1）前言

摔倒后，站起來！這就是Resilience（彈性）。

注：Resilience和Resiliency是可替換的拼寫方式，譯為彈性、韌性、復原能力皆可，本文統一為“彈性”。

2020年以出乎意料的疫情考驗了全人類，使RSAC 2021的主題“彈性”（Resilience），比歷屆都更能引起共鳴。

RSA 2021已于美國舊金山時間5月17日8:00（北京時間當晚23:00）召開，這是RSA大會有史以來第一次采用網絡虛擬會議的形式舉辦。360安全專家團隊和市場團隊第一時間蹲夜守候，為安全行業傳遞RSA聲音。

2）變化的是形式，不變的是熱情

RSA大會始于1991年，由美國RSA公司發起，至今正好30歲。正如RSA算法已經家喻戶曉，RSA大會也已成為全球公認最權威的年度安全盛會。近幾年來，現場參會人數多達4-5萬人。而今年最大的變化是采用線上網絡虛擬會議的形式舉辦。

RSAC最早是RSA發起的，而RSA的名字來自與密碼和安全界無人不知的RSA算法的三位創造者。而其中最著名的R（Rivest）和S（Shamir）都到場了。另外，還有大名鼎鼎的DH算法創造者之一Diffie。

3）何為“彈性”

RSA大會每年都會有一個主題（Theme），本次大會的主題是Resilience（彈性）。我們由于跟蹤美軍和美國網絡安全技術發展，很早就意識到“彈性”有可能成為某界RSAC的主題。比如說：

2017年，MITRE發布《網絡彈性設計原則》（Cyber Resiliency Design Principles）。

2018年，MITRE發布《網絡彈性指標、有效性度量和評分》（Cyber Resiliency Metrics , Measures of Effectiveness , and Scoring）。

2018年，美國國防部在《國防部網絡戰略2018》中提出“提升美國關鍵基礎設施彈性”的戰略途徑。

2019年11月，NIST正式發布SP 800-160（卷2）《開發網絡彈性系統：一種系統安全工程方法》（Developing Cyber Resilient Systems: A Systems Security Engineering Approach）。

2019年11月，美國國土安全部和國務院共同發布《關鍵基礎設施安全和彈性指南》。

2020年，RAND（蘭德）發布報告《度量網絡空間安全和網絡彈性》（Measuring Cybersecurity and Cyber Resiliency）。

彈性來自“網絡彈性”、“業務彈性”等概念。咋一聽，它更像是一個業務連續性概念，通常與備份/恢復手段密切相關。

但“彈性”是一個大概念。NIST SP 800-160（卷2）提出的網絡彈性解決方案（也稱網絡彈性工程框架）是比較權威和全面的（如下圖所示）。它將網絡彈性（Cyber resiliency）定義為預防、抵御、恢復、適應那些施加于含有網絡資源的系統的不利條件、壓力、攻擊或損害的能力。

圖-NIST SP 800-160（卷2）網絡彈性解決方案

由上圖可見，網絡彈性的目的是預防、抵御、恢復、適應。這與安全圈里熟知的PPDRR（預防-防護-檢測-響應-恢復）安全模型的覆蓋面差不多。NIST SP 800-160專門解釋了為何將網絡彈性的范疇，定義得如此寬泛。同時特別強調：所有關于網絡彈性的討論，都必須基于以下兩點：

聚焦于保障任務或業務功能；

基于這樣一個假設：對手必將突破防御，并在組織系統中長期存在。

彈性如此重要，是因為如果沒有彈性，政府就可能停擺，企業就可能停產甚至破產。只要想想全球疫情導致多少無法現場工作的情況，就知道它對業務連續性產生了多大影響，這也是為什么遠程辦公突然變得如此重要。最近美國本土發生的“油管”勒索事件，也許就是對本次大會主題意義的最佳印證吧。

強調彈性，意味著網絡安全重點從攻擊預防轉變為增強網絡彈性：既然入侵不能避免，考慮維持業務正常運營，從攻擊中快速恢復過來才是更現實的選擇。

4）開啟“彈性”之旅

開幕式的第一個演講來自RSA首席執行官Rohit Ghai的《彈性之旅》（A Resilient Journey）。Rohit Ghai認為，在2020年，網絡安全經受住了全球疫情和網絡攻擊的考驗。但下一次考驗隨時到來，我們必須踏上彈性之旅。

Rohit Ghai認為，正確地制定框架對于解決問題是至關重要的。而網絡彈性正是一種很好的方式，來為網絡安全行業的問題制定框架。網絡安全行業的共同目標不是避免摔倒，而是摔倒后能爬起來，這就是韌性。

[[400701]]

Rohit Ghai非常擅長講故事，他通過分享老虎、飛機、縫紉機這三個故事，來傳達他提高彈性的框架方法：

第一個故事關于老虎。這是指2020年上映的《虎王》電影，產生了兩億多的播放人次。這得益于其容錯體系結構的設計。這使我們聯想到，如何在當今的混亂環境中，控制安全性。解決思路有3條：

一是預測：這需要安全檢測、評估、可見性、威脅情報、模擬攻擊等能力；

二是零信任：零信任非常非常重要。而最重要的就是要限制信任，不要把信任過度放大。

三是網絡分段：包括東西向分段和南北向分段，并隔離所有受到攻擊的部分。就像我們戴口罩，不僅僅是保護自己，也是為了保護別人。

第二個故事關于飛機。在第二次世界大戰中，盟國希望增強對戰斗機的保護，所以他們與哥倫比亞大學的一位統計學家合作。統計學家檢查了從飛行任務中返回的受損飛機后，并沒有去加強彈孔多的部位（如機翼），反而是加強彈孔少的部位（如尾翼和駕駛艙）。這種反常識的能力，來自于一個著名的心理學現象——幸存者偏差：很多時候，我們只能統計幸存者，而無法統計墜毀者。但仔細想想就會恍然大悟，那些被擊落的飛機，可能恰恰是被擊中了那些彈孔少的部位！

飛機的故事使我們聯想到當今的問題：如何對最大風險的區域進行優先保護？從網絡到端點，到云到IoT，需要都整合到一起，實現基于風險的智能優先級排序，從而保護那些最重要的領域。即使我們跌倒的話，我們也能忍受這樣的風險。

第二個故事關于縫紉機。印度在疫情封鎖期間，要求每個人必須呆在家里面。而印度某協會的婦女們就在家里利用縫紉機，來為醫院、政府做出貢獻。這個故事告訴我們，社區是共同成長的，所以她們才能夠發揮更加重要的作用。

類似地，在網絡安全方面，也需要有包容性，也需要培育安全社區。只有這樣，才能發揮更大的價值。而RSA大會就起到了這樣的作用。Rohit Ghai還舉了一個黑客少年從善的案例，并呼吁：“我們永遠不要放棄這些人才，而是要去招募越來越多的人才，然后共同成長，而不是培養敵人。”

最后，Rohit Ghai提醒我們：我們目前還沒有遇到一個全球性的網絡疫情，說明我們還沒有被充分考驗。彈性之程才剛剛開始，老虎、飛機、縫紉機這三個故事分別教會我們如何跌倒得更少、更快站起來、更有彈性。

5）網絡安全共創未來

第2個主題演講來自思科董事長兼首席執行官Chuck Robbins，他的演講題目是《面向包容性未來的網絡安全》（Cybersecurity for an Inclusive Future）。

[[400702]]

Chuck Robbins指出，面對疫情和新的混合世界，每個行業的每個組織都致力于保持業務彈性。我們的目的就是希望能夠為所有人打造一個更具包容性的未來，而安全必須是一切的中心。

他強調了連接的重要性，對于落后地區，如果能夠把他們連接起來，然后又給他們一些合適的技術，就能夠很有力的改變他們的現狀。所以，我們需要擴展這種連接性帶給人類的機遇，而連接性又需要受到安全保護。所以，從疫情中復蘇必須是一種包容的復蘇，也必須是一種安全的復蘇。

Chuck Robbins還強調了零信任、XDR、安全人才培養的重要性。

6）安全需要直言不諱

第3個演講是《影響網絡安全變化的大實話》（Telling Hard Truths to Impact Change in Cybersecurity），來自VMware全球治理、風險和合規主管Angela Weinman和Netflix DVD信息安全主管Jimmy Sanders。

兩位演講者聲稱都熱衷于推動安全方面的變革。他們認為，新的員工工作模式和日益復雜的入侵行為，要求安全領導人成為講真話者并采取行動。

總之，這個演講的核心就是講真話，解決真實問題，目的是加強網絡安全的彈性。

第一句真話是，現在沒有管理好風險。安全風險缺乏焦點。而如果不能準確的識別確定風險，我們就很難很快的從危害的影響當中恢復過來。必須以風險為驅動因素，衡量投入/產出價值，把有限資源投入在最值得優先考慮的領域。

第二句真話是，傳統安全做法正在拖后腿。我們必須創造一種包容性的環境，讓多元化的想法能夠同臺競爭，讓桌上的每一個聲音都能被聽到，讓最好、最先進的想法獲勝。這樣才可以改善我們的整體安全態勢。

第三句真話是，安全不是一項單獨的運動。在過去一年，正是互相交流幫助我們度過難關。這也正是安全社區的價值，我們需要所有人的努力，需要同行的合作。這反映了“滾雪球效應”，因為所有偉大的想法都是建立在彼此的基礎上的。

7）數學卓越獎

接下來是RSA會議獎“數學領域卓越獎”（Excellence in the Field of Mathematics）的頒獎環節。該獎項旨在表彰那些在密碼學領域是先驅者且其工作具有持久價值的被提名人，他們來自大學和研究實驗室。

本屆“數學領域卓越獎”獲獎者是法國國家科學研究院高級研究員David Pointcheval。他專門從事實用協議的設計和分析，并提高它們的安全性，不僅推進了密碼學的理論，而且降低了現實世界中的業務風險。

8）密碼學專家小組討論

RSA大會每年都會以“密碼學專家小組討論”（The Cryptographers' Panel）作為開幕日的必備項目。密碼學的奠基人和領導者共同討論網絡安全行業所面臨的最緊迫問題。有趣的是，會前并不公布所討論的話題，有時話題也很發散，會隨興所至。

[[400703]]

 

這一次，主持人Ross Anderson與Ronald Rivest、Adi Shamir、Zulfikar Ramzan同臺在線，談論了比特幣、負責任披露、量子計算機、機器學習和AI安全、供應鏈安全、工程隱私、網絡彈性等話題。

最后，主持人Ross Anderson還對Whitfield Diffie進行了專訪。當主持人詢問：未來的網絡安全會是怎么樣的？Whitfield Diffie回答說：人們既想自由，又想連接。但我們的自由是被削減的，我們現在所享受到的自由，在將來看可能非常難得，我們在那個時候可能會特別懷念現在的我們還有一定的隱私性。

9）期待你的發現

是的，在介紹完開幕式的主題演講之后，需要你繼續發現令你感興趣的議題。本次會議的議題非常多，官方說法是24個內容主題（Track），200多個具體議題（sessions）。而具體的議程似乎多達500個。討論相對比較多的領域包括：彈性；零信任；威脅情報；安全框架（如MITER ATT&CK攻擊框架和MITER Shield防御框架、NIST CSF網絡安全框架等）；5G網與邊緣計算；物聯網安全；云安全；供應鏈安全；AI攻防；數據安全與個人隱私等。

此外，創新沙盒作為安全行業的技術風向標，必受關注。已經入選的10強創新產品包括：1）Abnormal-郵件網關；2）Apiiro公司-SDL產品；3）Axis security公司-零信任產品；4）Cape Privacy公司-加密機器學習平臺；5）DEDUCE公司-身份安全驗證平臺；6）OPEN RAVEN公司-云數據安全平臺；7）Satori公司-數據訪問安全平臺；8）STRATA公司-多云身份管理平臺；9）WABBI公司-DevSecOps基礎架構平臺；10）WIZ-云基礎設施安全平臺?？梢钥闯?，云安全、零信任、身份安全、數據訪問安全等是被關注的焦點。

10）后記

彈性是一個宣言，是人類不屈的決心！尤其是當安全行業團結在一起時，才可以展現更大的彈性和韌性。當每個你和我都能做出一份努力的話，這個世界就會變得更安全、更美好。

NIST網絡彈性指南專門指出：“對網絡彈性領域的指引，來源于對威脅形勢的理解，尤其是對APT的理解。” 作為國內應對APT的超級核心力量，360政企安全將持續關注網絡威脅形勢和安全創新動態，基于360安全大腦為核心的數字安全能力體系和安全生態體系，為國家、行業、城市、政企的數字化轉型和網絡/業務彈性保駕護航。

在實踐角度而言，360安全大腦為核心的數字安全能力體系在“彈性”（Resilience）的概念基礎上又向前推動一步，因為這是具有“主動彈性”（Proactive Resilience）的實戰體系。

簡單地說，360數字安全能力體系，是一個建立在海量安全大數據、實戰型安全專家團隊、漏洞挖掘能力、安全對抗知識庫、APT狩獵能力、云端公共服務等安全能力的融合體。其目的，是建立一種同時具備環境意識、自我意識和改進能力的“主動彈性”。它不僅是在遭受破壞時能繼續運作，而是能夠主動“看見”破壞，預測破壞，并在破壞發生之前有所準備。此前，360公司多次率先發現的全球0day漏洞攻擊，就是得益于這套協同體系的“主動識別”機能。

現在我們的國家、城市、行業、企事業單位所構建的業務系統變得越發復雜，以至于沒有誰能夠說明其整個運行本質。主動識別由復雜分布式系統所引起的系統安全故障，主動發現和解決重大漏洞，主動暴露“未知的未知”，則能夠更好地發現和應對非預期事件。