深度解读:RSAC 2022十大热点议题
Editor's Note
从本届RSAC的热点议题,可以看出网络安全的多个细分领域都在发生变革。
The following article is from 虎符智库 Author 乔思远
2022年度的全球网络安全行业盛会RSAC落下帷幕,本次大会以“转型” (Transform)为主题,被认为是去年主题(Resilience,弹性)的延伸和拓展。从弹性到转型,RSAC的主题变化透露出网络安全产业的持续变革。
RSA CEO Rohit Ghai在主题演讲中强调网络安全的转型变革。
RSAC 2022的170余个主题演讲,主要围绕10大热门主题,其中包括:数据与隐私安全(热度141)、身份安全与零信任(热度14)、软件供应链安全(热度10)、勒索软件(热度10)、AI安全(热度10)、威胁分析及狩猎(热度10)、风险管理(热度9)、云安全(热度6)、物联网及工业安全(热度6)、基础设施安全(热度4)。
从本届RSAC的热点议题,可以看出网络安全的多个细分领域都在发生变革。
1. 热度14 指会议有14个演讲的主题为数据与隐私安全,下同
一、数据与隐私安全
数据与隐私安全是近5年来的热点议题。随着数字经济的发展和数据流通需求的增长,其热度持续升高。数据与隐私安全融合了传统安全技术应用和创新技术应用,产生了新的需求和应用场景。数据治理、隐私计算、隐私合规成为数据安全的创新驱动力。
本届RSAC的数据安全议题集中在数据保护,如云上行业(如医疗)数据保护、企业数据保护、数据本地化保护政策,以及政府数据交易与授权访问等。在隐私安全方面,热点议题则集中在如何保障基础设施(如5G)、设备(如汽车),以及应用(如AI、区块链)的隐私安全方面。
具有代表性的数据安全议题包括:
在“云安全:如何保护云上医疗数据”的议题中,专家以AWS、Azure和DevOps平台为例,将云上医疗数据包括概括为三点:(1)安全设计,包括身份验证、DevOps、标准、流程。(2)安全执行,包括通道、扫描、策略、受限访问角色。(3)安全运营,包括环境扫描、可用性管理和补丁管理等。最后,专家提出了三条建议:(1)使用云原生配置控制工具控制安全性和成本。(2)通过代码使基础设施和通道民主化。(3)实施透明的DevOps文化。
在“让企业员工保护高价值的数据”的议题中,专家从企业内部风险的视角,提出改变了内部风险的3个关键驱动因素:(1)数字化转型正在改变我们的合作方式;(2)知识型工作者随时随地展开工作;(3)人们正在频繁换工作,比以往任何时候都快。因此,从控制企业内部风险的角度保护高价值数据,需要做到3个T:透明度(Transparency)、培训(Training)、技术(Technology)。
在“你能抓到我么:保护 5G 中的移动用户隐私”议题中,来自可信连接联盟(TCA)的专家关注的重点围绕国际移动用户身份 (IMSI)的安全漏洞,以及保障用户身份隐私的方法,提出基于 SIM 卡的加密是唯一可行的方法,包括消费者和工业物联网用例。
在“隐私和区块链悖论”议题中,专家比较了区块链的优点与劣势,提出了区块链用于隐私保护以及GDPR合规的四个注意事项:(1)一项技术和一项法规-数字世界中的隐私并非仅靠技术就能解决的问题。在技术方面,区块链正在通过在食品信托、集装箱、贸易融资和国际支付等不同领域提供价值的网络取得巨大进步。尊重数据和交易的隐私是这些项目的核心。(2)起点相反,但基本原则相同—区块链和 GDPR 共享数据隐私的共同原则。两者都希望监督我们自己的数字私人数据交易和支付(在比特币的情况下),或在 GDPR 的情况下需要与他人共享的个人数据。(3)公共网络中的隐私-隐私并不一定意味着用户需要一种私有区块链网络方法,可以在GDPR框架下实现满足公共网络隐私需求的区块链网络。(4)删除权-GDPR要求之一是个人要求组织时删除的权利,拥有他们的个人数据以完全删除该数据。
二、身份安全与零信任
身份安全是传统的赛道,零信任理念和云业务应用的发展为身份安全注入新的活力。
随着零信任框架和谷歌零信任应用的出现,零信任成为身份安全领域的新理念与创新热点。随着云应用的发展,云访问安全成为热点。疫情下远程办公的需要使得身份安全再度成为热点。“弹性” 是2021年RSAC大会的主题,零信任则被认为是建设“弹性” 网络的安全基础设施。
本届RSAC的身份安全议题集中在多云环境的身份认证、生物识别技术应用,以及身份认证机制面临的风险等。在零信任方向,热点议题包括传统零信任的缺点,新的零信任机制,以及零信任在工业系统中的应用。
具有代表性的身份安全议题包括:
在“为什么零信任网络访问被破坏,以及如何修复它”议题中,来自Palo Alto的专家指出基于零信任的ZTNA1.0方案存在诸多缺陷,包括违反最小特权原则、没有对用户行为进行持续的跟踪和授权、没有流量检测、没有数据保护、无法保障应用程序安全等。专家提出了ZTNA2.0的方案,以解决上述问题。通过在第 7 层基于 App-ID 识别应用程序充分实现最小权限原则;一旦授予对应用程序的访问权限,就会根据设备姿势、用户行为和应用程序行为的变化不断评估信任度;提供对所有流量的深入和持续检查,甚至是允许的连接以防止所有威胁,包括零日威胁;跨企业使用的所有应用程序提供一致的数据保护,包括私有应用程序和 SaaS,具有单一DLP策略;始终如一地保护整个企业使用的所有应用程序,包括现代云原生应用、传统私有应用和 SaaS 应用。
在“零信任架构的构建”议题中,来自NIST的专家分享了国家卓越网络安全中心NCCoE实施ZTA零信任架构项目。部署方式包括增强的身份治理 (EIG)、 微分段、软件定义边界 (SDP)。整个架构包括ZT内核组件、终端安全、数据安全、安全分析以及ICAM。应用场景包括员工访问公司资源、员工访问互联网资源、承包商访问公司和互联网资源、企业内的服务器间通信、与业务合作伙伴的跨企业协作、利用企业资源提高信任评分/信心水平等。
在“为工业控制系统带来零信任”议题中,专家分析了工业控制系统面临的风险点,提出了在工业控制系统中部署零信任的方法:(1)OT 和 IT 边界:在企业网络、工厂系统和现场之间建立边界,分割网络。(2)OT 资产:屏蔽和监控无法运行安全软件或打补丁的工业端点。(3)OT 网络:使用适应现场网络中使用的工业协议和技术的网络安全。(4)离线操作:保护为维护而引入的可移动媒体和外部设备。(4)SOC/CSIRT:监控整个环境以简化威胁检测和事件响应。
在“面对/关闭:使用生物识别技术进行身份验证的战斗”议题中,来自思科的专家提出了DeepFake等技术对人脸识别和身份认证带来的技术风险,以及相应的法律风险,并提出改善的建议:(1)了解有关人脸识别和人工智能的更多信息,盘点 FR 认证和其他应用程序。(2)对 FR 申请进行法律风险评估,将 FR整合到安全风险评估/管理流程中。(3)建设完整的治理体系,实施治理控制。
三、软件供应链安全
受贸易战和供应链攻击事件影响,软件供应链安全成为热点。美国商务部和国土安全部的软件供应链安全规范、代码安全和软件开发安全被高度重视。代码安全与开发过程已深度结合,强调软件供应链的安全监管与协同。开发安全和代码安全是软件供应链安全的主要抓手,并呈现融合发展的趋势。
本届RSAC的软件供应链安全议题集中在供应链的脆弱性,相关法律和政策等。在技术方面,热点议题则集中在软件开发安全如DevSecOps。
具有代表性的软件供应链安全议题包括:
在“安全的软件供应链是否可行”的议题中,专家提出当前世界软件供应链已经是高度发达的网状结构,威胁可能来自供应链的任何层面,包括恶意供应商、错误/易受攻击的软件、未经授权擅自修改开发或交付等。为应对软件供应链安全威胁,需要采取的措施包括供应链体系认证、供应商文件、软件测试、连续的提升、对开源软件的检测等。具体包括:对供应链软件的成熟度进行现实评估,制定安全计划以及可达到和可扩展的目标。确定对阻碍者的加速监控/响应,了解企业内部软件组织的安全态势。在开发和第三方代码方面获得供应链指导委员会的批准。获得对安全软件的内部承诺,在所有合同中增加供应链安全要求,对供应商的软件进行抽查等。
在“构建企业级 DevSecOps 基础架构:经验教训”的议题中,专家指出软件开发安全面临的挑战,包括:(1)对应用程序的安全状态缺乏统一的看法和理解(2)如何实现代码分析管理及保障安全信息源的多样性。(3)开发者缺乏支持,开发团队之间缺乏信息共享。
为应对挑战,专家提出了企业级 DevSecOps解决方案,包括(1)由库存组件和开源构建的软件框架,将软件扫描工具打包成 docker 镜像的统一方式,Docker化的扫描工具可以插入到许多不同的 CI 管道中。(2)存储库/项目与产品和团队之间的衔接。基于团队添加项目和数据,确保代码/工件/程序集/docker 图像/云帐户可以链接到产品和团队。(3)为所有安全漏洞提供通用数据模型和统一 GUI。允许根据需要添加新的扫描工具或安全信息源,实现漏洞的标准化展示。(4)提供部门/产品级别汇总报告。包括存储库/工件级别的细粒度漏洞报告,在部门/产品级别汇总漏洞,展示跨部门/产品的安全成熟度等。
四、勒索软件
勒索软件成为2021年美国首要的网络安全威胁。根据FBI统计,2021年勒索软件攻击了至少649个美国关键基础设施,其中包括美国最大燃油、燃气管道运营商科洛尼尔公司遭到黑客网络攻击勒索,导致供应中断和燃料短缺的事件。2021年美国成立了勒索软件工作组 (RTF),由来自行业、政府、执法部门、民间社会和国际组织的 60 多位专家组成,倡导统一、积极、全面、公私合营的反勒索软件运动。
本届RSAC的勒索软件议题集中在对勒索软件的分析、防护,以及应对勒索攻击的恢复能力等方面。
具有代表性的勒索软议题包括:
在“勒索软件现实清单:防止攻击的 5 种方法”议题中,专家提出了防止勒索软件攻击的 5 种方法,包括:(1)封堵漏洞。勒索软件团伙通常利用过去两年内的CVE,目前了解到被利用最多的包括MS Exchange、SolarWinds Serv-U、Log4J、Accellion、SonicWall、PrintNightmare 和 SMBv1。(2)知道何时丢失了密钥。核心关注点包括凭据盗窃和初始访问代理 (IAB)。凭据盗窃常用的手段包括AZORult、Predator the Thief、Kpot、MARS、Redline、Racoon、Mars Stealer。应对IAB的措施包括IAB 出售对多个威胁参与者 inc. 的访问权限。勒索软件团伙;在实际勒索软件攻击之前,通常通过地下论坛出售对公司的访问权早期识别可以节省数百万美元;通过 ZoomInfo 或 RocketReach 类型工具识别受害者等。(3)了解网络犯罪分子,学习他们的常用手段。例如Conti 小组正在积极利用 Scripts Github repos、Cobalt Strike、CVE PoC 等。经常使用非恶意工具来获得他们的目标。这些资源是开放的,防御者也可以学习同样的资源。(4)深入了解勒索软件机制,发现恶意软件爆发之前的行为痕迹。攻击者严重依赖非恶意工具,而传统的网络安全控制关注过多的恶意文件,却忽略了行为才是关键。因此应重点关注攻击者使用工具的行为。(5)创建减速带和检查点。采取包括多因素身份验证、网络分段、限制浏览器 cookie 寿命、活动目录安全等措施,加强纵深防御使得攻击者横向移动更加困难。
五、AI安全
本届RSAC的AI安全议题集中在AI训练和应用中的数据与隐私安全、AI开源工具安全、AI测试安全等AI自身安全,以及将AI技术用于威胁分析和零日网络攻击。
随着海量数据的积累、计算能力的发展、机器学习技术创新,图像识别、语音识别、自然语言翻译等人工智能技术得到普遍部署和广泛应用。AI对于传统计算机安全领域的研究也产生了重大影响,除了利用AI来构建各种恶意检测、攻击识别系统外,黑客也可能利用AI达到更精准的攻击。
同时AI自身的安全性变得前所未有的重要,如果应对利用数据投毒、深度伪造等技术干扰破坏AI的正常学习与应用,也成为网络安全领域面临的新课题。
具有代表性的AI安全议题包括:
在“AI的隐私和合规性—开源工具和行业看法”议题中,来自IBM的专家分析了面向AI应用的隐私保护技术,如差分隐私、匿名化、分布式计算和加密技术等,以及各种技术的优缺点。IBM专家认为,从行业视角看,AI隐私保护应具备以下特点:(1)防御应该是非破坏性的。大多数组织已经拥有复杂的机器学习设计和运营流程,解决方案应该以最小的中断集成到这些流程中。(2)产品应设计成人工智能隐私工具包,“一键式”解决方案更易于学习,具有良好的默认参数有助于入门,以及可解释的可视化首选项。(3)可扩展性和性能。一些隐私保护方法非常适合学术工作,但不要扩展到企业工作负载,工具需要自动化和高效的算法,和基于风险评估的模型优先级。在此基础上,IBM推出了用于 AI 隐私的开源工具,能够实现模型匿名化和数据最小化,并展示了相关的应用案例。
在“利用人工智能和深度学习对抗零日网络攻击”议题中,来自Check Point的专家认为面对当前网络威胁困境,基于 AI 的安全技术表现出高效阻断攻击、最佳威胁捕获率、接近零误报的特点,只有AI才能保证网络安全。Check Point搭建了威胁云ThreatCloud,通过30 多个 AI 引擎实现不同的安全功能,主要包括:(1)检测未知恶意软件-受感染主机检测、沙盒静态分析、沙盒动态分析引擎;(2)检测网络钓鱼-邮件静态分析、移动零钓鱼检测、反钓鱼AI引擎;(3)提升准确性-网络 AI 引擎聚合器、移动 AI 引擎聚合器、机器验证签名引擎;(4)异常检测-云网络异常检测引擎;(5)战场狩猎-活动狩猎引擎;(6)揭露隐形漏洞-分析师头脑、恶意活动检测引擎;(7)分类-文档元分类器矢量化家族分类器、机器学习相似度模型、MRAT分类器等。
六、威胁分析及狩猎
网络攻击技术和方法不断升级换代,攻击者从脚本小子、黑产犯罪团伙向国家级组织演进,攻击能力不断提高,攻击技术不断升级;威胁利用从已知到未知不断发展变化。
威胁狩猎是一种主动识别攻击痕迹的方法,由威胁猎人利用威胁分析工具、威胁情报和实践经验来积极筛选、分析网络和端点数据,寻找可疑的异常或正在进行的攻击痕迹。近年来威胁狩猎工具的自动化水平不断提高,逐渐成为应对高级持续威胁的重要手段。
本届RSAC的在威胁分析及狩猎议题集中在全球网络威胁态势、基于AI的自动化威胁分析技术,以及威胁狩猎实践。
具有代表性的威胁分析及狩猎议题包括:
在“2022 年网络安全状况:从大离职到全球威胁”议题中,ISACA专家分享了2022 年网络安全状况报告。根据ISACA的研究,在网络威胁态势方面,2021年企业最关注的5大网络安全影响包括:组织的声誉、数据泄露对客户造成的伤害、供应链攻击造成业务中断、商业秘密的丢失、组织的股票价格、财务状况。5大网络安全威胁分别为:网络犯罪、黑客、内部威胁、国家威胁、内部误操作。5大网络攻击方式分别为:社会工程学、APT攻击、安全配置错误、勒索软件、未打补丁的系统等。在人力方面,当前全球网络安全从业人员数量严重不足。在2021年有63%的企业网络安全职位有空缺,五分之一的企业表示需要六个月以上才能找到合格的空缺职位的网络安全候选人。其中空缺最大的细分领域包括云安全(52%)、数据保护(47%)、身份安全(46%)、应急响应(43%)、DevSecOps(36%)。
在“CHRYSALIS:人工智能增强的威胁猎手和法医时代”议题中,专家介绍了将数据科学和人工智能引入威胁狩猎和数字取证进该领域的进步的技术:(1)ML&TH联结学习用于异常分析的技术;(2)机器学习用于恶意软件分析并实现检测和分类的技术;(3)基于机器学习揭露恶意软件的技术,包括使用带有预训练模型的 ML 进行恶意软件检测、使用 SqueezeNet 和逻辑回归模型、使用卷积过滤器提取特征以将其分类为恶意软件。(4)基于机器学习实现内存取证的技术,包括用于识别受损数据集中的特定模式,使用 Volatility 3 输出应用 ML 算法来寻找可疑行为,并可以与 pslist、psscan、pstree、malfind、netscan 等一起使用;(5)基于机器学习实现深度日志分析的技术,包括从标记的数据中学习以分类为异常或正常条目,在大量系统日志中使用 LSTM识别异常, IDS/防火墙日志以检测 DDoS 和端口扫描等。(6)基于机器学习实现流量分析的技术,包括远超传统系统能力的定制化深度监控、执行聚类以发现异常并区分异常值、在大型数据集中发现未知威胁等。
七、风险管理
网络威胁是利用电子信息和系统中的漏洞的恶意攻击,而安全风险管理旨在降低网络攻击的可能性和影响。通过识别、评估和减轻企业电子信息和系统的风险,实施安全控制以防止网络威胁。
面向关键基础设施和重要行业的高级持续威胁日益严重,企业必须建立风险评估机制,使用威胁情报界定风险,开展安全测试等一系列风险管理措施,从而实现体系化的网络安全防护。
本届RSAC的风险管理议题集中在网络风险分析以及风险管理的合规模型等方面。
具有代表性的风险管理议题包括:
在“有针对性、统一和协调的服务,以更好地降低风险”议题中,专家认为由于新冠疫情带来的居家工作和“大离职”使得云服务提供商必须加速开展安全托管业务,而急于通过 MSSP 解决这些挑战是以牺牲其他领域的资源/风险为代价的,在许多情况下,企业过度补偿检测和响应领域的新工具和服务,而牺牲了他们的识别、预防和恢复策略,因此需要开展相应的评估和规划,评估的内容主要包括识别、防护、检测、响应、恢复。评估的过程包括:(1)需求评估,包括明显被忽视的领域、目前资源不足且风险太大的地区、存在明显技能差距的领域、您可能在现有工具或服务中有重叠的领域、内部资源可能不可行或不建议的领域,(2)使用安全框架来指导评估,(3)将调查结果与MSSP服务进行比较。
八、云安全
云应用的普及导致相关安全问题的热度持续增强。云安全赛道在一直演进,细分领域、技术方向不断演化,从以容器安全为代表的基础设施安全,到平台层面API安全,到SaaS层面业务安全。基于云原生的威胁管理,数字调查取证,云安全管理平台,资产管理等成为今年云安全的重点议题。
本届RSAC的云安全议题集中在云上的数据安全、身份安全等方面,以及多云环境的安全架构。
具有代表性的云安全议题包括:
在“安全左移:现代云安全的十大最具颠覆性的想法”议题中,专家提出安全左移的思想,认为在当前云安全响应太慢、太晚、缺少应用程序上下文、无法修复的现状下,应重新考虑以运行时为中心的云安全方法,主要包括(1)以开发人员为中心,安全性必须集成到开发者平台中,包括代码库、业务流程等(GitHub、GitLabs、Jenkins、Jira……)。(2)拥抱 IaC 安全性,IaC 安全性将成为云安全的基石(VM、CSPM、CIEM 全部基于 IaC 扫描左移)。(3)补丁即代码:采用基于 IaC 和拉取请求的不可变运行时原则和补丁作为代码。(4)AppSec的回归:不能忽视SAST和SCA的AppSec规则,它们是云安全策略中最重要的部分。(5)无代理方法:云安全供应商必须利用云 API 来实现无代理和持续的云安全,例如将 VM 转换为基于 API 的云原生 VM。(6)运行时安全仍然很重要,并且EPP供应商必须采用云架构(例如 eBPF)。(7)微分段/ZTNA、的IAM策略非常复杂,应寻求自动化解决方案。(8)持续部署安全网关,并考虑整个云应用程序生命周期的变化。(9)策略即代码,用一个单一的策略即代码统一, 考虑开放标准而不是以供应商为中心。(10)了解自身现状,大型企业将持续部署混合云,而中小企业则通常选择单一公有云。
九、物联网及工业安全
物联网及工业安全由于其庞大的终端规模及潜在的安全威胁而受到关注。近年来物联网技术正在加速向各行业渗透,智慧工业、智慧城市、智慧交通、智慧健康、智慧能源等将成为产业物联网连接数增长最快的领域。利用物联网终端的挖矿、设备劫持事件频发,智能医疗、交通、家居产品不断爆出安全漏洞,并且造成不可逆的生命财产损失,从而使得物联网及工业安全成为热点议题。
本届RSAC的物联网及工业安全议题集中在终端设备的漏洞检测、可信机制及安全模块方面。
具有代表性的物联网及工业安全议题包括:
在“防篡改元件如何保护物联网”议题中,来自可信连接联盟(TCA)的专家指出,到2025年,物联网连接数将达到240亿,而对物联网连接的安全防护能力则严重不足,这既包括对单个设备的近距离攻击,也包括云端的远程攻击。而防篡改元件可以实现基于SIM、eSIM、eSE的快速认证与数据安全传输能力。
十、基础设施安全
在前几届RSAC上,基础设施安全话题相对冷门,今年热度有所回升。一方面因为过去两年美国的重要基础设施大规模遭受勒索软件和供应链攻击的威胁,此外5G和工业互联网的建设进入到应用阶段,以能源互联网为代表的产业应用引起了更多的重视。
本届RSAC的基础设施安全议题集中在关键基础设施的网络攻防和安全运营方面。
具有代表性的基础设施安全议题包括:
在“分布式能源基础设施的入侵与防护”议题中,专家提出到 2024 年能源互联网市场将达2000亿美元。能源互联网安全是一个新的领域,需要不同的网络安全架构:保护系统/平台(例如 DERMS、ADMS),确保公用事业和第三方发电资源的连接,验证第三方发电源、聚合器和逆变器供应商的数据的完整性,检测第三方电源上的异常和潜在恶意活动并预测潜在的下游影响。因此需要建立供应链安全防护机制,检测并防御来自供应链上下游的攻击,以应对类似SolarWinds事件的攻击。
结语
从本届RSAC的热点议题可以看出,网络安全的许多细分领域都在发生变革。
数据与隐私安全在寻求具体应用场景的解决方案以实现产业落地;身份安全与零信任在寻求新的架构以弥补实践中发现的不足;软件供应链安全在尝试构建企业级开发安全架构;应对勒索软件则有了体系化的组织和方法;AI安全在探讨自身的安全合规以及在对抗零日网络攻击中的应用;云安全在探索安全左移的运营商安全。
今年热点议题是对RSAC2021的网络安全“弹性”主题的回应,也是在网络安全行业进入深水区,如何解决诸多不确定性问题的积极尝试,对于我国网络安全建设和产业发展具有重要的参考价值。
关 于 作 者
乔思远:虎符智库专家、信息安全博士。
推荐阅读
文章来源:虎符智库