每年RSAC会上都有一个“安全战略与架构”论坛,这个论坛的重点不是讨论当年的热点安全技术,而是关注安全整体架构的发展趋势、方法论、使用策略、整体方案,以及技术热点对安全架构的影响。安全战略与架构是历届RSAC大会的热点,与每年大会上的技术热点频繁切换不同,RSAC战略与架构话题具有连贯性。通过RSAC大会的主题,可以反映安全界对安全战略与体系结构发展趋势的判断。
迄今为止,RSAC近5年的大会主题如下图所示。
图1-1 近5年的RSAC大会主题
本届以及上一届“安全战略与架构”论坛中的热点议题举例如下图所示。
图1-2 近2年“安全战略与架构”论坛中的热点议题
相对于吸引眼球的安全热点技术,安全战略与架构更为重要,没有架构的引导,安全的发展就是盲目的。好比果树的成长需要经历播种耕田、养护施肥、采摘除虫等多个阶段,如果旁观者只关注果实,就会误认为果子是随机出现的,只看到除虫与采摘,反而忽视了选种与养护。
安全体系的演进趋势:
从威胁驱动到业务韧性
通过对历年RSAC的主题以及“安全战略与架构”论坛中的内容,可以洞察到:安全体系的发展正在经历“从威胁驱动的安全防御,到面向业务的系统化韧性保障”演进的趋势。
继RSAC2021确立了“韧性”主题后,本届RSAC大会的主题是:“Stronger Together:合作更强大”。RSAC大会引用了海伦·凯勒的名言:“一个人的力量是有限的,集体的力量是巨大的。”这句话体现了人们应对不断变化的威胁时,不能再依靠单项技术或单一维度的单打独斗。相反,我们需要通过多方的交流、分享、协作,才能建立“系统化”的安全体系结构,以应对当前日益复杂化的安全问题。在这个架构建设过程中,云、零信任、人工智能、自动化运营等技术是热点。
安全界认识到,成功的威胁防御是“概率性”的而非“确定性”的。安全从本质上不是威胁驱动的,而是业务的属性,需要随同业务设计一同解决。威胁并非安全问题的根源,而只是其表现形式。这就像糖尿病的根源不是糖分,而是人体基因缺陷一样。因此,安全保障不能仅仅考虑威胁,就像治疗糖尿病不能只针对糖分一样。
为了确保安全,我们不能仅仅依靠威胁防御这一维度。如果我们只依赖于威胁防御,那么一旦防御失败,整个安全保障就会崩溃。相反,我们需要从多个维度来考虑安全,包括系统可信、威胁防御和运营管理等方面。只有通过多技术、多产品、多厂商的广泛协作,才能建立一个完善的系统化业务韧性架构,从而确保安全。
图1-3 从一维线性的威胁防御,到多维系统性的业务韧性体系
一个安全体系架构的技术组成如下图所示。
图1-4 安全韧性架构的技术组成
“原子”技术也可称为“根”技术,是指那些能够用于建立其他安全技术而无法被其他安全技术所构建的基本安全技术。包括:可信硬件、加密算法、可信开发、AI算法以及安全知识等。
信任体系的关键,在于定义什么是“安全”。信任体系的建设与威胁无关,而是由业务功能本身驱动的。信任体系的目标和价值是建立系统的“确定性”正常行为基线。相关技术包括:设施可信:可信计算;身份可信:认证与授权;行为可信:零信任等。
防御体系是由威胁驱动的,其目标和价值,是致力于消减因各种攻击威胁对系统带来的“不确定性”风险,通过对抗威胁,保护系统的“确定性”行为基线。当前重点在于主动安全技术,包括:启发式诱捕、白名单防御等。
运营体系是由业务的运营保障流程驱动的,方法论是NIST的IPDRR;其目标和价值就是通过动态的运营管理过程,随时发现系统行为偏离正常的“确定性”基线的情况,并及时纠偏,让整个系统“越用越安全”,保证系统始终处于安全状态。有关的技术包括:资产管理/风险识别、态势感知、异常行为基线、BAS自动化攻击模拟、自动化响应编排等。
融合性的多厂商安全产品体系
与RSAC2023的主题不谋而合,华为的安全理念不仅仅是成为一家专业的安全厂商,更是为了能够帮助用户解决产业面临的严峻安全挑战。华为更多聚焦在基础软件、基础硬件、高性能算力、AI算法、数据总线、操作总线等安全“根”技术与平台性技术上,通过建立开放融合的系统性架构,汇聚产业界各种“长板”安全技术,向广大安全厂商赋能,实现1+1>2的效果。联合伙伴,向关键行业和重要领域提供高水平、确定性的安全解决方案,切实解决产业发展中的安全问题,消除用户对安全“没事用不上,出事不管用”的固有印象。
往期推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...