RSAC大會落幕

　　美國時間2月28日，被譽為“安全奧林匹克”全球安全頂級大會RSAC 2020落幕。值得一提的是，這場大會吸引了來自全球知名信息安全企業、行業決策者和資深專家學者40000余人參會。那這個大會有哪些新消息，又釋放了什么信號?在美國舊金山參會的360董事長兼CEO周鴻祎、360首席安全官杜躍進也帶來了自己的思考與感悟。

　　第五屆中國互聯網安全大會ISC 2017曾以“萬物皆變，人是安全的尺度”為主題，探討人與互聯網安全的耦合作用，表達了在安全防御的閉環里人是繞不過的環節。

　　而RSAC 2020 以“Human Element”人是安全要素為主題，在杜躍進看來有兩層含義。一方面，人是不可控且復雜的因素，除了公司以外還有家庭、朋友等社交網絡。對于需要安全防護的企業客戶來說，人這一環節與其他環節的聯系始終是很大的安全挑戰。這也是近年很多安全服務方不斷開展針對企業員工安全意識和安全技能測試和培訓的原因。

　　另一方面，對于安全廠商人的因素同樣是不可控且復雜的。從哲學的角度體現，就是唯武器論與人機結合論的博弈。唯武器論表達的是防御全靠技術，一個產品可以抵擋所有黑客攻擊。杜躍進表示，他不同意這一觀點，“網絡安全的最后戰場依然是人與人的對抗，而不是程序與程序的對抗，至少到目前為止，還做不到靠純粹的自動化、人工智能與真實的攻擊者對抗。”

　　因此，越來越多安全廠商認識到，賣給用戶產品并不能為用戶真正解決問題，還需要與安全專家的能力結合。從這一角度來說，供應商需要有強大的專家能力結合產品能力提供服務，或者用戶有專業人才能力并進行人機結合，才能解決安全問題。

　　今年的RSAC創新沙盒大賽前十強中有三家數據安全公司，摘得金牌的美國企業SECURITI.ai就是一家數據隱私保護類公司。這一結果與杜躍進之前的預期相差無幾。

　　無論在投資圈或是產業圈，數據安全一直占據安全關鍵詞首位。盡管其被關注已有三年，仍算一個“新”問題，諸如GDPR之類政策帶來的市場顯而易見，但具體落地仍是盲區。接連不斷的數據安全問題以及國內外相關法律標準的制定，使我們在對大數據安全過度恐懼之下采取了一系列措施，也導致了部分數據空白。杜躍進還舉例說，比如在這次抗擊疫情期間，大數據凸顯出了關鍵作用，但在分析過去某些數據時發現了缺失。“當我們從IT時代進入DT時代，數據經濟是不同的，IT時代是先出現業務才尋找數據，而DT時代是先有數據才有業務創新。”

　　因此，這里需要一個平衡，從國家的角度來看，要提升應急管理能力，離不開大數據，但用大數據需要考慮安全。如何能讓大數據在發揮作用的同時不出現安全問題?這也是合規產生的需求，數據從法律標準的合規需求、企業自己的內需到現實中國家和社會遇到的問題，都離不開安全。

　　如果這樣看的話，RSA創新沙盒大賽前十家中三家是數據安全公司，也證明了這一趨勢：太多用戶需求沒有被滿足，大家意識到這個問題但找不到合適的產品和解決方案，這是一個快速成長的過程。

　　此外，周鴻祎也分享了本次RSA之行中總結的三個安全趨勢：第一，未來安全產品不單是最基礎的合規，僅僅解決“有和無”的問題，而是由能力驅動，能不能解決客戶的問題，會變成一個很重要的衡量標準;其二是大數據采集和分析，如360安全大腦，未來無論是EDR還是CDR，這種數據探針將對整個企業內部各個層次、各個設備、各個系統用大數據的采集，并基于比較完整的大數據來對外部威脅做分析，以后是一個必然的方向;最后是在大數據匯聚方面，SDR肯定要超越SEM，未來很多基礎性的工作未來一定會趨向自動化，但是企業安全的防護卻會越來越多的依賴專家服務，尤其面對高級威脅攻擊(APT攻擊)時候。

　　周鴻祎說，他來RSAC 2020有三個目的：首先，2019年9月，360重新制定了政企戰略，不僅限于單純給客戶提供軟硬件產品。作為全球網絡安全大數據最多的公司之一，360可以利用網絡安全大數據幫助國家發現和應對國家級APT攻擊，過去幾年內360發現了超過40起有組織的APT攻擊，背后的關鍵技術就是360安全大腦，其基于大范圍、長時間、多維度的安全大數據，綜合運用大數據分析、機器學習以及人機結合等關鍵技術，是實現網絡安全防御智能升級的雷達系統。

　　“我想向國際介紹360安全大腦的理念，并得到國際安全同行的認同。”周鴻祎說，參觀了眾多展位后，他發現不少新興公司與360技術路線非常吻合，大家都開始盡可能在收集數據，利用大數據分析尋找攻擊，也越來越意識到安全是一個整體問題，依靠單點安全設備只能應對一些小毛賊，無法看見隱蔽的國家級攻擊。

　　其次，網絡安全問題并非靠一家企業能夠解決，360也只是做了能夠發現攻擊的雷達，企業和政府的安全需要更多好的技術一起解決。他希望把國際上不錯的新技術帶到中國。

　　最后，作為一個RSAC的“忠粉”，周鴻祎更希望中國的網絡安全產業有類似激勵創新、產業合作交流的環境。過去七年，他打造了“中國版”RSAC大會——中國互聯網安全大會(ISC)，也嘗試學習了沙盒比賽這種形式，希望能建立另外的價值觀：衡量一個公司，并非以短期的市值和收入為標準，而是以創新力、以其細分市場的敏銳度、以其解決問題，為客戶創造價值等角度評判，培養真正有創意，有前瞻性，對未來有預見的公司，能夠看到未來幾年可能出現的安全問題，并有解決的思路和方向。

　　在他看來，只有這樣的大會才有資格成為中國的RSAC，網絡安全行業十分特殊，如果大家不能攜手對抗網上的黑產和犯罪，最后所有人都是輸家，沒有人會是幸存者。