RSAC 2023 :携手更强大
2023 年 RSAC的主题是 “Stronger Together”(携手更强大),显然是从美国知名女作家、教育家、社会活动家海伦·凯勒的名言获取灵感,“Alone we can do so little; together we can do so much。”( 单枪匹马,车水杯薪;同心一致,其力断金。)
“携手更强大”的主题首先反映在RSAC 2023 庞大社区上:超 625 家供应商、700 位演讲者, 26,000与会者参与了今年的RSAC,规模超过以往任何一届。同时,随着生成式 AI的崛起, 网络安全已从传统的人与人的对抗,可能演绎成人与机器的对抗,携手更强大”诠释的是超越传统意义上的人类力量聚合,还是产品、工具和平台间的互联互通,更是人员、工具、机器、自动化、AI等在内的创造和组合, 以最高的效率实现最佳结果。
人工智能席卷RSAC,AI将成安全防护基础?
人工智能与机器学习无疑是本届RSAC的热点话题, 旧金山莫斯克尼会议中心到处充斥着 “AI” 的味道。
这里既有坚信AI的追捧者,相信AI能深度落地到网络安全的诸多领域;这里也有AI怀疑论者,过去20年机器学习和人工智能能在信息安全领域起到决定性作用的场景依然有限。
今年的 RSA 创新沙盒比赛中,致力于保护AI 模型的初创公司HiddenLayer被评为“最具创新性的初创公司”。事实上,除了HiddenLayer,还有两家AI标签的安全初创公司入选创新沙盒比赛10强。HiddenLayer提供MLMDR(机器学习检测和响应)平台,用于监测机器学习算法的输入和输出,以发现异常活动。行业观察人士认为,这一结果表明了网络安全创新的前景和创业生态系统的有趣转变:风险投资人从炒作 AI/ML 安全工具转向投资保护AI模型的初创公司。
RSAC会议的所有研讨环节(Session)都会涉及AI话题,AI安全产品发布也成为大会的热点。大大小小安全公司都在努力与生成式AI结合,推出包含生成式人工智能的新产品,为自己产品贴上AI标签:包括 RSA安全在内的近 12 家主要安全供应商及 50 多家初创公司发布了人工智能驱动的网络安全产品。
谷歌云宣布推出 Security AI Workbench平台,将谷歌云 Sec-PaLM 的新型安全大型语言模型 (LLM) 与 Mandiant 情报结合,使合作伙伴能将生成 AI 扩展到自己产品。
SentinelOne 则推出使用生成人工智能和强化学习功能的威胁搜寻平台,帮助企业检测、阻止和自主修复攻击。BigID 推出人工智能引擎BigAI,加速数据安全、治理和风险管理计划。SecurityScorecard 宣布推出与 OpenAI 的 GPT-4 系统集成的安全评级平台,让让安全团队更容易理解威胁并采取行动。
在RSAC召开前,就有多家企业进行了AI安全产品的发布。4月,Veracode 和 Recorded Future也宣布将生成 AI 引入自己的产品中。Veracode 生成式 AI 产品建议修复代码和开源存储库中的漏洞;Recorded Future则训练 GPT以帮助威胁分析师更好地解释安全风险。3 月下旬,微软宣布推出基于 OpenAI’s GPT-4 生成式AI的Microsoft Security Copilot,通过易于使用的AI助手,提高安全团队的整体效能。
安全厂商在RSAC的AI产品发布没有改变”智者”疑虑, 不少“智者”仍持观望态度。Cybrize 首席安全官兼战略官 & 联合创始人戴安娜·凯利,在主题演讲“炒作与现实:如何评估网络安全中的 AI/ML”中表示,人工智能和机器学习在网络安全的应用日益普遍,这些技术有望大大提高安全防御的质量,但也是容易被过度宣传的流行语。生成式 AI都是在大量图像和数据上进行训练的,非常适合集思广益,但它还不是完全可信的系统,并非所有结果都准确的。
与其他行业相比,网络安全公司将生成式AI应用于安全防护的速度要慢一些:安全公司只是在自己的情报和攻击数据中训练自己的大型语言模型。一些安全公司另辟蹊径,为AI安全提供防护。例如,赛门铁克在内部使用和研究生成式AI,包括如何从 PB 级安全情报中获取更多价值,还针对AI使用中数据可能被滥用的风险,赛门铁克企业云还推出专门的解决方案,帮助企业安全地采用生成式 AI 应用,将数据安全控制应用于生成式AI对话。
在演讲中,RSA 首席执行官 Rohit Ghai 表示,人工智能将成为网络安全的基础。我们需要人工智能来阻止利用人工智能发起的攻击。但他也表示,安全领域的 AI 并不意味着要取代人。目前安全公司推出的大多数AI解决方案都是“副驾驶”类型的解决方案。很多行业的工作会将因人工智能而消失,但在网络安全方面,人工智能将使决策变得更容易,即使人退出自己的角色,仍需要对AI进行教育、监督和规范。
RSA CEO Rohit Ghai :我们需要用好AI打败坏AI
演讲者提供的题材的热度前三名分别为 智能分析响应(Analytics, Intelligence and Response ), 威胁和攻击(Hackers and Threat ), 风险管理 ( Risk Management & Governance ) )。
智能、分析与响应:攻击面管理与主动狩猎更受关注
智能、分析与响应领域没有出现预料中的AppSec 与安全运营,或者 IT 基础架构与安全运营等融合趋势的探讨,更多还是聚焦在一些单点技术的尝试和突破。
技术趋势方面,在攻击面管理方面有了更深入、更广泛的探讨。网络漏洞和弱点无处不在,但我们首先需要修复什么? Mitre ISA (Infrastructure-Susceptibility-Analysis-and-Assessments基础设施敏感性分析) 是一种旨在将弱点或漏洞缓解工作集中在最有可能被利用的系统和架构上的方法。ISA 扩展并升级了当前的威胁情报方法,在威胁风险等级评估时,将情报中攻击者的能力(Capability)演进成目的(Objective), 将攻击者使用的技术(Technology)演进成攻击成功后的后果(Effect), 从而更好的用风险等级指导组织对运营环境中的风险隐患进行优先级排序。
主动狩猎呈上升趋势。当面对威胁进行狩猎建模时,不同的方法、理念和与风险指标应运而生,不仅仅是技术工具的演进,团队工作模式和信息共享方式,以及工作汇报的结构和方法都会随之变化。狩猎的技术方面,在机器学习技术的推动下,构建在知识图谱上的主动式威胁狩猎被多次提及 。基于端及流量日志数据,结合内网资产数据形成的资产图谱,构造行为关系图谱;使用机器学习技术训练图自编码器(Graph Auto-Encoder),将知识图谱空间映射到多维的数值向量空间;利用图自编码器将同一类的行为映射成数值向量,通过设置与正常的向量的距离阈值推测是否为异常行为;再在资产图谱上对历史异常行为数据通过机器学习方法进行分析溯源或建立预测模型,从而对恶意行为如攻击的横向移动构建攻击路径预判或进行预测。
安全运营的流程趋势或创新倒是没有特别提及, 相反更多强调的是网络安全从业者的责任感。在重压之下,我们应该如何像从社会应急人员、救火队员、反恐小组成员等学到在突发事件到来时的责任和担当,更好的管理压力和心里健康,并将高压下的训练和反应常态化。
威胁与攻击:勒索、钓鱼和账户接管(ATO ) 仍是主要威胁
历年的RSAC都会对威胁攻击事件进行预测总结,没有例外。所谓无威胁, 不RSAC。
宏观趋势方面,勒索软件、网络钓鱼和员工账户接管(ATO ) 仍然是最主要的威胁。网络安全领导者应投入足够的精力应对这些重要威胁并关注相关的微观趋势。勒索软件微趋势主要包括数据窃取或破坏较数据加密更易实施且更省时,利用企业设备、云存储和安全工具中的错误配置,二次赎金流行导致支付赎金法律风险增加。网络钓鱼微趋势方面,BEC类型的钓鱼邮件仍然难以检测,钓鱼邮件仍是恶意软件传播主要途径,网络钓鱼即服务 (phishing-as-a-service) 增加,钓鱼攻击仍是数据丢失的主要原因。对于员工账户接管 (ATO) ,微趋势包括密码仍然是最流行的身份验证方式,多因素认证 (MFA) 易受钓鱼攻击影响,SMS或语音身份验证可能遭受SIM交换、恶意软件和针对电信公司基础设施的攻击,提示轰炸或MFA疲劳攻击增长迅速,针对一次性密码 (OTP) 的中间人 (MITM) 攻击,可绕过身份验证的传递cookie (PTC) 攻击,利用账户恢复漏洞的攻击。
容器安全不能代表云安全,但对容器的集中攻击确实是今年的热门话题,尤其是公开的容器镜像的安全问题。虽然容器安全扫描正在被越来越广泛地采用,但从安全角度来看,每个容器镜像的目的, 镜像中包含的复杂的开发组件以及他们之间的依赖关系,导致容器安全最终的攻击面大于其漏洞总和。同时容器的全生命周期,新漏洞的发现、新版本生产环境的发布和部署都增强了其复杂度。而综合容器镜像安全的最佳实践,了解你的镜像,持续自动的优化容器,消除漏洞,以及非必要的组件,开销。最后,只上线你必须要的部分。
风险管理:API 风险热度超过多因素认证、零信任和漏洞管理
风险管理方面, API 风险被屡次提到,热度甚至超过多因素认证,零信任和漏洞管理。新型的无代码和低代码平台,以及并购安全风险也在本次大会的风险管理关注度中排名靠前。
API 风险
API已成为应用前后端、应用间交互数据的主要方式,是组织业务和数据能力对外提供服务的主要形式。针对应用和数据服务API的攻击在数量和频率上呈现倍数增长趋势,手法也日趋复杂。
与会专家认为,API面临的主要风险包括:绕过访问控制机制的API未授权与越权使用;利用开源组件漏洞、脆弱性配置、管理不善的API等非法窃取数据;利用机器人和AI技术进行拒绝服务攻击和边界渗透;应对日益增长的API风险的措施:利用WAAP和内部分段进行纵深保护;开发与运行阶段结合发现API并做好生命周期管理与安全测试;对API进行分类结合数据分级保护;持续对API进行态势管理、安全监控、快速响应。
无代码/低代码(No/Low Code) 风险
低代码或无代码平台方式开发应用软件带来的效率提升,开发门槛降低等好处已被广泛认可,于此同时这种新型生产模式带来的风险也被更多人认知。大量应用程序无法集中监管,从而产生的应用是否符合安全与合规标准难以评判。进而,应用程序的身份仿冒,数据泄露风险无法被定级评估。应对风险的措施主要还是对低代码或无代码平台进行审计并对生产的应用进行统一管理,统一进行风险评估并利用自动化剧本进行风险治理。
公司并购风险
在应对公司的并购活动中新公司的加入带来的网络安全风险中,今年提出了一些新的框架来预防并购过程中可能犯下的一些错误。通过并购过程中 场景->问题->方案 的沙盘推演, 来解决 M&A 过程中准备不足,盲目冒险, 不当整合,保护不足等问题。比如说对新并购公司的SaaS应用资产台账不清楚(场景), 导致重要信息泄露的风险(问题),将SaaS应用的发现和台账信息获取纳入尽职调查流程。
初创公司: 安全右移势头在上升
初创公司是伟大创意的发源地,通常也具备更好的执行力。很多网络安全从业人员都深受哈佛商学院教授克莱顿•克里斯坦森《创新者的窘境》(Innovator's Dilemma )的影响。
今年RSAC的 Early Stage Expo 给52家初创公司提供了集中展示的舞台。候选企业中, 有超过20%的从事应用安全(AppSec) 相关的领域。过去几年大家都在谈论安全左移。从相关初创公司的产品介绍来看, “右移”的势头却在上升。厂商的产品价值普遍关注应用运行时的性能、弹性和可靠性。即使云原生模式的转变也同样需要兼顾左移和右移策略。初创公司除了提供更好的 CI/CD工具,产品能力也在兼顾更好的可见性、扩展性和安全性。此外,在开源趋势的背景下,对 SBOM 的关注,越来越多以应用系统为目标的攻击,也促使相关的产品方案会兼顾对开源代码和其依赖的检查,以及开源代码的操弄、攻击和权限变更行为的检测。
以下我们也挑两家代表着AppSec未来的新生代厂商做个简要分析。
(1)OXEYE :全面的静态和运行时分析
Oxeye 结合了 5C(代码、容器、集群、云及其连接/通信)的静态和运行时分析,以查找现代分布式应用程序的漏洞并确定其优先级。通过将静态和运行时分析以及 SAST、DAST 、SCA、 ASOC 和 ASPM 的功能组合到一个工具中来提供上下文化的漏洞结果。Oxeye找到所有自定义代码、开源和第三方包漏洞,然后执行以下操作以消除无法利用的漏洞,以便更有效地进行修复:
查找并确定加载和使用了哪些易受攻击的开源和第三方包,并过滤掉那些没有的。
过滤无法从 Internet 直接或间接访问的漏洞。
通过添加基础架构配置数据进一步优化。
通过对可利用的 API 进行模糊测试来执行主动验证。
(2)ArmorCo打破安全孤岛(ASPM+UVM+ASOC)
ArmorCode 结合应用程序安全状态管理 (ASPM)、统一漏洞管理 (UVM) 和应用程序安全编排与关联 (ASOC),提供单一的 AppSecOps 平台。该平台统一了应用程序安全和基础架构漏洞管理,以提供洞察力、敏捷性和跨安全性和开发人员的协作团队。
ArmorCode能够统一和关联数百种安全工具(从主机到云再到代码)的发现并统一漏洞管理,在单个工作流程中对 DevSecOps 管道、云和本地资产中的漏洞进行分类和优先级排序,通过优化分类工作和改善安全与开发团队之间的协作来缩短漏洞响应时间。
社交网络
RSAC 最吸引人的部分还是见到老朋友、结识新朋友,建立公司以及自己的朋友圈。井井有条的结构化会议日程固然高效,在没有刻意安排的早餐、咖啡、茶歇和会议间隙的五分钟休息中,能和来自全世界的网络安全从业人员彼此认识、相互学习, 是很多RSAC忠实参会者的主要目的。
在今年RSASC中,我们偶遇结识了10几位来自世界各地的网络安全从业者,在或长或短的聊天、讨论,辩论甚至是碰撞中,彼此尊重,相互理解。
印象最深的有两位,一位是Dolby 的CISO并兼职湾区CISO社区的顾问。在15分钟的早餐闲谈,同时也是脑力激荡过程中,他听到中国CISO坚持业务导向、价值导向而非传统的最佳实践导向,给他带来巨大的震撼,;同时,他也分享了指标驱动安全运营、安全建设的实操难度。来自VMRay 的产品副总裁, 在奇安信展台听到了来自中国网络安全发展的声音。
RSAC参会人数已恢复到疫情前的水平。作为立足北京、辐射全球的世界级网络安全产业及技术交流与合作平台,2023北京网络安全大会(BCS) 也将恢复线下会议,中国网络安全人迎来自己的社交与深度沟通的机会。2023年7月,北京网络安全大会(BCS) 见!