1. 威客安全首页
  2. 安全资讯

精华丨RSAC2019 直播专家精彩观点总结(上集)

精华丨RSAC2019 直播专家精彩观点总结(上集)

本届RSAC 2019 数说安全直播活动邀请了业内众多大佬一同为国内安全圈的兄弟们进行现场直播,包括趋势分析、技术解读、安全企业对比等。现在我们将直播内容中的部分精华贴摘取出来,出于篇幅考虑,分为上下两篇发送给大家(观点随机排列不分先后)。


精华丨RSAC2019 直播专家精彩观点总结(上集)


@谭晓生


1、本届RSAC大会上的keynote主题报告,讲的都是大家知道的事情。到后面几个嘉宾比如Cisco,他们讲到OT安全,今年OT的安全被提到了一定的高度,但是从各个公司参展产品方面来看我没看到比之前多太多OT产品,并不像keynote中大家提到的OT有大量的产品,其实并没有。


2、本次大会有一个让我surprise的点就是微软,我看到了微软的 Azure Sphere OS,这个OS最牛的地方是不是基于windows的,而是基于linux的。他们与芯片厂商合作,和MediaTek合作做了一款芯片,这个芯片里内嵌了安全,把安全芯片和物联网用到的大量MCU芯片结合到一起了。他们在上面提供了一系列包括通过 Azure的云服务、更新服务等等,这个服务一出来就是13年,你买微软的产品什么时候带过十几年的服务?这是整个思想上的一个大转型,因为物联网类的产品不会短时间报废,他的使用周期比较强,13年的服务周期是按照这个size的。而且他嫁接了visual studio的工具,其实微软的开发工具相对来说还是比较好用的,过去在IOT的时代,很多开发工具你可以认为他还停留在上个世纪,可能有些还是上个世纪80年代的水平。  他把比较方便和易用的开发工具嫁接到了这上面,而且在这个系统里没有尝试用他自己的Windows,之前在移动互联网时代微软还试图用Windows用做手机的操作系统,当然不是太成功,那这次彻底放弃了Windows,基于Linux出了一个版本Azure Sphere OS,让我觉得微软这样的公司还是非常令人敬佩的。他敢于去抛弃自己之前的一些东西,而去追求一个新的时代,当然他还会面对很多困难,比如说现在支持他这个结构的芯片还不够多,整个产业链的整合还有很长的路要走,但是我觉得这是一个非常好的尝试。


3、今年我看到了一些东西的落地,特别是安全事件的应急处理方面。不仅像Cisco,PaloAlto Networks、IBM这样的大公司,还有中小公司也做出了这样的产品。回想当年在Phantom获得创新沙盒大奖的时候,在那之前的一两年,我就努力的想找安全运维自动化的工具。其实那时候都特别初级,近几年看到这个东西已经做的相对比较好用,包括他有各种各样的playbook,能集成第三方的威胁情报员等等,这个是给安全运维的人提供了非常powerful的工具,是毋庸置疑的进步。今年没有提出一些特别惊人的概念,而是从产业来讲把它产品化、工具化,这个是对于日常运维工作肯定会是一个非常大的帮助。


4、今年,以色列的那些参展公司的创新能力也让我surprise。他有很多解决问题的方法是非常规的思路,找到了很奇特的一些解法。今年以色列的展区比去年可能还大了一点,然后我在看的过程中找到一些新的(创新),比如说在第四层网络通信这一层,怎么去发现一些恶意代码的执行?其实都是在一个很密切的方向,去找到一种解法。


5、关于谷歌的Chronicle今年是第一次参展,Chronicle是谷歌去年第一年推出来的一个品牌,他是面向于企业来提供安全服务的,我觉得这个是非常需要引起关注的。谷歌的手里有4个8这个DNS,他也收购了virtustotal,关于样本、网络方面有很多的威胁情报,谷歌本身大数据处理能力又是独步天下的,他把这些的整合和360在前几年做的一件事情特别像。我们通过域名解析能分析出来网络攻击的行为,通过样本的分析,能够把一些攻击和样本分析出来,和网络行为联系起来,这一系列是基于威胁情报、大数据分析的网络Threat  hunting 的一个系统。因为谷歌本身有数据上的优势,他的内容覆盖非常广,他能抓全世界的网页,很多东西抓过来都是可以进行分析的,这个路子他在数据源和数据量上有巨大的覆盖率这样的天然优势。他在商业模式上也有一些创新,按照用户企业的员工数,不管你有多少设备和数据量,也不管你用了多少带宽。你可以把你的日志等传给谷歌。如果说谷歌现在对日志不支持,他们后台有工程师能够很快的去解析数据去做更深度的分析。这一部分在将来很容易会形成在网络安全空间里面基于情报、基于综合数据分析,后台再加上人工智能等一系列的手段,能变成在Threat  hunting的领域非常主要的服务商。所以google chronicle 我觉得产业界值得去多关注一下。


今年很多展商和展品都是基于威胁情报驱动的,威胁情报在产业里已经形成交易市场,你可以去买第三方的威胁情报,但最后还是拼谁的威胁情报的维度更多、另外就是你的威胁情报量有多少,谷歌Google cloud、Gswit等一系列的用户会越来越多,到最后可能会出现有了网络威胁,攻击者很难能够完全躲出谷歌的射击范围,信息被收集了,再加上有很高超的技术:大数据、AI等的分析能力,他的叠加会产生1+1远远大于2的效果,这个需要引起关注。



精华丨RSAC2019 直播专家精彩观点总结(上集)


@ 左英男 kevin 360企业安全


1、关于零信任:在去年ISC中国互联网安全大会上,360开始大规模宣传零信任,这件事我也是”始作俑者”,这次来RSAC我也想验证一下这件事“点”踩对没有,验证的结果让我觉得我们还是把握住了时代的脉搏。我在展会上看到很多厂商在蹭零信任的热点,厂商无论是做终端、移动终端、CSB、做网络、做应用安全、做代理、做身份等都在把自己的产品方案重新定位到零信任的概念里,这些照片我拍了很多:看,有微软、谷歌、赛门铁克、centrify、pingidentity、cyxtera、很多做终端的都有。


2、今年我没有去过多的关注某项安全新技术,我主要探究的是背后的原因。我在想:出现了很多新公司和很多新的方案,为什么大家都在谈零信任?都要把自己的产品和方案放到零信任上去?为什么大家都在谈云、数据安全?背后的原因是什么?

你会发现无论是新旧厂商,大家所谈的都离不开两件事,第一件事就是云,本质上就是我们IDC经常讲的数字化转型,在一个非常巨大的IT技术架构在转型的过程中,必然会带来很多新的问题,对于很多传统的安全方案、理念、架构、产品和技术都会产生挑战,所以大家只好去关注这些新的东西。第二就是Hybrid,因为转型的过程不可能一蹴而就,必然会存在一种中间状态,既有传统的数据中心和应用,又要有新的应用,这种混合情况下问题又不一样。


3、安全的真正驱动力是什么?

安全的驱动力有三类,事件驱动(永恒之蓝)、合规驱动(GDPR)、第三个往往被人忽视,他的周期很长,就是我们刚刚谈到的IT基础的技术架构的变革。他可能是5-10年的周期,所以不受关注。但我这次最大的感受就是安全的黄金时期就要来了,而其最大的驱动力既不是事件驱动,也不是合规驱动,正是因为IT技术架构在发生剧烈的变革,这个转型的过程会给安全带来的驱动力影响非常深远,而且周期长。这是我们应该抓住的机会。安全是伴随性的技术,如果IT技术架构没有发生变化,数据中心就是数据中心,网络就是网络,终端就是(这个)终端,你再玩出花来、各种各样的合规出来,网络安全技术本身这个市场都很难发生根本性的变化。但基础架构变了,他的影响将会机器巨大和深远。

你能看到这个周期真的大概十年一次,当时互联网的出现,造就了Cisco,也造就了一大批的网络安全厂商,十年过去了又开始向云转型,今天我看了一句话说得很好,云就是企业的数据中心,互联网就是企业的网络基础架构,SaaS就是企业的应用,数据就是企业的资产,所以接着我们的话题就是身份就是新的边界,零信任就是新的安全架构。所以我觉得整个IT技术架构向云和大数据这个新的信息化浪潮转型,对安全的影响力是非常大的。


精华丨RSAC2019 直播专家精彩观点总结(上集)


@刘浩 360企业安全


1、我17年来的时候看到很多厂商都在讲casb,当年创新沙盒厂商做casb的也有。今年再过来就发现了比较明显的变化:第一,当时17年赛门铁克还在讲云基础架构安全、云基础设施安全、casb等分得很细,今年发现做casb独立的厂商所剩无几,大多都融到大厂的方案里面去了,比如Cisco、微软这些。第二很少去讲云基础设施安全,但是会看到出现比例最高的词就是云安全,我认为这里面有两个含义:一是云已经作为基础设施普及度非常高了,大家不会再去像新生事物那样对待他了。数据、应用真正往云上迁移的程度已经比较高,大家就面对了云上的数据和应用怎么去做安全的问题。所以有些公司虽然不是专门做云基础设施的,但是他也会说我是支持cloud的。


2、其次我觉得云生安全这次也有比较多的公司冒出来。印象比较深的有二,第一是针对容器的,但是现在他并没有专门针对容器,是说支持混合IT环境,里面有裸金属的、VM的、还有容器的,因为现在docker和Kubernetes这种东西在全球的适用范围非常广。第二就是devops,devops天然能和docker、Kubernetes非常好的结合,这次做devops的公司比之前印象中要多了一些。创新沙盒里有个公司叫capsule8,这家公司我发现他跟CWPP模型概念是一样的,他是在这个模型里面做一些事情,正好跟我们现在做的方向比较类似,但我个人认为我们做的比他还要全一点,因为国内的云环境更复杂一些(多云、混合环境)。


3、我去看做云安全的展商,他都提了一个关键词,就是zero trust。说明零信任或者说trust这个事儿在云里面也有两个点,第一就是STP,软件定义边界。第二就是因为大量的应用迁到云上去了以后,应用本身如果要保护数据还是跟身份相关,所以我和Kevin探讨的事情就是怎样在云环境下,zero trust更好的落地的方案。



精华丨RSAC2019 直播专家精彩观点总结(上集)


@杨宁 阿里云安全


传统安全厂商例如Symantec在寻找云安全的路,SDP这条路是一个不错的选择,CASB主要关注SaaS应用、SWG,SEG支持Email和WEB、第三类就是通过SDP来做AWS、Microsoft、Google的云上安全。这个里面需要导流,传统的导流方式主要是通过代理方式,而Symantec现在使用的是远程沙箱模式,基本上针对流行的和自定义的SaaS、Cloud Apps都支持,是一个不错的创新点,国内的安全公司也可以考虑这种模式来走!

精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


@刘文懋 绿盟科技


今年是CSA第十年,预告片介绍CSA的十年发展,提到了2014年进入了中国,现在在介绍下个十年的问题,由于云安全成了其他信息系统的中心,所以CSA也开始在各种其他方向的研究,例如数据分析、AI、物联网、区块链等等。

精华丨RSAC2019 直播专家精彩观点总结(上集)

精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)


跟往年的CSA高峰论坛一样,CSA一直在推软件定义边界和零信任,这次有Cyxtear和Zscalar。本质上,企业上云、大型分支企业、移动办公等场景下,安全团队解决的一个问题是:复杂环境和业务变化导致访问控制授权不一致,采用的技术原则是零信任,即在任何时候,主体访问客体都假定是不可信的,客体资源是默认不可见,除非主体向控制器提供了必要的凭证,且控制器认为满足业务所需的访问控制策略。零信任有很多实现方式,我看到的有软件定义边界、微分段、移动目标防护MTD等等。


这些方法都能实现如下功能:

1 减少攻击面,因为被保护的资产默认是不可见的。

2 保护访问控制,基于身份而非网络地址的访问可以保证访问控制策略的一致性。

3 使攻击难度增加,强化的防护机制可使低级攻击者知难而退,增加高级攻击者的难度。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


回想一下各大互联网公司一直是按这种经济模式设计的。


精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@刘文懋 绿盟科技


今年大量的大型企业在谈response,很明显的趋势,无论背后的技术是mdr还是soar。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)



kubernetes的议题每天都有,不过都是聚焦于基本知识和介绍如何加固,美国人民(普通企业)也是刚刚开始了解这些技术,预计明年有更多更深的话题,还有更多kubernetes和cloudnative ready的安全产品出现。ps. 今天这位讲者是google的,title是security advocate..


精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@袁明坤 安恒信息

sans2018年的调查,企业的工程团队都在快速部署全新的前沿技术,而95%的安全团队忙于应付保护现有应用,fighting yesterday’s battles .打昨天的仗,保护遗产.哈哈,很棒的说法。安全左移是必然的趋势,防护,检测,监测,应急都应该从dev阶段开始。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@李远 安博通


当我们在国内讨论SDWAN时,我们总是认为他的现状就像他的大哥SDN一样,学界火热繁荣而商界停滞不前,多年来SDWAN一直诟病和希望替代的路由协议和VPN方案虽然被证明确有缺陷也确实复杂,但在广域网上依然不可或缺,可能这本不是件可以简化的事情。安全厂商进军该领域是种缘分也是某种程度上的“越界”,魔力象限上TOP厂商有近一半不在RSA,我觉得原因是广域网的种种在数通范围就有大部头的工作,所以安全厂商大多是提供“超载”方案。当SDWAN已经逐渐成为安全盒子的标准feature,而且理直气壮地配着BGP、IPsec、TCP优化一块服用时,不知道当初的革命家作何感想。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@王延华 绿盟科技


未来几年内,soar仍然是安全技术的热点。 


精华丨RSAC2019 直播专家精彩观点总结(上集)


今年《新兴威胁》研讨会中不少嘉宾把肉鸡造假列入新兴威胁,很多嘉宾在提及这一领域时都提及了普京。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


传染病的预防和监控体系和网络病毒应急处置的确有很多相似的地方。

精华丨RSAC2019 直播专家精彩观点总结(上集)

精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@石丰 绿盟科技


用云来防护和防护用来防护的云,更像是一个哲学问题。主讲人从罗马时期的防火过渡到家庭安全的模式最后引入云安全架构,由浅入深。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@曹嘉 绿盟科技


GDPR&GRC:无论GDPR还是CCPA(加州隐私法案),都在讨论如何解决对数据的访问权限过于开放的问题以及法案对于企业的成本影响(相信这不是最后出现的隐私法案,如果更多的数据隐私法案出现,合规成本会不会过高)。最终,相信法案的建立将直接引导跨境数据的流向。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@吴湘宁 亚信安全


RSAC 2019 Openning Keynotes!过去我们在网络社会中,说到安全想到的是对威胁的防御,安全是一种保护。如今在数字社会里,信任变成基础,如何证明你就是你变得尤其重要。网络身份认证技术将成为关键。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


@郭亮 数字观星


#产品感想一#Disrupt Ops 

基于Dev Ops的持续化安全运维管理,虽然门槛比较低,但真正在这方面做得好的不多,就是感觉讲的有点浅,干货比较少。由于Dev ops的灵活性其应用越来越普及,国内也开始有所发展,预测这家的市场应该在欧美发展比较好,国内可能暂时一般,但较有潜力。


#产品感想二#「GDPR」

现场有三家参赛厂商提到了这个关键词,并从各个纬度阐述了方案,可见GDPR的合规性是当前的重点。对国内厂商比较有借鉴价值。


#产品感想三#「可视化」
评委多次提到这个问题,每个厂商或多或少都有体现,让人看懂安全不一定是最重要的,但一定是最重要的之一。


#产品感想四#「实时性」

几个参赛厂商,不管是代码,加密还是反欺诈,都在进行实时演算。结合RASP的发展。可以看到共通点,实时检测,实时防御,实时响应。


精华丨RSAC2019 直播专家精彩观点总结(上集)


@程度 青藤云安全


#DevSecOps企业

第一家synosys。

作为AST领域的领头羊,从SAST(coverity),SCA(blackduck),IAST(seeker),DAST都有所涉猎,传统中也能流露出极好的方法论。

精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)

第二家checkmarx。

除了DAST没有外,也都是全的,很耿直的承认在OSS方面不如blackduck,被我抓住了。


精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)


第三家whitehat

解决的问题类似,产品界面比较简洁,代码审核类的产品还是各家都有自己的特点,有跟IDE结合的方式,也可以上传到服务器上集中分析。对于OSS的解决方案也是类似。精华丨RSAC2019 直播专家精彩观点总结(上集)


第四家whitesoure

也是以开源安全为主要噱头,同时也支持容器,容器其实跟DevSecOps很近,不是说这个必须用容器才算开发运维安全,使用容器会让DevSecOps更加容易。

精华丨RSAC2019 直播专家精彩观点总结(上集)


第五家twistlock

标准的容器安全公司,很多公司基本在CI CD方式上全部采用容器形态,所以关注容器安全也即是DevSecOps。


精华丨RSAC2019 直播专家精彩观点总结(上集)


第六家ARXAN

居然是做加固的,好像也说的过去,各种app包括页面都可以做混淆加密。


精华丨RSAC2019 直播专家精彩观点总结(上集)


第七家aqua

也是一家容器安全公司,被twistlock说在scale层面比不上。解决的问题基本一致。


精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


@陈少涵 天空卫士


#安全托管服务MSSP

看了几家在不同细分领域云转化做得比较好的厂商,感觉正如之前几个Gartner分析师跟我分享的: MSSP一定是Cloud的next big thing。这些安全厂商在两年前还都只是致力于安全即服务Security as a serice, 即为客户提供不需要本地安装的以云服务方式实现的安全能力,这种安全能力还是需要客户自己去管理,配置和监控。而现在,这些厂商不约而同地都推出了各自的MSSP,也就是把管理、配置、监控都拿过来,并收取一定的费用。


大家可能会问,安全托管服务是拿人力堆上去的,这不是会增加厂商的成本,降低毛利率吗?为什么厂商都趋之若鹜呢?答案在于云化的安全功能即服务的实现和成熟的API的安全配置和监控功能的普及。有了这两个前提,安全托管服务就完全不需要去去客户现场的支持,成本大大降低。同时由于MSSP厂商的安全托管团队不同的人员只负责一个或两个很少的安全功能,每个人天天做类似的配置,处理类似的问题,很快就成为了这个安全功能的实战型专家,处理case的效率会非常高。这有点像当年福特发明了流水线之后,每个工人只负责一小部分,每天做一样的工作,效率大大提高。站在客户角度来看,可以把IT中最具挑战的安全管理外包给经验丰富的专家,可以省去招聘、培训和供养昂贵的安全管理人员,而付给MSSP厂商的钱可能只是上述省下成本的一小部分,何乐而不为呢?而从经济学角度讲,这种组合方式可以大大提高全要素劳动效率,减少每个客户在招聘、培训、安全规划、经验获取方面的重复投入,对整体安全生态的效率提高是非常有利的。MSSP厂商相当于把每个客户的安全预算中相当一部分拿过来,而由于厂商的效率是客户的几倍甚至十几倍,所以利润是非常可观的。这就是为什么Gartner分析师称MSSP是cash cow:现金奶牛。


但MSSP也有自己的问题,尤其是在中国面临的问题。


说说MSSP的困难:
1. 正如之前所说,MSSP必须要有完善的云服务来提供安全功能,并且安全事件告警等最好能通过完善的API机制先进行一些自动化处理,这样才能够最大降低人力成本。也就是说安全功能云化是前提,API化是优势。这两个前提条件目前对中国本土的安全公司来说还是很有挑战的目标。
2. 客户需要完整的托管安全解决方案,而不是安全的某个细分方面。既然要花功夫去外包,为什么不把所有安全功能,web security,email security,data security, casb等等,全外包给一个什么都能做得公司呢?这样可以保持单一联系接口,单一用户配置界面,单一任务申请和事件报告界面,何乐不为呢?目前国内公司能把所有企业安全功能都做,并且能云化这些功能的几乎没有。
3.托管安全服务需要蓬勃的云生态,足够的云客户基础来维持收入增长。目前国内还没有到这个层次,个人感觉还要三到五年。


精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)
精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)精华丨RSAC2019 直播专家精彩观点总结(上集)


精华丨RSAC2019 直播专家精彩观点总结(上集)


精彩下集,敬请期待……


数说安全

网络安全 行业数据 市场研究 企业分析

精华丨RSAC2019 直播专家精彩观点总结(上集)

扫一扫或长按识别

关注我们

原文始发于微信公众号(数说安全):精华丨RSAC2019 直播专家精彩观点总结(上集)

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X