周一,旧金山moscone center,到处都在谈论着安全。moscone center周边的街区多了很多安全公司的广告。展会人头攒动,站在街边,你会听到路人或热烈、或理性的从嘴里说出一些耳熟能详的名词和概念。这一天诞生了RSA2018创新沙盒大赛冠军,也迸发了关于区块链、企业级云安全和DevSecOps的思想火花。
创新沙盒大赛
今日下午13:30,每年的重头戏创新沙盒开始了。万豪酒店走廊上的电视,滚动播放着历年来进去finalist的公司,当前的状态和估值。
很多公司已被收购,在运营的估值也不低。这意味着什么?每个人都有自己的答案。今年大会的主题是now matters。在今日数字经济如火如荼的情形下,安全和数据隐私保护,国家利益,企业发展,全球化,对经济创新会产生什么样的影响。阻碍还是助力?安全为业务创新赋能应该已经成为安全行业的共识。但我们也清醒的看到,在这些挑战面前,安全行业提供的技术和方法远远不能满足要求。
如何在这些安全要求下,保持风险和成本的合理平衡?
有哪些新的idea,新的技术和方案会出现?
今年创新沙盒的公司中,AI/机器学习理念占了半壁江山。这意味着什么?人们希望更快速更好的应对风险。这两年来,机器学习/AI在安全的应用进展如何,是否能符合业务发展预期?希望不会仅仅变成行业新的银弹。
BigID成为最大赢家
祝贺BigID成为“RSAC2018最具创新性的创业公司”。来自世界各地的风险投资家,企业家和安全公司领导小组从10名决赛选手中选出了BigID作为获胜者。在过去五年中,本次比赛的前十名决赛选手已经获得超过12.5亿美元的投资。
相关阅读:【RSA2018】创新沙盒 | BigID数据沙盒产品及技术解读
比特币,区块链和智能合约基础
区块链的研讨会座无虚席,内容主要涉及区块链原理、区块链安全分析,以及案例分享。从内容的深度来看,目的还是以科普为主,原因是区块链是今年第一次独立出现在RSA大会上,又是一个跨学科的综合性技术,公司CISO还不太清楚其产生的价值。但区块链能保证去中心化的信任,以及可回朔性等的技术原理,确实带来了很多想象空间。
在PoC的案例中,嘉宾David Chan介绍了一个去中心化的身份认证体系,能解决用户在政府、医院、药房等存储的用户身份不一致的问题,并在一定程度上提升用户体验的问题。
当然,需要清醒地看到区块链目前还处于泡沫期,期待其解决所有问题是不现实的。区块链技术进入成熟应用前必须解决大量的技术问题,并提供合理的业务相关特性。例如公司破产法有需要一定时间内撤销交易的规定,那么电子交易的区块链应用也应提供相关的机制,这就需要修改区块链的交易机制,或提供额外的中间件。
总之,从研讨会的话题和参会者的积极态度来看,区块链在国外同样引发关注。
CSA峰会:Cloud2018:企业级安全
来自CSA美国行政署的联邦风险和认证管理项目FedRAMP总监Matt Goodrich交流了《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例学习和联邦政府的云未来)》。FedRAMP是美国版本云等保规范,FedRAMP(The Federal Risk and Authorization Management Program )联邦风险和认证管理项目是一个跨政府部门的项目,他提供了一套标准方法来进行安全评估,认证并持续监控云项目的产品和服务。
FedRAMP是与GSA,NIST,DHS,DOD,NSA,OMB,联邦CIO委员会及其工作组以及私营行业的网络安全和云专家密切合作的结果。FedRAMP评估过程由机构或云服务提供商(CSP)发起,使用符合FISMA并基于NIST 800-53 rev3的FedRAMP要求开始安全认证,并启动与FedRAMP PMO的合作。云服务商CSP必须对其IT环境实施FedRAMP各个安全要求,并聘请FedRAMP批准的第三方评估机构(3PAO)进行独立评估,以审计云系统安全,并采用FedRAMP提供安全评估程序包进行自审审查。
FedRAMP计划目标
- 通过可重新使用评估和授权过程加速安全云解决方案的采用
- 增加对云解决方案安全性的信心
- 使用一套经过FedRAMP认可的的安全基线标准集合来进行内部或外部的云产品认证的一致的认证方法,确保与现在最佳安全实践的一致的安全方法
- 通过安全评估的增加信心
- 增加安全持续监控的自动化和接近实时的数据。
从目前来看,政府上云的趋势很明显,相对的认证保护工作也都在紧锣密鼓的加强。FedRAMP和CSA云安全联盟合作,大量采用业界的力量,在认证等方法引导行业标准,并为政府上云保驾护航。国内的等保专家,可以借鉴一下美国的做法。
安全多元化
多元化是使好的组织变得更好的核心,也是成功的要素。在今年的安全多元化研讨会上,拥有不同背景、观点和经验的发言人听取了会议参与者的意见。主题“Think Differently”,侧重于受世界变化影响的持续思维模式,这个世界正在迅速发展并引发需要伦理、商业、社会和情感考虑的变化,需要不断审查我们的定义。
DevOps Connect: DevSecOps
DevSecOps知易行难,Fannie Mae在实践过程中总结了一些实施原则,包括要与原有开发流程融合、加强开发团队安全培训、在编码阶段减少问题和尽力实现自动化等,值得后来者参考。
总结
Now Matters,在数字经济的大潮下,安全行业应该有紧迫感,或迎上或被潮流抛弃。公众和社会期待着诞生更好的技术和方案。继续加油!