阅读: 1,297
每一届RSAC大会都有一个主题,从早期的以历史典故、重要著作、重要人物等为主题,逐渐以体现时代特色的单词或短语为主题,代表着行业的发展变革。2023年RSAC大会的主题是:共同强健(Stronger Together)。RSAC大会主办方给出的描述是“我们是一个由很多人组成的社区。无人独行;我们建立在彼此多元化知识的基础上,创造下一个突破——交换想法,分享我们的成功故事,勇敢地审视我们的失败…以合作为基础,未来是光明的” 。RSAC会议网站还引用了海伦·凯勒的名言“Alone we can do so little; together we can do so much.”(单独,我们能做的很少;一起,我们可以做很多)。
本文以此为切入点,简要分析信息安全领域合作的必要性及合作共赢的途径和方式。
一、RSA近几年主题及涉及合作的情况
1.1RSA主题中涉及合作的情况
事实上,RSA主题中,不止一次提到合作。例如,在RSA2022年主题“转变”的描述中提到“Because together, we transform.”( 因为我们合作,所以转变)。在RSA2019主题“更好”的描述中提到“Ensuring a brighter future requires all of us—everyone from the C-suite to those of us on the front lines—to be better today.”强调从高管到一线工作人员的共同努力才能做得更好,强调的是单位内部的共同努力。在RSA2016年主题“连接”的描述中提到“through knowledge sharing and collaboration”即知识共享与合作。RSA2014年主题“共享、学习和安全”,直接强调共享的重要性。
1.2RSA近几年的主题介绍
RSA 2018:“Now Matters”– “现在很重要”。该主题强调信息安全的紧迫性,认为网络威胁比以往任何时候都更加严峻。这些网络威胁不允许我们等待明天,我们需要在今天,在当前就找到解决方案。
RSA 2019:“Better”– “更好”。该主题鼓励人们不断改进和提高他们的信息安全措施,以应对不断增长的网络威胁和攻击。
RSA 2020:“Human Element”–“人的因素”。该主题强调了人在信息安全中的作用和重要性,提醒人们不要忽视社交工程攻击和其他攻击方法中的人的因素。
RSA 2021:“Resilience”– “韧性”。该主题强调了信息安全的韧性和适应性,提醒人们要具备抵御攻击以及从攻击中恢复的能力,以应对不断变化的安全威胁。
RSA 2022:“Transform” –“转变”。 该主题强调了网络安全一直在不断演变,我们需要不断地适应和变革来应对新的威胁和技术。我们自己也需要发生变化和转变,以适应新的挑战和机遇。
二、合作的必要性
前面讲到,RSA2023会议主题强调合作。那么,为什么要合作呢?本节我们从信息安全的复杂性、攻防双方的非对称性,说明防御工作的困难性;从信息安全的外在性说明无论从安全需求的角度还是法律要求的角度,合作存在的必要性;从对手的合作说明我们不合作会更加陷于不利地位;从低等动物的合作说明合作的普遍性。
2.1信息安全的高度复杂性
信息安全具有高度的复杂性,包括威胁的复杂性,安全防护的复杂性。这些使得单个的个人或组织很难甚至是无法进行有效的信息安全防护。
信息安全威胁的复杂性
随着技术的不断发展,信息安全威胁也变得越来越复杂。黑客技术的不断进化,网络犯罪的猖獗,使得信息安全威胁呈现出多样化、高度复杂化的趋势。
信息安全防护的复杂性
信息安全防护的复杂性包括:多学科性、技术复杂性、管理复杂性、法律复杂性等。
多学科性。信息安全是一个多学科的领域,涉及到计算机科学、数学、物理学、心理学、法律学等多个学科。任何个人和组织都不可能全面掌握这些知识。
技术复杂性。信息安全的技术背景非常复杂,包括物理安全、网络安全、计算环境安全、身份认证、访问控制、数据安全等等。
管理复杂性。信息安全不仅仅是技术问题,还涉及到复杂的组织管理和流程管理等方面。例如,如何制定信息安全策略、如何分配安全角色、如何进行安全培训等等。
法律复杂性。信息安全还涉及到法律和合规方面的问题。而一方面,由于信息技术的高速发展以及攻防的快速演化,很多的法律法规严重滞后,带来法律的不确定性;另一方面,不同国家,不同地区的法律存在不一致甚至矛盾的地方,对于跨区域的机构和应用,存在法律风险。因此,信息安全在法律方面存在较大的复杂性。
2.2 信息安全的非对称性
信息安全的攻防存在非对称性,而且天平大多偏向对攻击者有利的一边。
典型的非对称性包括但不限于:
-
攻击者拥有主动权:攻击者通常比防御者更加主动,因为攻击者可以随时选择攻击的时间、地点和方式,而防御者则需要根据攻击者的行动来制定相应的防御策略,处在被动地位。
-
攻击者可以单点突破,防御者需要全面、全时段防御:攻击者只要掌握一种技术及与之相应的漏洞,就可能攻击成功。攻击者也可以选择系统暴露面的任何一点进行攻击,也可以选择任何对自己有利或方便的时间发起攻击。而防御方需要进行全方位、全时段的防护,任何一点、任何一时的疏忽,都可能成为整个防线的突破口。
-
攻击者可以任选攻击方式,防御者需要防御几乎所有的攻击:攻击者通常可以通过利用系统漏洞、社会工程学等手段轻易地进行攻击,而防御者则需要耗费大量的时间和精力来发现并修复漏洞。
2.3信息安全的外在性
信息安全具有强烈的外在性特征,没有强有力的合作以及法规约束,一些个人、机构会以对他人或机构构成威胁为代价,获得自己的利益。
外在性“Externalities”(有的也称为外部性)是一个经济学术语,是指某个经济活动或决策所产生的成本或收益,不仅仅影响到直接参与该活动或决策的个体或组织,还会影响到其他人、组织和社会。外在性可以是正向的(positive)也可以是负向的(negative)。
“Positive externalities”(正外在性)是指某个经济活动或决策所产生的成本或收益,不仅仅对直接参与该活动或决策的个体或组织有益,还对其他人或社会产生了积极的影响。例如,一个企业提供了高质量的职业培训,除了员工自身能够受益,还可以提高整个社会的人力资本水平,促进整个产业的发展。
“Negative externalities”(负外在性)是指某个经济活动或决策所产生的后果,不仅仅对直接参与该活动或决策的个体或组织有害,还对其他人或社会产生了消极的影响。例如,一个人开车习惯不好,喜欢飙车,不仅是影响自身安全,还会危害他人的安全。
信息安全具有很强的外在性。例如,当大多数人都安装了有效的防病毒系统,可以降低病毒的传播,间接地也对没有安装防病毒系统的设备提供了保护(类似于传染病如新冠病毒防护)。又如,当一个电子商务公司的信息安全做得好的时候,其保护了客户隐私不被泄露,也间接的保护了客户的利益。
由于外溢效果严重,使得信息安全成为全球性挑战,信息安全问题已经超越了国界,成为需要世界各国共同面对的全球性挑战。
2.4 敌手也在合作
实际上,攻击者之间也存在密切合作,这种合作通常以黑色产业链的方式进行。黑色产业链是一个由多个独立的个体或组织构成的生态系统,包括黑客、黑客论坛、恶意软件开发者、网络犯罪组织等。这些个体或组织之间通过各种手段相互合作,共同实施网络攻击和网络犯罪活动。这种情况下,如果我们还采取单打独斗的方式应对,更增加了攻防的非对称性。
2.5 群智-低等动物的协作
不仅人以及其他的高等动物懂得协调与合作,就连低等的动物也知道自发性的合作。典型的例子就是群智,即一群动物在不需要头领的情况下自发组织起来完成一项任务。例如当一群沙丁鱼遇到捕食者的时候,自动组合,伪装成一条大鱼。如图1为沙丁鱼群伪装成一只长24米的海豚。
三、如何合作
由上述可知,没有任何一个个人、组织甚至国家可以单独解决所有的信息安全问题,信息安全的保障和建设需要广泛的合作、共同应对。“Stronger Together”主题反映了这个观点,它鼓励人们在各种领域和层面上进行合作和协作,以实现更广泛的目标和愿景。这种合作可以是国家之间的、组织之间的,也可以是个人之间的,无论是哪种形式,都是非常重要的。
“Stronger Together”主题还强调了多元化和包容性的重要性。在一个多元化的世界中,人们需要更加包容和理解彼此,以实现真正的合作和团结。只有这样,我们才能更好地利用各种资源和优势,最大限度地应对各种挑战和问题,并推动人类社会的进步和发展。
这里简要介绍几种典型的合作方式。
3.1 信息和资源共享
通过信息和资源共享,实现合作共赢。如威胁情报的共享就是其中一种。组织机构通过共享威胁情报,及时了解最新的威胁和攻击手法、攻击态势,从而采取更好的安全措施,保护其信息资产和业务安全。绿盟科技通过建立安全情报共享平台、参与行业安全联盟、提供安全情报服务和发布安全报告和漏洞信息等方式,进行威胁情报的共享,为整个社群整体的安全水平提高发挥了作用。
3.2 人才共享
由于信息安全人才在市场上的需求量非常大,而供给相对较少,人才缺口很大。因此许多组织可能难以招募到足够的信息安全人才。人才共享可以帮助组织分享人才资源,从而更好地满足其信息安全需求。
人才共享可以通过多种方式实现。一种方式是通过雇佣外部顾问或承包商来获取额外的人才资源。如专业的信息安全服务公司提供的,可以为组织提供专业的安全咨询、安全评估、安全测试等服务。这种方式可以帮助组织在需要时快速获取专业的信息安全人才,同时避免了长期雇佣和管理信息安全人才的成本和风险。另一种方式是通过组织之间的协作来实现人才共享。作为“巨人背后的专家”,绿盟科技在信息安全人才培养和人才输出方面起到了重要作用。例如:
-
建立校企合作机制。绿盟科技与多所高校建立了校企合作机制,与高校共同开展信息安全人才培养工作,为学生提供实习实践和就业机会。
-
提供专业安全人才培养和为客户提供培训服务,包括安全意识培训、技术培训、管理培训等。通过向客户提供专业的安全培训,提高客户的安全水平。
-
提供安全服务。绿盟科技通过提供人员驻场、安全巡检等多种方式,为客户提供安全人才共享。
3.3 风险共担
通过网络安全保险可以实现风险共担,可以使企业和个人更好地应对网络安全风险。网络安全保险的效果主要体现在:1)分担损失,网络安全保险可以帮助企业和个人分担因网络安全事件所导致的损失。2)分担责任,网络安全保险可以帮助企业和个人分担因网络安全事件所产生的责任。3)分担技术风险,保险公司可以为企业和个人提供安全咨询和技术支持,以帮助其建立和维护更好的信息安全防护措施。绿盟科技与保险公司合作,协助保险公司对客户进行投保前安全评估,并在客户投保后对投保企业进行持续的安全服务和安全监控,而万一投保企业发生安全事件,绿盟科技可协助进行应急响应和调查取证等,从而分担了保险公司和投保企业的技术风险。
3.4 其他合作
除此之外,信息安全领域的合作和团结还可以体现在以下几个方面:行业合作,不同行业之间的信息安全风险和需求也不同,需要各行业之间的合作和协作来解决。例如,金融行业和医疗行业都需要特定的安全措施来保护客户数据和隐私。国际合作,信息安全威胁不分国界,需要各国之间的合作和协调来应对。
四、小结
信息安全风险的复杂性、多变性,信息安全技术的跨学科、多领域特性,以及安全防护的全面性、系统性需求,使得我们必须“Stronger Together”。事实上,在大多数的领域“Stronger Together”都是适用的。我们拥有同一个地球,同处“地球村”,只有合作才能共赢,合作符合全人类的利益。
参考文献
[1] https://www.rsaconference.com/about/theme