作为国际上最顶级的网络安全会议,rsa会议通过主题演讲、沙盒、数字博览会、研讨会等多种方式向全球网络安全相关人员传递最新发展趋势、热门技术以及行业人士专业见解等内容,每天的会议内容都安排的异常丰富。在第二天的rsa会议上,针对基础设施安全、软件开发安全、nist标准、devsecops等多个主题方向,展开了精彩纷呈的演讲。
01 演讲主题:《未来极限计算的网络安全》
演讲者:dr. anne fitzpatrick(网络国家安全局副密码学国家官员)
dr. anne fitzpatrick在这次演讲中介绍了hpc高性能计算的发展现状和未来的网络安全问题,同时对hpc的未来发展进行展望。
hpc,即为high performance computing,具有高性能优化、包含特定硬件及软件、规模和计算速度要出类拔萃等特点。现在hpc领域是一个稀有但仍很重要的领域,考虑到政府投资不足等多方面原因,hpc在过去25年中很少有创新。
在谈到网络安全问题时,以exascale项目为例,dr. anne fitzpatrick介绍,虽然项目进展顺利,但hpc的可靠性随着规模的增加而降低,同时技术、社会、政治力量等因素也会对hpc的安全问题产生影响,从国家安全角度考虑,确保供应链安全十分关键。
在谈到hpc的发展趋势时,dr. anne fitzpatrick认为需要用全局和生态系统思维去看待hpc的未来,hpc将从按照预制指令执行的机器转移到基于海量数据并且可以“学习”的认知系统,这其中,通用处理器将越来越少,更多的是转向专业化和“design your own”的模式,也许再过40年,我们将不再像现在这样认识hpc。
立足当下,dr. anne fitzpatrick认为hpc的几个发展方向包括“泛在计算”和改进跨学科的网络安全研究与凯发官网入口首页的解决方案以及重新考虑hpc劳动力的发展等。
02 演讲主题:《 devsecops联盟的发展现状》
演讲者:shannon lietz(intuit公司devsecops总监)
什么是devsecops呢?devsecops是devops的扩展,它被认为是一种相互交织的方式开发、运营、安全。devops起源于敏捷文化,特别强调快速开发和部署,但在实现快速价值交付的同时,安全性软件开发过程中也带来了风险。因此,一些有安全问题的公司开始考虑安全的devops应用,这就是devsecops。“发展、运营、安全是根本,安全和devops必须演变成一个新的愿景”,shannon lietz引用灰色文献综述(glr)所选的文章。
shannon lietz在演讲中讲到:devsecops是伴随着软件质量和安全的发展而出现的,最初是为了支撑编制最“坚固”的软件手册,解决devops应用中的安全问题,所以devsecops的第一个成功经验是必须与软件看齐,把软件质量由原来的创造价值和可用推向创造信任和便捷发展。devsecops另一个成功经验是,安全专业人士越来越意识到需要在流程的早期左移,加强安全与开发人员的互动和敏捷发布,这样能够大大减少软件后期返工带来成本。随着 devsecops 的成立,更多学术组织和企业对 devsecops产生了学术兴趣和劳动力投入, gartner 在2020年发布的应用安全有关报告中加入了devsecops 产品类别,进一步转化了devsecops联盟的市场效益,加速完善了产品供应链。
当然,devsecops也有失败的经验,需要掌握软件开发运营全生命周期的技能,以及过程中的不可控性、假阳性、审计要求等,这些都会对devsecops的应用实践造成打击。幸运的是,经过史诗般的斗争,devsecops联盟克服了这些困难,形成了devsecops发展的能力、文化和技术,同时,安全运用目标更加明确,流程、基础结构和协作也更加完善等。因此,我们更应该关注devsecops接下来会发生什么,就像gartner2020年预测的一样,devsecops被定义为在应用程序开发过程中应用安全的过程已成为共识,devsecops市场在2021-2028年期间将实现高速增长,我们主要任务就是利用新技术实现应用程序所需的安全协议和过程的自动化。
03 演讲主题:《cisa如何为规划基础设施防护线路》
演讲者:joshua corman(cisa医疗部门首席策略师)、sounil yu (jupiterone ciso和研究部主管)
在《cisa如何为规划基础设施防护线路》演讲中,演讲者表示了解cisa在规划基础设施防护线路时所使用的方法,以及如何使用该方法来制定技术战略是非常重要的。因为目前我们许多基础设施的安全防御都是不够的。
cisa的目标是捍卫今天,保障明天。如上图中两个互相倒置的金字塔,捍卫今天由上至下包括对策、情境缺失、操作混乱、无法防御的基础设施;而保障明天由下至上则包括可靠、操作规范、情景明确、对策一致的基础设施。
网络防御矩阵是cisa的基础,它能帮助机构快速了解当前的安全态势以及如何改进。基础设施防御的质量则体现于die三原则,即分布性、不可变性和短暂性。将die应用于可防护基础设施中更容易发现差距和机会。
04 演讲主题:《三合一:三个nist框架的分解和重组》
演讲者:dave weitzel(mitre政策和标准负责人)、julie snyder(mitre首席网络安全与隐私工程师/ncf隐私领域负责人)、christina sames(mitre首席网络安全工程师)
nist的风险管理、网络安全和隐私保护框架都是用于改进企业的风险管理,虽然框架各自不同,但它们以某种方式优势互补,使它们成为任何组织中有价值的风险管理工具。
网络安全和隐私两个框架都包含核心层(core)、概要层(profiles)和实现层(implementation tiers)几个组成部分。核心层里包含组织用于开展风险管理的一系列活动和成果物;概要层是核心层里核心的子集,用于解决达成组织目标时遇到的风险;实现层帮助组织确定是否有足够的风险管理实践和资源以达到其目标。风险管理框架由准备、分类、选择、实施、评估、授权、监控等一系列步骤组成。演讲者介绍了网络安全和隐私框架如何促进风险管理活动的,比如在风险管理过程和活动中,核心层和实现层上可以提供更紧密的联系和沟通,概要层上可以在组织任务/商业目标和网络安全、隐私活动之间建立联系,同时可以避免一些需求上的冲突。演讲者建议,要理解三个框架以及它们之间的关系,建立框架概要手册,明确风险管理实施步骤,将概要设计和风险管理框架应用起来,实现三个框架的融合。
05 演讲主题:《工具时刻:构建您的网络安全架构规划工具箱》
演讲者:diana kelley(founder & partner securitycurve)
diana kelley和ed moyle为我们介绍了在构建网络安全架构规划时所用到的分析工具、信息工具和设计工具,针对如何构建架构工具,以及在何时何处使用这些工具来成功且安全地实施架构进行了详细解释。
一个成功的安全架构应该是统一的、规范化的、并且是可重复的,在架构设计时应当遵循适应当下环境、避免过度投资以及考虑全面几个核心原则,一个架构设计通常需要了解当前状态、通过测量和验证、标记未来状态三个过程,而工具支持着每个过程。
通过分析工具,可以实现当前状态,风险和威胁的梳理,并通过有效性、成熟度和效率三轴进行建模分析,来帮助您了解如何做一个安全任务。其中,成熟度关注的是安全流程是否可靠且具有弹性,可以参考 cmmi的成熟度或能力、流程实施和 cmmc的技术、成熟度评估等;效率关注的是安全资源被合理优化地使用,通过经济建模工具了解了各个控制措施的成本。
通过信息工具进行收集、跟踪和分析企业所在环境信息,然后通过可视化的指标进行展示。
通过设计工具进行建模,可帮助编纂和合并架构规划,利用archimate或uml等标记语言进行更好地设计。
最终,将分析工具、信息工具和设计工具进行有效的结合,进而充分展现可视化、头脑映射和流程协同的作用,以此来设计最适合企业的网络安全架构。
06 演讲主题:《科学方法:安全混沌实验&攻击数学》
演讲者:kelly shortridg(副总裁, capsule8)
安全混沌工程提出了一种新的方法,利用科学的方法和攻击者数学来形成有效的防御策略。kelly shortridg通过用决策树来假设攻击者战略,然后探索使用这些动态威胁模型来制作实际实验,以获得对系统复原力的信心,并做好应对事件的准备。
一个科学的方法包括以下步骤:提出一个真实问题、提出假设、进行实验、将观察结果与预测相比较,并输出报告结果,基于结果重复、不断修正你对现实的认识等。那么什么是决策树和安全混沌工程呢?安全混沌工程(sce)一般使用infosec的科学实验方法,了解系统是如何运行的,通过有计划的经验实验、有意引入失败等,创造学习文化,发现系统的真实性,提高系统的安全性。但是实验是在假设之后进行的,那么如何提出假设呢?我们必须对现实作出假设,为我们的实验提供信息,在冲突的情况下,还必须对对手作出假设,而决策树是最好的方法,它通过“信念激励”帮助人类改进假设,了解特定攻击者。这就是决策树与安全混沌工程。
如何使用决策树与安全混沌工程?kelly shortridg讲解了一个详细的案例,利用决策树与安全混沌工程,用完整的决策树映射出攻击者可能采取的行动范围,分析攻击路径,在容器中构建攻击树隐矿工,抢占攻击路径的先机,加大攻击投资和复杂度,从而让攻击者知难而退。决策树攻击路径映射分析逻辑图如下:
总的来讲,决策树和安全混沌工程提供一种研究攻击价值和目标价值的科学方法论,通过明确组织目标,构建攻击目标优先级矩阵,构造y-响应=x-假设的攻击函数,建立sce实验,形成新的肌肉记忆来应对突发事件,使攻击事件变得无聊,同时让我们的目标资产更安全。
07 演讲主题:《开发人员不喜欢安全的十大原因与凯发官网入口首页的解决方案 》
演讲者:christopher j. romeo(安全之旅ceo)
devsecops是构建弹性网络提供安全能力的重要技术手段之一,christopher j. romeo认为dev和sec的连接是断开的。究其原因在devsecops世界中,开发人员成为了安全人员,但开发人员不了解安全,却经常尝试强制执行流程和工具集,导致开发人员不喜欢安全相关工作,所以dev和sec的连接是断开的。christopher j. romeo总结了开发人员不喜欢安全的十个原因与凯发官网入口首页的解决方案,提出通过协作文化解决开发人员不喜欢安全的问题,十个原因如下图所示:
例如:没人教我如何“安全”的问题,christopher j. romeo的凯发官网入口首页的解决方案是通过撰写“如何做”的安全指导、授权团队、推广教育三步建立安全实践手册和培训计划。培养协作文化、提升同理心、与开发人员同在、随时听取开发人员的意见、询问他们需要什么帮助的反馈,并制定教学和指导的凯发官网入口首页的解决方案,由此解决开发人员的困难,其他9个原因christopher j. romeo均提供了类似的凯发官网入口首页的解决方案。
最后christopher j. romeo提出需要站在开发人员的立场、与开发人员共同工作一段时间,与之共鸣,建立程序化的方法,实施凯发官网入口首页的解决方案解决开发人员与安全的紧张关系,使dev和sec建立正确的连接。
- 关键词标签:
- 天融信 rsa 2021 网络安全会议