一位安全专家眼中的RSA2018改变和信心

成都弱电公司讯：

作为360公司负责技术的副总裁，谭晓生是网络平安领域的一位领军人物，曾经连续三年参加RSA这一全球平安领域规模最大、最具影响力的行业大会，在他的眼中，每一年的RSA就是对未来平安趋势和平安方向的前瞻和预演，以下是谭晓生眼中刚刚落幕的RSAConference2018：

RSA大会是全球最大规模的企业信息平安领域的会议，每年的2月下旬或4月下旬固定在旧金山举行，我是连续第三年参加RSA大会，很高兴自己的会议吊牌下多了一个“LoyaltyPlus”的标签，好处自然还是有的：在听KeyNotes的时候可以提前进到宴会厅门口排队，可以提前进入会场，另外人可是在会中中心外面排队的哦！

大会关键词：改变

RSA大会每年都会有一个关键词，2018年是“BigData（大数据）”，2018年是“Share，Learn，Secure（分享、学习、平安）”，2018年的关键词和美国总统奥巴马2008年总统竞选的关键词一样，没错，是“改变”（Change）！众多演讲嘉宾在演说中也反复强调“改变”这个词，从参展厂商的参展产品上，我们也能感受到这种“改变”：曾经的RSA，各厂商摆出一大堆的做得各式各样的硬件设备，长得像交换机、路由器样子的，有多个网络端口、指示灯不断闪烁的、骨子里是个尺度服务器或专用芯片制作的电路板的，行业人士称为“盒子”的、用户叫做“防火墙”、“下一代防火墙”、“UTM”、“IPS”、“IDS”的东西，但今年，会场很少见到这样的东西，各家的展台最长见到的是酷炫的一个大屏幕，大屏幕上在展示各种各样的“仪表盘（Dashboard）”、各种各样的攻击态势展示图、各种自动播放的讲稿，展台上出现频率最高的关键词是：Threat（威胁）、Breach（失陷）、Intelligence（情报）、Detection（检测）、Prevent（防护）。

RSA总裁AmitYoran在名为“逃出信息平安的黑暗时代（EscapingSecurityDarkAge）”的主题演讲中说，2018年的平安形势是“Breach”的一年，而且大家都同意2018年是“MegaBreach”，2018年情况不会更好，会更糟糕，将会是“SuperMegaBreach”的一年！Breach一词在英语中有“攻破”的意思，但么翻译成中文，“被黑了”？“被破了”？“被搞掂了”？“泄露了”？似乎都不够准确，在2018年4月25日，经参加会议的近百名平安专家在微信群中超过10小时的讨论，来自FireEye的华裔平安研究员韦韬建议翻译做“失陷”，2018年，我们可以预期有更多的漏洞被爆、更多的系统被攻破、更多的数据泄漏！Amit对网络平安形势的比喻是“我们在地图之外航行！”。

“改变”，是因为我们不得不变，“改变”，能否让我们逃离“信息平安的黑暗时代”？

被砸掉的“盒子”

防火墙，IPS，IDS，UTM，这些传统的网络平安产品的形态一般是一块或几块电路板被安装在一个长方体的铁皮盒子内，按照用户的需求，卖分歧处理能力的铁皮盒子给用户，与需要工程师提供人工服务的平安服务，或通过互联网提供的“云服务“相比，业内人士戏称这种平安产品为“盒子”，因为盒子看得见摸得着，甚至可以拎一下有多重，用户感动买到手了一个实实在在的东西，至今还是国内企业网络平安产品销售的主要形态。

在2018RSA大会上却看到了“砸盒子”的表演，假如说从来不生产盒子，以信息平安服务当作谋生方法的新锐厂商Zscaler砸盒子是为了吸引眼球的话，那么传统“盒子”制造商Fortinet的“砸盒子”就耐人寻味了。

与“盒子”相对的，是越来越频繁被提到的“情报”，展会中许多家平安态势经管、相应产品的提供商都声称自己的产品可以和FireEye、Arcsight等的“情报”连接，“情报”通常是快速变化的，通常不会通过“盒子”来提供，而平安态势经管，大家也知道，通常是跑在服务器上的一组软件来提供的功能，也不是通常意义上有多个网络端口，有指示灯闪烁，长得更像网络设备的信息平安设备应该完成的功能。

从趋势上来看，网络平安产品或服务可能会越来越少以“盒子”的形态出现，以服务形式提供的比重会加大，但有比较极端的平安人员断言“盒子”即将被淘汰，倒也未必如此：防火墙、IPS、IDS等传统网络平安设备，在对已知攻击的快速检测、拦截方面是非常有效的，只是，面对未知威胁攻击有些勉为其难，同样的，以平安情报为中心的新玩法，的确会有更大的概率检测到新型威胁，但复杂的逻辑处理所需要的时间决定了在快速阻断攻击方面会碰到巨大困难，在产品演进的过程中咱们还是要保持一个客观的心态，矫枉过正也不行。