文|耀疆&譚校長
每年4月,在美國的西海岸,都會因為信息安全而掀起一股巨大的浪潮。來自全球頂級廠商、專業機構和權威組織的數萬名菁英份子共赴盛會,匯聚一堂,共同探討網絡安全緊迫問題和前沿技術,這就是被譽為網絡安全“奧斯卡”的RSA大會。
既然是“奧斯卡”,怎能少得了“走紅毯”的明星大咖?怎能沒有這些明星大咖們最敏銳的眼光、最深刻的見解和最前瞻的洞察?
這其中,一位連續多年親赴RSA的“老人”尤其引人注目,請允許我以誠摯之心尊稱他為“老人”——不是年齡之老,實乃資格之老!試問,放眼國內網安圈,又有多少能像他一樣耕耘三十載仍奮鬥不輟的?
他,就是被譽為網絡安全常青樹和安全圈校長、360技術總裁及首席安全官的譚曉生。
值RSAC2018剛剛閉幕之際,安在借其風塵未洗的熱乎勁兒,對譚校長做了第一時間的專訪,並以滿滿的乾貨饗於讀者。
安在:您已經是連續多年參加RSA大會了,能先談談對2018本屆RSA有何觀感呢?
譚校長:這是我第五次參加RSAC,總體感覺,今年看展是五年來感覺最平淡的一次,當然,各個展臺活動依然豐富,工作人員依然賣力,但好像新東西不多。其實,這和產業發展自身的規律有關。
前兩年我曾說過終端安全正在興起,今年的確就看到了很多終端安全產品,不管是EPP、EDR還是終端威脅情報,都呈現出很繁榮的景象。雲安全廠商挺多,做安全管理服務、身份管理系統的廠商也不少。
而像CASB這樣之前被Gartner預期會有大爆發的產品倒是並不突出,IoT安全廠商也依然不多,工業互聯網安全廠商更少。
看似平淡,但或許這並不是壞事,產業發展需要足夠的沉澱,新概念新理念出來,必須要有幾年時間才能做實,這樣,才能讓“肉體”跟得上“靈魂”。
當然,在RSA大會現場碰到Adi Shamir(編者注:國際著名密碼學專家)還是很開心的事情,畢竟,他可是我的偶像之一呀。
安在:RSA大會每年都如此盛況,為什麼就能辦的這麼好? 國內有可能也舉辦類似體量的會議嗎?其中是否體現出中美之間網絡安全的一些差距或差異?
譚校長:說起來RSA大會人家的產業脈搏把握得好,方向把握得準,keynote嘉賓品質好,同時參展廠商多,是一次絕佳的產品與服務大檢閱,這些因素共同作用,就有了良性循環。
具體來說,RSA大會每一年的展現都會跟著上一年的重點,通過它,你能看到未來。
比如2017年,RSA大會展現了很多精確的網絡威脅、網絡攻擊,從通過人為控制到社會工程學,再到對物聯網和醫療設備進行黑客攻擊,同時,我們看到很多安全解決方案都採用了人工智能和機器學習,實際上這個行業一直在攻防對抗中持續地推動AI和ML的進步和發展。
到了2018年,RSA大會就增加了很多機器學習的內容,對該領域的進展進行了集中的溝通和分享。今年的大會上,GDPR也是共同關注的話題,這涉及到了風險管理與合規。
正是在這樣各方因素共同促進,以及有時間延續的良性循環下,大家才越來越願意參加RSA大會,所以它就會越辦越好。相比之下,國內目前還沒有這種體量的會議,ISC(中國互聯網安全大會)比較有希望,但還有差距。
當然,如果要聯繫到中美之間的差距,這可是個老話題了,簡單來說,這是“各有專精”和“全而不精”的關係問題。海外有很多小廠做細分領域的都可以做很好,也被鼓勵,但在國內,相對就沒那麼活躍了。
安在:每年的RSAC上,創新沙盒都被稱作網絡安全發展的風向標,那今年,從創新或者投資方面來看,有什麼值得關注的點呢?
譚校長:創新沙盒賽制很簡單,決賽共有10家公司代表上臺,每家有3分鐘的“自我介紹”時間,之後是評委自由問答和建議,最後選出冠軍,整個賽程只有兩個半小時,可以說非常“短平快”。時間雖短,但“價值”很高。據統計,過去五年來,多家進入決賽的初創公司獲得了累計12.5億美元的投資。
此外,近五年入選TOP10的共50家公司中,15家都已經被知名公司收購。比如做CASB的SkyHigh Networks,前後融資高達1.06億美元,2018年初被McAfee收購。再比如做Anti-APT的Cyphort前後融資5370萬美元,2017年被Juniper收購。
今年的創新沙盒,在入圍的安全公司裡,AI、威脅檢測以及隱私保護成為重頭戲,多家公司都推出了相應的產品和解決方案。評委們除了看重企業技術能力和創新,也非常重視“變現能力”,即是否真能解決企業、用戶最頭疼的問題,是否有大規模發展的價值等。
最終,BigID奪得了創新沙箱大賽第一名,這是一家專注於用戶隱私和數據保護的公司,其軟件平臺號稱能幫助企業有效響應以個人數據隱私為中心的GDPR要求,具體包括被忽視的權利、加快違規響應通知、確保遵循用戶協議以及限制所收集數據使用方式等。
這是個很有意思的方向,看得我都有興趣搞一套BigID的產品了,想看看自己的產品和服務中都碰到了哪些用戶數據,實際部署時會有多少阻力,有哪些數據是敏感的,處理是否妥當。
在Facebook信息洩漏事件爆發,以及歐盟GDPR熱議的當下敏感時期,大數據和隱私洩露的確是成功地戳中了評委和用戶的痛點。未來可預期的是,網絡隱私保護將成為安全投資的風口。
安在:據說今年參會人數有所減少?參展的中國企業好像也少了?您感覺如何?如說是的話,說明什麼問題?
譚校長:我不知道你從哪裡看到說人數減少?至少我沒覺得人少了。其實,2012年應該是RSA大會的一個分水領,2012年之前參會人數大約在17000到20000人,從2013年開始逐年增加,到2017年,已經有43000參會者了,2018年RSAC目前還沒有看到具體數字,但是有報道說有45000人。
至於參展的中國企業,因為大多都是通過中關村來統一參加的,也有部分是獨立參展,雖然有一些廠商的調整,但是應該跟之前差不多吧。
安在:中國企業參展的意義和價值主要體現在哪些方面?坊間經常玩笑說,無非“出口轉內銷”,是這樣嗎?
譚校長:這麼比喻也沒啥錯,但老實說,中國安全市場相對來講比較封閉,中國發生了什麼外面不知道,我們做了什麼外面也不知道,如果不積極走出去,沒有直接的溝通交流,沒有充分的展現,怎麼說都很難取得進步的。
除了接受安在專訪之外,譚校長還在參會RSA2018期間連續撰文多篇,細緻介紹自己的觀感、體會和思考。安在也在得到譚校長許可下,對他最新發表的一篇文章進行編髮,圖片引自“安全客”,文字引自“老周開講”。
譚曉生:永不妥協!正義聯盟如何對抗黑客攻擊?
從圖左至右依次為宮一鳴、Kimmy、譚曉生、Inigo、李康
今天是RSAC 2018的最後一天,今年我的會議胸牌上終於有了“LoyaltyPlus”的貼籤,這意味著我已經參加五屆以上的RSAC,鑑於RSAC是網絡安全行業參會人數最多、參展廠商最多、影響力最大的會議,只參加了五年其實沒什麼可以炫耀的。
今年參加RSAC的最大感受是最近這幾年參展、參會的國內廠商越來越多,參會人數也每年都創新高。不僅是360、綠盟、山石網科、安天、飛天誠信這樣的傳統安全廠商參加,WebRay、長亭科技、微步在線等初創安全公司,以及阿里巴巴這樣的互聯網公司也來參展。
網絡空間安全面臨割裂風險
說誇張一點,有點看丘吉爾“鐵幕演說”的感覺:“一道鐵幕正在降下”。只是不知道在世界已經充分互聯,萬物都要互聯的時代,這個“鐵幕”究竟會是什麼形態,會有什麼樣的影響,會持續多少年。
可以確定的是,未來的網絡空間安全將會是多線作戰,網絡安全從業者將會面對的是與網絡犯罪、網絡恐怖主義、網絡戰爭、網絡意識形態競爭的持久抗爭。
幸運以及不幸的是,我們會是這個歷史的見證者,同時也是創造者。
國與國之間的網絡攻擊將會成為常態
美國國土安全部部長Kirstjen Nielsen在Keynote演講中花了不少篇幅講美國選舉遭別國通過網絡攻擊/社交媒體影響的事情,提出類似選舉系統這樣的關鍵基礎設施要具有抵抗網絡攻擊的能力。
其實這背後的預期是,國與國之間的網絡攻擊會成為常態,被攻破也會是預期中的,也釋放了“企業安全不是企業自己能搞定的,需要國家力量的幫助”這樣的信號。這種思路本身是有道理的,但實際執行中因為國與國之間利益的衝突、文化衝突、意識形態差異,安全廠商的國際化業務會受到影響。
RSA總裁Rohit Ghai在主題是“Future of Cybersecurity“的演講中提到的三個觀點:
放棄銀彈思維,從點點滴滴做起;
快速行動;
團隊協作。
銀彈思維是說會有某一項技術或方法可以能讓軟件工程的生產力在十年內提高十倍。Rohit Ghai的演講,頗有一種現實主義精神。
從RSAC看網絡安全行業的五大進步
在之前的一篇文章中,我曾說RSAC 2018“Nothing New”,說的是本次大會並沒有那麼多新的概念、新的技術提出。但三天的展覽看下來,不得不佩服RSAC對方向的把握能力,在前幾年新概念、新技術不斷湧現之後,今年業界的產品、技術在落地方面有了長足的進步!
先說人工智能在網絡空間安全領域的應用。
人工智能在網絡安全應用中遇到的最大的問題是誤報率高,今年看到有一家叫BlueVector的廠商號稱可以做到1%的誤報率。和BlueVector的多個工程師聊過,想了解他們如何做到1%的誤報率,以及用什麼人工智能算法。原來我預期很多廠商會吹噓自己用深度學習算法,因為深度學習熱啊,有意思的是,包括BlueVector在內的大部分廠商坦言他們沒有用深度學習,用的是傳統的人工智能算法!誤報率是否如他們所聲稱的那麼低依然有待落實,但從大家沒有追高大上的名詞這一點上看,我相信在人工智能在安全上的應用,已經到了落地的那一步。
其次是安全運維自動化。
強調自己產品中自動化運維特性的廠商很多,Splunk在今年年初收購了RSAC2016 Innovation Sandbox的贏家Phantom,也標誌著安全運維自動化將會是未來安全產品內嵌的特性。安全產品要做到快速響應,不自動化怎麼行。
第三是網絡安全方向的商業化機會。
Facebook數據被濫用的事情以及歐洲GDPR(即一般數據保護條例)的實施確實帶來了商業機會 。
今年RSAC Innovation Sandbox大賽的獲獎者BigID是做數據的自動分級、分類的,做為一家互聯網安全公司的技術總裁、首席安全官,這個產品對我都有吸引力。公司大了,業務管理上一定會有漏洞,搞不清楚自己的眾多業務中都收集、存儲、使用了用戶的哪些信息是不奇怪的,面對越來越嚴格的監管,這種能幫助企業找出自身問題,規避風險的產品肯定是受歡迎的,商業變現的前景會很好。
再說網絡安全意識教育。
這次展覽也有多家廠商聚焦做網絡安全意識教育。這次中興通訊給大家上了生動的一課,雖然中興洩密的事情大家之前都知道一些,但這次美國商務部的處罰,很可能讓大家有機會見證一家規模已經很龐大的公司的休克或突然死亡,而直接的誘因是因為安全保密意識問題。
最後說說創新。
週四我花了很多時間在看以色列的展臺,以色列這個地理上的小國,創新能力確實很強,在網絡空間安全領域其實是個大國。比如DLP(數據洩露防護)領域,WebSense(被Ratheon收購時候合併進ForcePoint了)這家公司做DLP的核心人員其實是在以色列。除此之外,也還有GTB這樣的做DLP的公司。
這次我又遇到一個以色列的小公司,又在用和以上這兩家公司不一樣的思路在做DLP,這就是創新精神。在以色列公司的展臺上經常能遇到公司的創始人、CEO、CTO什麼 的,和他們的聊天是一種享受,能遇到很多“有趣的靈魂”。
網絡安全的至暗時刻,與芳華
回程的航班上看了兩部電影《至暗時刻》和《芳華》,看到《芳華》片尾的時候眼睛中竟有了淚水。
過去的兩三年中令自己糾結的事情還是挺多的。《至暗時刻》所刻畫的丘吉爾在面臨“戰”還是“和”決策時候的那種糾結我能感同身受,有時候對選擇的結果並不能做到完全有信心,而自己深知一個重要決策的做出,可能決定公司的生死,可能決定一支團隊的存亡,而結果要過很長時間才能知道。
現實利益與理想可能存在嚴重的衝突,網絡空間安全領域尤其是這樣,我們現在面臨的艱難選擇就有:
網絡空間安全對國家安全、社會安全、企業安全、人身安全日益重要 vs 網絡空間安全產業盈利能力差,消費者對網絡空間安全感受弱;
網絡空間安全國際合作能提高面對網絡犯罪、恐怖主義的應對能力 vs 網絡攻擊已經成為國與國之間對抗的形式,鐵幕正在降下;
網絡空間人才受追捧以及自我放飛 vs 團隊協作精神。
“理想與現實之間的距離,是痛苦”,這句話我在2000年時候第一次聽到,18年過去了,一直還在理想和現實之間的痛苦中掙扎。
生於70年代的我,經歷了《芳華》所講述的時代,身邊就有參戰的人。有人說70年代的是有點革命浪漫主義情懷的,我覺得還真是。
在舊金山期間和一個同事聊天,談到我們正在做的一件非常艱難的事情,同事比較悲觀甚至萌生退意,我咬牙放了一句狠話:你要是不想幹你可以退出,但我一定要幹下去,不管結果如何!相比丘吉爾在敦刻爾克大撤退前夕決策的困難,我們不會更難吧?那一個決定關乎的是大英帝國的興衰,若干士兵於國民的生死,丘吉爾選擇戰鬥,“戰敗的國家可能復興,但投降的國家不行”。
網絡安全空間安全上,在我們的有生之年可能確實未必能找到終極解決方法——或許想找一個終極解決方法的出發點就是錯的!
但,我們總應該能夠做一點事情,讓事情往好的方向發展一點!我們會面臨友軍掉鏈子、兄弟反目、友商給行業挖坑、國與國之間信任崩潰等一系列問題,但如果我們直接投降,那麼未來的世界一定不會更美好。
人生這幾十年,未必期望能留下什麼,但希望在自己老去的時候,回顧自己的一生,讓自己的欣慰的是自己戰鬥過,不管成功還是失敗,自己盡心竭力試圖讓世界變得更好,不管成功還是失敗!
與《芳華》中的一代人相比,我們趕上了一個偉大的時代,並且有機會站在潮頭,雖然網絡空間面臨空前的安全挑戰,但放棄決不是選擇,Never Never Never Surrender!
與諸位同仁共勉。
閱讀更多 安在信息安全新媒體 的文章
