历年听来,RSAC主题演讲的选题大都颇费心思,在信息泛滥的今天,内容即使干货满满,也仍要让题目足够新鲜有趣,对听众产生启发并长远思考。本次大会开幕日的前三个主题演讲分别是
“The Trust Landscape”
“Lightning in a Bottle, or Burning Down the House?”
“Rise of the Machines: Staying Ahead of the Next Threat”
题目虽各不相同,但核心内容有着承接和呼应的。数字化变革和新技术的涌现,影响着国家、民生的方方面面;这些新技术也带来了新的风险和威胁。识别并缓解这些风险,才能更好推动人类的进步。安全的目标在未来是营造可信的环境,才会支撑技术和商业模式的创新、发展。
【章节一】混乱未来
在城市开放的数据中,人们一直关注如何利用模型统计对犯罪率高的街区进行布防与分析,进而期望实现预防犯罪或及时阻止犯罪;而道高一尺魔高一丈,同样的数据和技术,如果违法者所用,却可以用来推算出最佳的犯罪方案。 类似的例子,基于深度学习技术的人脸识别给身份认证提供了巨大便利,然而利用同样的技术, deepfake可以完整创造出一段你从未说过的话,让旁人真假难辨。
【章节二】数学之祸
混乱的根源是AI,它是近几年对这个时代冲击力最大的一项技术。虽被冠以智能,而AI的本质仅仅是数学。以史为鉴, McAfee的CTO Steve Grobman以飞机类比,科技带来便利的同时也将带来生命的毁灭。对于技术来说,更关注于如何优雅的更好、更快、更强的解决问题, 无论是飞机抑或是AI。
应用了技术的机器只应该负责寻求答案解决问题,而人类则应当发现问题提出问题。随着科技快速发展,人们将会生活在一个近乎与现实生活同样多面的网络空间当中,而当技术如此的无法控制时, 安全该何去何从?数学与科技引发的混乱该如何治理?这应该是值得每个人认真思考的。
【章节三】Risk is good
真正的安全危机,在未来就是信任危机。 可信环境,正是针对这种潜在危机提出的方法论。我们需要做的是感知风险,进而管理风险。风险是无法完全消除的,因为只有基于风险,大家才能在投入与潜在损失之间平衡,做出最好的决策。
目前零信任作为最火的安全理念频繁出现于各大会议及宣传中,但在这里,大会主席Rohit Ghai 提出了新的方案 — 信任链。
笔者更加欣赏这个信任链方案。 信任,是安全问题的本质。但零信任似乎是站在历史或当下来思考,提出了我们不需要信任,每一步的操作,都要进行验证。而在未来几百亿的管理终端面前,这将演化为一个无法落地的难题。 信任链则是着眼未来,将声誉跟可信等价,借鉴了经典的朴素贝叶斯算法以及区块链的思路,以现实身份与虚拟身份结合作为信任链的最小元组。 在未来,这个元组的声誉会随着威胁行为的变化而通过关联元组反馈到整个信任链中,而自身组织的决策可以基于整个信任链对元组声誉的评估,进行风险管理。
纵观近两年RSAC的变化,少了些新技术、新概念,更多注重了技术的应用和改进,为用户提供更便利、实用的解决方案,与今年大会的主题“Better”很契合,首日的最重要的三个演讲也都着眼未来,作为安全从业者,为社会打造更好、更安全的未来。