剛剛閉幕的2017 RSA 大會，作為安全行業的重要風向標，為行業展示了重要的技術趨勢與方向。

　　總結來看，安全重要性被再度提升，成為影響企業業務的要素。此外，安全產業的協作，安全產品的整合與平臺化，云安全，機器學習在安全領域的產品化，終端一體化，威脅情報精細化都是本次大會透露的重要趨勢。

　　趨勢一： 從IT驅動安全到業務驅動安全

　　在RSA大會上，安全重要性再次被提升。

　　作為EMC的一部分，RSA在EMC被收購后，成為DellTechnologies的一部分。在RSA開幕主題演講時段，DellTechnologies公司 CEO Michael Dell意外亮相，做了簡單的致辭。他認為，安全技術在企業管理層得到全所未有的重視——“受到高度關注”，而且安全不再被視為技術問題，而是業務與風險問題。Dell表示，在整個社會都在經歷數字化轉型之際，安全是企業業務數字轉型的關鍵。Dell 的現身驗證了對RSA品牌與安全業務的重視。

Dell公司CEOMichael Dell現身RSA

　　RSA CTO ZulfikarRamzan在題為“為混亂而規劃”主題演講中表示，隨著安全日益成為業務問題，安全產業正從技術角度關注安全轉向業務角度。

　　安全專家認為，安全從IT驅動轉向BT（Business technology）驅動，從之前關注基礎架構等轉向關注業務安全，這也從另一個側面說明安全越來越重要。此外，大會主題還突出了機會帶來的力量，強調商業機會推動安全技術的進步和產業的發展，

　　在行業層面，從本次大會一些產業領袖演講中可以明顯感受到整個產業對于協同和聯合的認同，正如2017年RSA會議的主題Powerof OpportUNITY，突出了最后的UNITY，強調團結和聯合起來，共建安全生態，對抗黑客攻擊。

　　趨勢二：產業協作應對安全挑戰成潮流

　　安全企業一直都在呼吁: 在日漸嚴重的安全威脅面前，無法依靠單個企業來應對，需要安全產業協作應對。在2017 RSA大會上，安全產業內的協作進一步得到了加強。

　　今年1月成立的網絡安全威脅聯盟（Cyber ThreatAlliance）迎來了新成員：思科與Check Point。加上原來的Fortinet、Intel Security、 Palo Alto Networks 和Symantec，創始成員增長到6個。這個非營利性的聯盟旨在進行網絡犯罪威脅情報共享，向安全廠商、政府部門以及非營利機構開放。

　　Splunk公司與 AlgoSec在RSA期間發布新聞，稱 AlgoSec將加入Splunk的自適應響應計劃（Adaptive Response Initiative），利用端到端的情景與持續響應改善企業的安全運營。

　　IntelSecurity 高級副總裁兼總經理Chris Young認為，安全行業需組建類似美國NBA那樣的夢之隊，來應對安全挑戰?！鞍踩a業只有協作應對，才能贏得安全之戰?！?/p>

　　微軟公司總裁Brad Smith認為，安全產業需要呼吁政府來促進產業協作。他認為政府部門成立類似數字日內瓦公約的組織，指定網絡安全規則。安全產業自身則需要進行協作?！凹词故窃诿褡逯髁x情緒高漲之際，我們全球的技術產業需要成為可信中立的數字瑞士?！?/p>

微軟公司總裁Brad Smith呼吁數字日內瓦公約的組織

　　趨勢三： 安全產品走向整合，平臺化趨勢成共識

　　360企業安全集團高級副總裁袁沈鋼表示，今年RSA大會感覺最深刻的是安全產品正在走向整合，讓用戶的安全防護可以更加簡便?！鞍踩袠I的這種整合，可以讓用戶享受到安全防護的簡便”。對用戶來說，僅僅是安全防護——這個IT與業務正常運行的支撐需求，就需要與20-30個安全產品供應商打交道，對于很多沒有安全團隊的企業來說，實在是難以應付?！半S著安全產品的逐步整合，企業用戶將只需要通過2-3家供應商就能滿足安全需求?！?/p>

　　360企業安全集團副總裁梁志勇也認為，業界安全專家對于安全產品的平臺化趨勢已達成共識，這種“未來安全平臺”將會帶來集成、自動化與跨廠商的威脅情報共享，從而可以有效解決目前安全方案過于復雜、成本高，響應變化比較慢，以及投資回報不理想的問題。

　　埃森哲安全全球執行總監KellyBissell也認為，企業用戶正在尋求整合安全供應商，轉向更加集成的解決方案，以實現更高效的安全戰略。

　　Palo Alto Networks公司CEO Mark McLaughlin在題為“即將到來的顛覆式安全變革“演講中指出，近年來的數據泄露頻發，新興威脅不斷出現，這表明當前的安全模式已經無法奏效，這需要企業轉向基于平臺的安全新模式。

　　McLaughlin認為，這種平臺安全模式不是當前安全廠商所兜售的安全平臺，而是新一代的安全平臺——關照可視化、分析和安全處置。

Palo Alto Networks公司CEO Mark McLaughlin：安全產品平臺化

　　McLaughlin認為，這種被稱為的“安全平臺2.0”的新平臺將會帶來更多創新、威脅情報共享、自動化、安全軟件化，讓產品部署更簡便、使用更靈活，并出現新型的消費模式。

　　思科公司安全業務集團副總裁David Ulevitch也認為，改善安全態勢的唯一途徑是使用自動化手段，縮短威脅檢測和響應的時間，而這需要消除單點解決方案的彼此隔離，無法互聯的問題，從而轉向平臺與安全自動化。他認為實現這點的秘密武器就是云——云提供了無限的硬件、計算、存儲和分析能力。

　　PAN發布的PAN-OS8.0、思科公司發布的互聯網安全網關Umbrella都體現新一代安全平臺的特點——安全平臺化，單點產品的深度整合。在RSA大會上，Splunk此前發布的自適應性響應計劃（Adaptive Response Inititive）也得到更多企業參與。該計劃旨在推動不同產品的協同，利用自適應安全架構，提供端到端的自動響應。顯然，平臺化的趨勢在安全巨頭間已形成共識。在RSA大會上，IBM發布了沃森安全服務，該服務將被整合到IBM新的Cognitive SOC平臺中，將先進的認知技術與安全操作相結合，并提供應對終端、網絡、用戶和云端威脅的能力。此前，IBM收購了安全事件響應平臺商Resilient Systems，將其整合進其SIEM平臺QRadar；賽門鐵克則發布了“業界最完整”的云安全解決方案，將傳統的安全防護延伸到云端。

　　360企業安全則致力于推動單點解決方案的整合，形成終端、防火墻、高級威脅發現，以及云端的聯動，推動威脅情報的共享，恰好迎合了國際安全的大趨勢。

賽門鐵克發布“最完整”的云安全方案

　　趨勢四：云安全備受關注，新方案層出不窮

　　從最近幾年RSA上的熱點可以看出，云安全一直是近幾年業界關注的重點，而在本屆RSA現場，云安全同樣是備受關注，新產品新方案層出不窮?！敖衲甑腞SA展館里，在很多安全公司的展臺上幾乎都能找到Cloud這個關鍵詞。

　　在本屆RSA上，可以看到，很多安全公司認識到了云所帶來的這些安全挑戰，并從專業安全的角度給出了更佳優化的解決方案。

　　在本屆RSA開場的創新沙盒比賽入選的十家創新企業中，CatoNetworks就是一家是專注于云安全技術的初創公司。但與傳統靠昂貴的安全設備投入和復雜的網絡部署安全解決方案不同，Cato Networks為用戶提供了一個敏捷可伸縮的云安全平臺，即所謂的網絡安全即服務（NSaaS）。這種方案的需求主要是由于現代企業已經突破了傳統的集中式部署，分支機構和設備散布在全球各處。

　　Illumio也是本屆RSA展會上具有代表性的公司之一，專注于數據中心和云計算環境的安全。Garner在2014年發布的《面向高級攻擊的自適應安全平臺》報告中，Illumio更是作為全球第一個將自適應安全平臺產品化的廠商而備受關注。

　　Illumio的旗艦產品是 Adaptive Security Platform（自適應安全平臺），使用了一種新的安全模型，把安全和底層的基礎設施解耦，從而能夠適應虛擬化數據中心環境下資產和應用的快速變化，動態保持安全策略的一致性和有效性。

　　在本屆RSA上，360也對外發布了自己的云訪問安全代理產品——云守，采用靈活的安全策略，通過認證、標記化和加密的方式，360云守可以確保云端和傳輸中的數據安全，而且通過性能優化措施可以在保證安全的情況下保留原有云應用功能，不影響用戶云應用體驗。幫助用戶很好的解決了企業云應用的數據安全、云應用的安全管理、云應用的安全合規、指導企業員工使用安全的云應用和訪問境外云應用的加速等問題。

360云訪問安全代理產品——云守

　　趨勢五：威脅分析驅動安全運營

　　從RSA看，業界現在越來越關注威脅分析，并把威脅分析提升到了企業安全運營的一個很重要層面。

　　融合云數據的威脅分析：威脅分析已經成為大數據安全分析、高級威脅檢測一個非常重要的點，融合云數據的威脅分析成為一個方向，比如IBM的Waston in QRadar就是結合云數據來做的，它會從互聯網上博客、論壇等地方把專家意見拉過來，將這些專家的意見結合到事件分析中，結合全網的數據和一些專家意見，可以提高分析的深度和分析的相關性，把整體事件的全貌還原出來。

　　重視場景分析：RSA有一個主題演講關注基于人的行為的攻擊鏈分析，這個演講的關注點都在場景分析上，其基本意思是不光要知道這個威脅是怎么回事兒，還要非常清楚地知道整個的攻擊場景是怎么回事兒，攻擊鏈條是怎么一回事，它的來龍去脈是什么樣的，分析的時候要把整個攻擊的鏈條還原出來。

　　Splunk的UBA、微軟的sysmon、初創公司SentinelOne的attack story都是基于場景的分析，重視場景化分析也是360天眼在產品化當中重點考慮的方面。攻擊事件不再是一個孤零零的事件，它應該有一個全貌，把整個黑客的攻擊鏈條還原出來。在威脅分析的云數據結合方面，360已經結合在了一起，在新版本的NGSOC中，最重要的一個能力就是場景分析，在其中定制了大量的業務場景分析的各種story在里面。

　　趨勢六： 人工智能和機器學習進入產品化

　　在今年RSA大會的各種場合，人工智能都是談論的熱點，人工智能和機器學習開始進入產品化。創新沙盒十家入選公司，三家都和人工智能有關；主題演講更是請來了Google前CEO Eric Schmidt做訪談；大量的小公司聊一聊，都聲稱自己使用了人工智能的技術。

機器學習與AI 在安全產品中逐步落地

　　比如，Splunk推出了Aktaion組件，就是做機器學習分析的，它通過機器學習處理業務數據，能逐漸去學習業務數據當中哪些業務出現異常，然后直接報出來。

　　Splunk提到很典型的一個場景是如何檢測勒索軟件。勒索軟件會有下載階段、數控階段、數據傳輸、感染等不同的階段，不同的階段，它的網絡行為和本地行為的那些數據、日志是不一樣的，通過機器學習，利用海量的正向樣本和惡意樣本的分類，就能夠分出哪些是屬于勒索軟件的行為。就可以發現誰感染了勒索軟件、哪些勒索軟件可能已要開始起作用了，提前感知到，然后去做一些判定。Splunk在機器學習和人工智能方面最關注的是誤報率，通過對算法的調整，已經可以很好地對某些場景，比如勒索軟件做到低于千分之一的誤報率。

　　另外一個典型的例子就是IBM的沃森。沃森在醫療方面已經成功應用。在安全方面，沃森可以學習所有安全專家的意見，收集安全專家在Twitter、博客等發表的意見，尤其是在一些新型攻擊發生時安全專家的意見至關重要，把這些東西形成一些專家的報告，通過人工智能學習的方式把它給結合進來，就能給本地的數據帶來一定的幫助。安全運營平臺的目的是把安全專家處理的步驟自動化，不僅僅是內部的安全專家，還有全網的安全專家都能夠去結合起來為我提供服務。沃森的產品化的效果還是有待觀察。

　　360的NGSOC組件里的流量探針也已經使用了機器學習技術，在檢測基于服務器端的攻擊，以及基于網絡攻擊這方面，通過機器學習去做相關的判定，相關的檢出率和誤判率都已經達到了比較滿意的效果。

　　但安全專家認為，基于機器學習的技術成熟度、產品使用效果，目前還沒有特別多案例。通過與一些公司交流，大多都在早期技術原型，或早期客戶驗證階段。比如：patternEX公司聲稱可以學習用戶使用過程的反饋，用來改進異常檢測算法，這是解決異常檢測誤報率問題的好思路，但還沒有具體的客戶案例。

　　相信，明年RSA大會可以看到一些基于人工智能技術的新產品成熟落地。

　　趨勢七： 終端安全成熟，追求一體化解決方案

　　終端安全依然是RSA的一個熱點，在終端安全領域，EDR依然是熱點，同時所有廠商都在致力于補齊自己的短板，提供一體化終端保護完整解決方案。賽門鐵克、卡巴斯基、趨勢等傳統終端安全廠商逐漸的在補齊EDR，而以EDR起家的新興的終端安全廠商致力于補齊防病毒等攔截能力，像Carbon Black這樣的新興廠商還開始做基于行為分析的行為攔截功能?；谠坪腿斯ぶ悄艿耐{分析來解決傳統殺毒無法解決的未知威脅問題，也成為很多終端安全廠商探索的一個方向。

　　RSA表現出的終端安全趨勢正好與Gartner魔力象限報告中對于企業終端防護平臺的市場定位相吻合：這是一個集成解決方案，其中包括了以下能力：防病毒、個人防火墻、端口和設備控制以及漏洞評估、應用控制和應用沙箱、企業移動管理、EDR檢測與響應、數據保護和終端數據防泄漏。

Carbon Black推出的端點檢測安全軟件方案中有云端威脅分析功能

　　360企業安全的終端安全方案——天擎展示了行業領先性：一開始就致力于“規劃-實施-合規-攻防”的全生命周期能力，提供一體化的終端保護解決方案，在傳統防病毒能力上與賽門鐵克等傳統終端安全廠商一樣具有領先的能力和積累，而在EDR布局中又比傳統終端安全廠商更早，跟進速度更快，與新興安全廠商處于同樣的領先水平。從RSA看，360終端安全多年前開創并應用的云查殺和QVM人工智能引擎，目前正在成為終端安全領域普遍跟進的方向。在1月31日Gartner發布的企業終端防護平臺魔力象限報告中，360企業安全集團憑借360天擎優秀的表現，連續第三次入圍，這也是唯一入選該魔力象限的國內安全廠商。

　　趨勢八：威脅情報成為必需品后，開始追求精細化

　　從RSA看，威脅情報已經成為一個必需品，不僅僅必須要有威脅情報，用威脅情報去連通整個環節，而且開始更多的關注怎樣選擇適合的威脅情報，訂閱威脅情報時需要去評定它，需要知道自己的行業需要什么樣的威脅情報，威脅情報的質量開始成為安全運營中關注的重點。

　　現在的威脅情報很多，但是不同的行業用戶需要的威脅情報是不一樣的，比如說能源行業、教育行業關注和政府行業關注的威脅情報是完全不一樣的。

　　據悉，360企業安全已經在這方面進行了一些實踐。比如威脅情報在與防火墻結合落地的時候，中小企業根本就不關注什么是APT，而更關注于勒索軟件、泄密行為或者病毒、木馬等普通的威脅，但政府機構會很關注APT，所以360會針對中小企業用戶的防火墻和政府機構的防火墻推送不同的威脅情報。

Fireeye報告中對SOC的好壞進行了評定的曲線

　　Fireye在RSA上發了一個報告，對于SOC平臺的好壞進行了評定，他在批判不好的SOC平臺的同時，也提出了什么叫成熟的SOC平臺。Fireye給出了一條曲線，在這條曲線越低級的時候，出現的誤報會越多，用戶就會疲于應對誤報問題，不能發現一些真正有效的攻擊。Fireye認為，越是成熟的SOC平臺，越是成熟的安全運營團隊，就會更關注于威脅情報，也會關注于威脅分析。通過威脅情報去精準地產生一些有效的線索，幫助用戶去進一步做擴散，通過威脅分析去進一步擴散出來。

　　360去年推出了NGSOC（下一代SOC），相對于傳統SOC最大的不同可以幫助企業回溯歷史，因為對于企業來說回溯歷史的成本是最高的。所有的事情只會發生一次，如果沒有把數據記錄下來，不對歷史數據去做回滾分析，就無法做出評定。如果有了這些歷史數據再去評定威脅情報就容易很多，直接通過歷史數據回放就可以看到，知道當時發生了哪些攻擊事件、通過威脅情報能夠曝出多少，這可能也是最佳的威脅情報的評定方式，實踐是檢驗真理的唯一標準。

　　趨勢九：勒索軟件成為七大致命攻擊之首

　　在RSA的一個專題演講中，勒索軟件被定為七大致命攻擊之首，成為最受關注的安全威脅。從Datto和SentinelOne的數據來看，勒索軟件的目標從醫療、交通、政府、酒店等行業，開始出現向IoT、工控，以及公有云領域擴展的趨勢。如果勒索軟件進入IoT行業和工控行業，比如勒索軟件從攻擊電腦和服務器加密鎖定數據和文件轉向鎖定酒店的門禁、電梯控制系統等，鎖定酒店所有的門只有繳納贖金才能打開，鎖定電梯只有繳納贖金后才能停下來，其造成的威脅將是災難性的。

　　佐治亞理工學院的安全研究人員對勒索軟件如何潛在影響工業控制系統（ICS）進行了一項研究。他們開發了一種新型的勒索軟件，并模擬勒索軟件接管水處理廠的控制系統，攻擊者將控制可編程邏輯控制器（ PLC ）并執行帶有嚴重后果的命令。模擬攻擊旨在突出工業控制系統的漏洞，包括工業設施（如制造廠、水和廢水處理設施）的控制系統，以及用于控制自動扶梯、電梯、HVAC 系統的樓宇智能管理系統，他們也在RSA上展示了勒索軟件入侵 PLC 設備。

　　除了針對勒索軟件的技術防范措施外，針對防范勒索軟件的相關服務也成為一個關注點，在RSA上，SentinelOne與360這兩家展臺僅靠的公司，都推出了敲詐先賠服務，對遭遇勒索軟件攻擊中招的客戶提供先賠服務。

責任編輯：韓希宇