrinehart)、Jamie Dicken(Director, Security Assurance Resilience @jamie_dicken)
系统工程复杂度是安全管理的一大难题。随着系统复杂度的上升,可能出现的故障数量也会随之增加。演讲者提出可以运用安全混沌工程来构建系统的安全稳定,即安全弹性。混沌工程是指在系统上进行实验,并观察系统如何对各种混乱输入因素进行响应的科学。通过主动的安全混沌工程测试可以提升系统安全性,持续性验证能够减少安全方面的不确定度。
最后演讲者建议企业应尽早开展安全混沌工程来构建系统安全弹性,因为常见的软件测试只能验证系统功能性需求,而安全混沌工程可以验证出系统安全性需求。
2
《七大AI违规行为:了解如何防范不安全的学习》
演讲者:Davi Ottenheimer(VP Trust and Digital Ethics, Inrupt)
近十年来,AI在众多领域的应用确实大大提高了生产力。但是许多负责AI风险团队的结果显示:如果缺乏全面仔细的考虑,AI赋能业务的同时可能还会带来安全风险,并且其损失将远远超过收益。
在AI应用越来越广泛的今天,政府和有关企业应当建立可执行的安全学习工程行动计划,包括近期战术和长期战略规划,比如创建威胁模型、成立道德检讨委员会、建立产品测试和审核流程、分配执行层独立执行等。同时企业应紧密跟踪最新AI威胁,实施AI安全意识计划,并保护自身AI产品开发生命全周期。
3
《混合云中的加密模式 》
演讲者:Mark Buckwell(Executive Security Architect,IBM)
随着混合云的扩张和应用上云的发展,如何构建数据加密方案确保混合云数据加密的有效、可信和弹性,保护高度敏感的业务数据不受特权管理员的影响,成为了混合云数据保护的首要挑战。演讲者通过分析混合云加密面临的设计决策、限制和风险,综合考虑实施有效加密和密钥管理的原理、架构和组成,并对比传统的标准集成加密方案,提出了一套比较完善的混合云集成加密解决方案。如下图所示。
该解决方案提供一个体系架构和一套部署模式。体系架构能够实现云化的密钥集成管理,对所有静态数据加密使用内置加密和密钥管理,对多租户使用多云密钥管理功能,集中控制密钥管理,使用文件、文件夹或数据库加密来保护特权用户和外部威胁代理,确保云服务提供商之间的加密数据可移植性,同时扩展支持本地存储和文件、文件夹或数据库加密,构建公共云中的加密控制平面。部署模式通过带HSM(硬件安全模块)的云密钥管理器和本地加密管理器,将弹性嵌入到加密和密钥管理中,在混合云的不同区域实现加密数据的实时同步和加密数据库的近实时同步。
4
《重视文化:将人员放在安全的核心位置》
演讲者:Jinan Budge(Forrester Research首席分析师)
第1步
构建人员地图,将其分为支持者和阻碍者,重点管理阻碍者,并从集体动力、权威、远见、稀缺性、交流与关系等方面进行说服或影响他们。第2步
管理公司的文化和价值观。据调查数据统计,超过80%的员工希望在符合他们个人价值观的公司里工作。第3步
注重纵向、横向和外部的影响。建立一个以人为中心的安全程序、一个有影响力的关系网络,组织宣传力、上层执行力、下属支持度和外部信任度都必不可少。第4步
投资自己。提高自身的领导能力,学习沟通和公共演讲技巧,拓展自身技能,并注重自身与员工心理健康。5
《使用威胁建模提高合规性》
演讲者:Adam Shostack(Shostack & Associates)
相·关·阅·读·
1
聚焦前线 | 天融信带你直击RSA2021会议现场 Day 3
2
聚焦前线 | 天融信带你直击RSA2021会议现场 Day 2
3
聚焦前线 | 天融信带你直击RSA2021会议现场 Day 1