阅读: 934
每年RSA大会中的主题演讲和参展机构所涉安全领域的安全热词都会成为大家热议的焦点。在对提交的数千份报告进行研判和筛选后,RSA发布其预测的2022年网络安全行业十大安全趋势。
我们看到,在发布的十大安全趋势中,不仅有云安全、零信任、人工智能与机器学习、供应链安全等近年连续入选的热点技术方向,还关注了人文,引发后疫情时代令人关注自身的思考:长大后成为什么样子的人?
接下来,我们就一起看看这十大趋势热词的详细内容吧。
“永不信任,始终验证”。零信任就是对网络中所有的业务流量都默认为是危险不可信任的,而让其信任的最终方式是通过不断的认证。所以,零信任并非特指某一特定技术,而是一个新的网络安全体系架构。“采用零信任网络安全原则,并相应地调整网络架构”的指导要求,使该类需求的出现呈持续增加态势,技术手段更是层出不穷,但从成熟度曲线上的位置来看零信任到底可以解决什么问题时,又是一个值得探讨的话题。
软件物料清单 (SBOM) 是代码库的完整清单,包括开源组件、这些开源组件的许可证和版本信息,以及这些组件中是否存在任何已知漏洞。RSA2022大会收到了数十份提交材料,主要围绕如何约束对第三方软件公司的要求进行讨论,其中围绕供应链应用程序的生命周期管理,当合作伙伴的代码挂起引发的连锁反应,以及维护代码所面临的挑战等值得注意。此外,议题还涉及了从DevSecOps和软件完整性到开源工具,再到保护数据与供应链生态系统等方面。
用一个经典词来形容供应链挑战就是——“INAMOIBW”(“It’s not a matter of if but when”,即“不是来不来的问题,而是什么时候来的问题。”) 如今“网络”和“物理”的连接日益紧密,我们所面临的威胁与日俱增,供应链的挑战迟早会来。大会对供应链中的非营利组织和中小企业面临的挑战进行探讨,尤其是勒索软件攻击对整个生产系统的破坏,以及用户可能存在的暴露风险点等方面,并提供了与“支付与否”问题相关的网络保险政策,带来了针对经验、法律、治理等挑战的一手信息。
比尔·盖茨曾预言:“以人类生物特征——指纹、语音、面像等方式进行验证的生物识别技术在今后数年内将成为IT产业最为重要的技术革命”。随着人工智能的普及,比尔·盖茨的预言落地成真。如今指纹识别、人脸识别等更安全的验证方式,正逐步替代传统的单一密码验证,人们也即将进入“无密码时代”。免密码的应用场景正在突破企业和组织的防护系统。本次大会也将免密码应用场景推到了聚光灯下,针对可持续运营、互操作性和残留挑战,以及免密码方法的攻击途径和存在问题进行探讨。
如同“边缘病例”成为新冠大流行中世界的基本病例,决策和部署必须快速进行。本次大会提交的议题探索了一种新的回归基础方法。无论领导者如何与其团队合作,如何利用现有的工具和技术实现安全,以及如何建立清晰、一致的安全决策,重点都是快速的部署和处置。
云服务时代的到来使得云安全有关的建议和方案激增,安全即服务、云安全威胁、云部署与防护、云应用程序安全等得到了研究和实践,特别是全球疫情环境下,远程管理与交付、远程办公和业务云迁移等为云安全带来了巨大的机会和挑战。2022RSA会议上探讨了新的威胁建模方法、云安全防护的长期手段等议题。
虽然人工智能和机器学习是一个老生常谈的话题,2022RSA大会仍出现了以AI/ML为重点的焦点议题。除关于人工智能驱动的黑产外,还有很多关于道德伦理和检测算法偏差的议题讨论,以及如果我们不是数据科学家如何快速获得业务服务指导。在这个板块,大会还同时讨论了全球监管格局如何演变,以及AI/ML的实际应用情况。
过去几年中,风险的规模越来越大,但在2022年提交的内容中关于风险的讨论不再局限于安全本身,更多的是探讨运营技术和特定风险,以及BISO在组织内部产生的积极影响,促进网络安全团队的创新和更好的业务联系。第三方风险和隐私保护的影响,以及具体研究包括KPI和业务成果相关的业务指标等都是关键主题。
过去一年多的居家办公显然已经引发了社会的反思,RSA大会收到了无数关于如何转变为董事会成员、作者、CISO倡导者的意见书。这不是旁敲侧击,这是一种渴望改变的希冀。鉴于此,我们也意识到员工拥有更加广阔的潜力,我们也愿意看到多样性和非传统雇佣关系所爆发的能量,这些对传统的雇佣关系、导师制,都可能产生的积极影响。
如果我们能把网络安全框架画在一张图表上,它会更有意义并可以测量。2022年我们致力于将所有内容映射到所有内容,无论是技术性的还是非技术性的。我们认为框架是帮助不同群体进行沟通、确定优先级、衡量和报告的关键。此外,还有一种新范式的呼声出现,鼓励人们将术语向通俗易懂的方式转变。
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。