从 2023RSAC 大会看网络安全行业发展

2023 年 4 月 24 日- 27 日，全球网络安全行业年度盛会 RSAC 在美国旧金山莫斯考尼中心隆重举行。超过 625 个厂商参会，700 名演讲者围绕 20多个主题深度探讨了网络安全发展的新兴趋势并制定最佳战略，以帮助解决当前和未来面临的网络威胁。大会围绕数字化技术与产业融合发展的趋势展开讨论，情报分析与响应、软件供应链安全以及基础设施安全运营等相关领域成为热点。本次大会上整合应用生成式人工智能技术成为主打特色，众多厂商都发布了基于生成式 AI 技术的新一代网络安全产品，充分表明一场由生成式 AI 应用驱动的“网络安全军备竞赛”已经开启。且随着生成式 AI 的崛起, 网络安全已从传统的人与人的对抗,演绎成人与机器的对抗。

“携手更强大”成为大会主题

2019 年的主题是更好，2020 年是人为因素、2021 年是韧性、2022 年是转型，本次大会主题是“Stronger Together”（携手更强大），源自美国知名女作家、教育家、社会活动家海伦•凯勒的名言 “Alone we can do so little;together we can do so much。” “携手更强大”诠释的是超越传统意义上的人类力量聚合，是产品、工具和平台间的互联互通，更是人员、工具、机器、自动化、AI 等在内的创造和组合,以最高的效率实现最佳结果。在数字化时代，网络威胁更加复杂、破坏性更强，应对网络威胁需要通过团队的共同工作和不断协同创新，才能保障影响相关政策、建立新的最佳实践，构建更加多样化、更加牢靠和有效的安全数字防御体系。因此，只有合作是基础的时候未来才是光明的。

从 RSAC 大会近年来的主题我们可以看到，网络安全正在深刻的影响着每一个人，网络安全正在从突破一种技术变成整个社区的安全问题，变为数字化转型的基础。

人工智能席卷 RSAC 大会

人工智能将成为网络安全的基础

人工智能是本届 RSAC 的热点。今年获得创新沙盒大赛冠军的企业是Hiddenlayer，作为一家成立于 2022 年的人工智能应用安全初创公司，HiddenLayer 提供威胁建模、机器学习模型风险评估、专家培训、红队评估、人工智能/机器学习模型扫描和机器学习模型检测与响应实施服务，其核心产品 HiddenLayer MLSEC 平台旨在提供对抗针对人工智能和机器学习模型的攻击。HiddenLayer 凭借其创新型人工智能安全解决方案从十家入围厂商中脱颖而出，一举夺魁。这是创新沙盒第一次把冠军颁给 AI 安全，足见AI 时代已经到来，随着 AI 逐步渗透至各个网络安全产品和解决方案，整个行业都将为 AI 掀起的颠覆性浪潮做好准备。在大会上，包括 RSA Security在内的十余家主要供应商和 50 多家初创公司还发布了 AI 驱动的新型网络安全产品。大大小小的安全公司都在致力于与生成式 AI 结合，推出包含生成式人工智能的安全新产品。因此，人工智能将成为网络安全的基础，需要利用人工智能来阻止人工智能发起的攻击。

·SentinelOne 公司发布新型威胁搜索工具

Sentinelone 公司发布了一款新的网络安全威胁搜索工具，并表示这是生成式 AI 技术在网络安全领域应用的一项重大进展。该工具充分利用了大型语言模型（LLM），相比传统模式大幅提高了安全分析师的工作效率。SentinelOne 将这款基于生成式 AI 的新型威胁搜索工具称为“Purple AI”。安全分析师能够在 Singularity Skylight 分析平台中使用新的生成式 AI 工具，并针对其组织环境中的安全威胁提出问题。通过使用自然语言查询系统，将为安全分析师大大节省威胁处理的时间，从而有更多的时间去响应更多的安全警报，并识别更多攻击。生成式 AI 技术还可以为分析师提供更简洁的事件分析报告，优化安全分析工作的效率。以这种方式实施生成式 AI 技术的主要目的是简化威胁搜索复杂度。整合这种生成式 AI 技术后，可以有效帮助企业的安全运营团队扩大威胁搜索活动的规模。新的 SentinelOne 威胁搜索工具最初将作为 Singularity Skylight 平台的附件来提供，目前已处于有限试用阶段。

·谷歌云发布云安全人工智能工作平台

谷歌云也发布了最新的 Security AI Workbench 产品，旨在帮助企业用户缓解威胁数据和使用众多安全工具所带来的日常安全运营压力。Security AI Workbench 基于一种名为 Sec-PaLM 的新型安全专用大型语言模型。该模型充分结合了谷歌云丰富的威胁数据以及 Mandiant 在漏洞和恶意软件方面的情报数据。

谷歌云将会把 Security AI Workbench 率先部署在其新产品 VirusTotal Code Insight 上，该新产品使用这项技术分析各种可能存在恶意的脚本，并向安全分析师解释其异常行为，最终有助于客户改进检测流程、增强威胁发现能力。该产品目前还处于试运行阶段，使用 Security AI Workbench 技术的更多产品和方案将于今年夏天正式推出。

· 埃森哲公司推出新的托管式威胁检测和响应服务

埃森哲公司将通过与谷歌云合作，推出新的 MDR（托管式威胁检测和响应）服务，其中主要的 AI 功能将会基于谷歌云最新发布的 Security AI Workbench 产品来实现。该服务将充分利用云原生的安全信息事件管理平台和 Mandiant 的威胁情报，并通过 Security AI Workbench 提升安全分析师的工作效率。为了让用户可以更快地访问 Mandiant 威胁情报，新的 MDR 服务系统会充分利用生成式 AI 的分析能力和总结能力，可以利用生成式 AI系统让分析师更快地确定新的威胁活动模式和特征，从而更快速、更有效地识别出未知威胁。

· 思科公司发布最新扩展检测和响应平台

思科在大会上正式发布了最新的扩展检测和响应（XDR）平台，这是一个全新设计的多功能威胁检测和响应平台，不仅融合了传统网络检测和响应（NDR）与端点检测和响应（EDR）能力，还具有独创性的跨域遥测数据能力。此外，新 XDR 平台利用循证自动化技术，几乎实现了可实时检测威胁，并确定威胁响应优先级，大幅提升了安全团队的运营效率。此外，Cisco XDR 的独特之处在于，不仅可以轻松整合旗下众多安全工具的高保真数据，还可以整合市场上主流的第三方安全产品，包括 Microsoft Defender、Cybereason、Palo Alto Networks Cortex XDR、SentinelOne Singularity、Trend Micro Vision One 以及 ExtraHop Reveal NDR 等。

·IBM 公司推出新的安全产品套件

IQRadar Suite 一直是 IBM 多年深耕威胁检测和响应领域的成果。在新发布的版本中，最主要功能特色也是基于 AI 的创新设计，比如基于 AI 的警报筛选、自动化威胁调查以及智能化的威胁搜索。通过 AI 技术的应用，新的产品升级主要体现在统一的分析师体验、SaaS 化交付模式以及与 900多个第三方工具集成。IBM Security QRadar Suite 的核心产品包括：面向云原生日志管理和安全可观察性的 QRadar Log Insights、QRadar XDR、QRadar SOAR 以及 QRadar SIEM。

· CrowdStrike 推出 Crowdstream

CrowdStrike 公司和可观察性初创公司 Cribl 共同推出了一项新产品CrowdStream，旨在实现更加快捷和准确的网络安全数据采集与分析，该产品基于 Cribl 研发的开放可观察性平台来实现。CrowdStream 平台可使用Cribl 可观察性管道将任何数据源直接连接到 CrowdStrike Falcon，大大简化并降低了将数据采集的成本和时间。该产品最终可以帮助用户提升对 XDR和 SIEM 等工具的应用效果，同时有助于汇集用于训练 AI 和机器学习模型的数据。

·Zimperium 发布移动安全平台

专注移动安全的创新厂商 Zimperium 宣布，已成功实现了对移动设备防护和移动应用程序防护的能力整合。Zimperium 最新发布的 Mobile-First Security Platform 方案将其原有的 Mobile Threat Defense 产品与 Mobile Application Protection Suite 产品主要功能相结合，简化了企业安全团队的应用复杂性，实现了端到端的移动安全防护能力融合。Mobile-First Security Platform 方案的优点之一就是为移动访问和管理两款安全产品提供了集中式界面，其他主要功能还包括：实现了设备端的威胁检测，无需再将数据上传云端；增加了阻止逆向工程的应用程序保护机制。

· Flashpoint 公司发布最新情报平台 Ignite

Flashpoint 公司发布了最新的情报平台 Ignite，旨在帮助组织更好地防御网络威胁和物理威胁。该平台的最大特点在于，可以通过跨组织的多个不同团队来采集情报信息，并提供可以充当团队之间协作桥梁的情报数据。最新版 Ignite 的主要功能包括 Flashpoint Cyber Threat Intelligence，可以通过搜索数千个情报来源，同时监控不同威胁分子之间的联系，并获取来自Flashpoint 分析师的威胁情报分析报告。方案其他重要功能还包括：可以帮助团队区分和修复漏洞的管理功能、监控和警报物理安全威胁的 Flashpoint Physical Security Intelligence 功能，以及面向特殊任务的 Flashpoint National Security Intelligence 功能。

· Cybersixgill 发布新的攻击面管理解决方案

网络威胁情报服务商 Cybersixgill 今年发布了一种新的攻击面管理解决方案，可以帮助用户的安全团队更快地区分和响应威胁。新方案充分利用该公司的威胁情报数据，帮助用户消除资产可见性盲点，并提供未知资产的持续映射和分类。这种持续的外部资产发现能力全面包括了识别域及子域、IP 及主机、已知漏洞、软件以及证书。

新方案的其他主要功能还包括：资产库存管理，可以帮助用户深入了解资产关联、位置和资产类型；以及与威胁情报相关的资产监控，便于用户快速了解潜在风险和相关警报。

· Torq 发布最新的自动化平台方案

初创型安全公司Torq 发布了最新的Torq Hyperautomation Platform方案，有望帮助企业组织自动管理大规模环境下的超复杂安全基础设施。新平台可以针对组织常见的安全运营工作任务，将自动化能力充分引入到整个流程和工作流。Torq Hyperautomation Platform 主要功能包括：能够跨所有基础设施环境（包括 Slack、Zoom 和 Microsoft Teams）连接所有应用程序和堆栈；支持任何命令行接口或编程语言，以实现“自带代码”；编排容器化操作（支持 Docker、Kubernetes、AWS 和 Azure），以实现“自带容器”。此外，Torq Hyperautomation Platform 还通过 ChatGPT API 整合了 OpenAI 技术，初步拥有了生成式 AI 功能。该平台可以通过 Slack、Teams、Discord和 Zoom 中的聊天机器人界面，为用户解答问题，以帮助用户加快解决所遇到的安全问题。

RSAC 大会的热点话题

本次大会的热点话题主要涉及领域包括安全战略与架构，网络安全技术类和网络安全应用类。

安全战略与架构

安全战略与架构是历届 RSAC 大会的热点话题，本届大会安全战略与架构主题主要涉及对当前安全形势的分析研判、安全战略的转型以及如何落地，建立弹性的网络安全能力，云与零信任。

涉及对当前安全形势的分析研判的代表性主题包括：网络安全的全社会方法；边界和端点之外的安全；新的网络安全挑战：混合劳动力环境；无代码工具的安全风险；主要的 AI 漏洞。

涉及安全战略的转型以及如何落地的代表性主题包括：加强全球网络安全的合作战略；在当今的高风险世界中保持安全；转型安全战略——制定行之有效的计划；通过协作确保可靠性；打破孤岛和提供数字信任的三种方法；通过单一解决方案实现网络安全现代化；构建安全程序的四个维度。

涉及供应链和弹性安全的代表性主题包括：对供应链的攻击；攻击后的恢复力；弹性地建立弹性标准；技术性地缘政治转变时期的供应链弹性。

涉及云安全的代表性主题包括：构建安全性的企业云转型；混合云中的加密模式；Microsoft Azure 和本地技术的混合安全；云威胁建模—从架构设计到应用开发。

涉及零信任的代表性主题包括：在零信任世界中建立信任以应对未来的网络威胁；零信任：提高信息安全的实用策略；零信任架构的内部构建。

网络安全技术

在网络安全技术领域，黑客与威胁、情报分析与响应、隐私安全是本次 RSAC 大会的热点技术性话题。

黑客技术主题主要包括：ICS 网络威胁形势、共同保护代码、令牌盗窃、发现数百万物联网设备中的“BadAlloc”内存漏洞、 API 框架和扫描工具的恶意使用。

应对威胁特别是勒索软件的主题包括：机器学习最终击败高级勒索软件威胁、僵尸程序的兴起以及应对措施；对网络攻防趋势的分析与判断主题包括：绘制网络犯罪生态系统、加强数字化转型时代的安全、减轻俄罗斯政府支持的对美国关键基础设施的网络威胁。

情报分析与响应主题主要关注该领域的前沿技术以及应用实践。特别是 AI 技术在网络安全分析与响应中的应用。主要包括：AI 增强的威胁猎手和取证者时代、将人工智能应用于事件响应功能、通过机器学习进行调查和狩猎、用于对抗性机器学习的 ATT&CK®、多云异常检测、使用威胁建模来提高合规性、托管检测和响应概述、制定针对高级威胁的 CISO 响应策略等。

在隐私安全的话题中，讨论的热点主要是技术性问题和法律规范性问题。技术性主题涉及人工智能、车联网、医疗等多个领域，主要包括：人工智能和机器学习正在起飞、同态加密将迎接人工智能的挑战、人工智能的隐私和合规性——开源工具和行业观点、TNG 预示着人工智能和机器学习、无人机和自动驾驶汽车：隐私和安全与监控、应对物联网中的隐私挑战。法律规范主题主要包括：处理隐私评估的新方法、信息安全背景下的隐私标准、自适应保证：实施自动化控制测试程序、成功将隐私纳入 IAM实施的步骤、隐私威胁和漏洞、隐私技术：网络安全的十字路口、网络安全中的数据伦理和隐私工程。

网络安全应用

DevSecOps 和应用程序安全，移动和物联网安全，基础设施和运营是本届大会最为热门的网络安全应用话题。

涉及DevSecOps的主题主要包括：DevSecOps中的简明语言威胁建模、构建企业级 DevSecOps 基础设施、DevSecOps 的数据驱动测量；涉及应用程序安全的主题主要包括：如何成功管理软件供应链安全、通过网络管道攻击 Kubernetes 集群。

关于移动安全的主题主要包括：移动网络运营商应对零日漏洞的网络弹性、移动支付安全趋势与机遇、政府如何促进安全的 5G 生态系统、拼图攻击：一种针对平台 APP 的新攻击方法、利用 5G 解决物联网设备安全问题、移动 Web 应用程序面临的挑战。关于物联网安全的主题主要包括：电动汽车系统暴露的安全弱点、智能物联网：利用电网弱点对电网进行物联网僵尸网络攻击、物联网基于 UDP 的 DDoS 放大攻击新矢量研究、汽车/物联网网络漏洞。

基础设施和运营话题主要聚焦于对基础设施的安全防护策略，以及相应的网络安全技术等方面，代表性主题包括：通过固件保护和供应链安全实现网络弹性、 DNS 作为对现代攻击的额外防御的力量。

最值得关注的五种新兴网络攻击技术

网络安全事件不断升级，攻击手段越来越先进，影响范围迅速扩大，对国家经济和社会造成的破坏越发严峻。网络攻击行为已经不再是互联网初期的黑客炫技或者偶发事件，而是针对重要高价值目标的有组织、成规模的持续性威胁。为帮助企业安全领导者洞察不断变化的威胁状况，并防患于未然，在每年的 RSAC 大会上，都会分析当前网络安全攻击技术的发展特点和趋势，并介绍当今使用的最危险的新攻击技术及其特点。

对抗性 AI 攻击

对抗性攻击是指利用 AI 模型中的不足和漏洞，破坏 AI 模型用来学习的数据，并生成能够欺骗模型的对抗样本。这些样本看起来与正常数据非常相似，但是却能够导致模型产生错误的输出结果。目前，对抗性攻击已经成为了人工智能技术应用领域中一个非常重要的研究方向。

在对抗性攻击中，攻击者会用多种方法生成对抗样本，例如快速梯度符号方法（FGSM）、基于梯度的优化方法（BIM）、投影算法攻击（PGD）等。这些方法都是通过对原始数据进行扰动，从而欺骗 AI 模型。就对抗性AI 攻击而言，威胁分子通过操纵 AI 工具，可以更方便地识别复杂应用系统中存在的安全漏洞。从简化恶意软件编码流程到普及社会工程伎俩，对抗性 AI 已经改变了攻防对抗中的游戏规则。为此，组织需要部署纵深化防御的安全模式，提供层次化保护、自动化检测和响应操作，并支持更有效的事件处理流程。

利用 ChatGPT 的社会工程攻击

ChatGPT 可以非常真实流畅地模仿人类写作，这个特点使其有可能成为一种强大的网络钓鱼和社会工程工具，特别是当威胁分子需要进行跨语种的欺诈攻击时，ChatGPT 可能被用来更有效地分发恶意软件。在 ChatGPT技术加持下的社会工程攻击会更具欺骗性和危害性，这也意味着企业组织将比以往任何时候都更容易受到伤害，只需误点击一个恶意文件，就可能使整个公司面临风险。在这种更严峻的攻击面管理挑战下，需要组织自上而下倡导网络谨慎文化，以确保员工能够提前认识到与 ChatGPT 相关的攻击。

SEO 优化攻击

SEO 优化攻击是一种危险的新兴攻击方法。攻击者们开始大量利用常用的网络推广策略，以实现其非法攻击目标。SEO 搜索引擎优化技术已经被广大网站运营者广泛使用，但它同样可以被网络攻击者所使用，使得非法欺诈网站的访问量大幅提高，从而提升攻击活动的成功率。在这种攻击情况下，攻击者利用 SEO 关键字诱骗受害者访问欺骗网站、下载恶意文件，通过漏洞利用实现远程用户访问，还会使用一些技巧保护恶意样本长期潜伏。SEO 优化攻击表明网络攻击者开始变得更加积极主动，他们逐渐抛弃那些容易防御的传统攻击技术。为了应对 SEO 优化攻击，企业组织需要实施更有针对性的安全意识培训计划。

恶意广告利用攻击

与利用 SEO 优化技术来扩大恶意网站的访问类似，攻击者还在利用付费的广告搜索技术，来提升欺诈网站的搜索引擎展示效果。尽管 SEO 优化攻击和恶意广告利用攻击使用的都不是全新技术，但是研究人员认为，这些攻击在 2023 年会变得非常流行。通过恶意广告利用，可以人为地提高某些非法恶意网站搜索排名，从而误导受害者。而那些非法的恶意网站看起来和真正的 Blender 官网几乎完全相同，一般用户很难分别其真伪。

软件供应链攻击

软件供应链攻击已经成为现代企业组织必须高度重视的最危险攻击方式之一。攻击者会利用第三方软件漏洞绕过现有控制措施并访问特权环境。对于各大行业的企业组织而言，LastPass 漏洞攻击再次强调了要与第三方软件供应商保持紧密合作的重要性，以便实现整体的安全架构、分享威胁情报，并熟悉不断发展的攻击技术。企业组织在解决软件供应链安全问题时，需要基于软件应用的全生命周期来考虑，监控和保护其中的每个环节。

网络安全行业发展

通过对本届 RSAC 大会主题、网络安全热门话题、新型网络安全产品及新兴攻击技术的分析，我们可以总结出未来网络安全行业的发展：

人工智能网络攻防将呈现对抗性发展

随着新一代人工智能技术的提出与发展，攻击方将利用人工智能更快、更准地发现漏洞，产生更难以检测识别的恶意代码，发起更隐秘的攻击，防守方则需要利用人工智能提升检测、防御及自动化响应能力。基于人工智能的自动化渗透测试、漏洞自动挖掘技术等将为这一问题的解决提供新的可能。因此，网络安全正在从人人对抗、人机对抗逐渐向基于人工智能的攻防对抗发展演化。

网络安全云化服务将被广泛推广

网络安全云化服务被用户广泛接纳。云计算与云应用已经成为 IT 基础设施，在公有云、私有云、混合云、边缘云以及云地混合环境中保障安全已成为未来组织发展的“刚需”。云化趋势为网络安全产品服务提供了更好的运营模式。

网络安全架构向零信任发展

随着云计算、大数据、微服务、移动网络等技术的发展，传统基于网络边界的防护模型在新的网络态势中不再适用，基于零信任模式的需求将逐步增加,以适应持续演进的动态安全需求。根据 Gartner 预测 2023 年将有 60%的 VPN 被零信任取代，同时 40%的企业将在远程接入以外的场景使用零信任。

关键信息基础设施保护领域将成为行业新增长点

关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露，可能危害国家安全、国计民生和公共利益。当前，关键信息基础设施认定和保护越来越成为各方的关注焦点和研究重点。随着重要行业和重要领域网络安全建设投入的快速增长，关基市场将成为下一个网络安全行业的增长点。

隐私计算技术将得到各界的更大关注

作为平衡数据流通与安全的重要工具，隐私计算成为数字经济的底层基础设施，为各行各业提供了坚实的数据应用基础。近年来，隐私计算产业快速增长，在巨大市场预期下，产学研界将更加关注隐私计算技术的新发展和产品应用的新场景。尽管隐私计算有强劲的市场需求，但目前异构系统无法互联互通、产品性能效率低、产品适配性不强等突出问题仍制约着隐私计算技术更大规模的商业化应用。在巨大市场预期下，产学研界将更加关注隐私计算技术的新发展和产品应用的新场景。

供应链安全风险管理成为重要挑战

随着经济全球化和信息技术的快速发展，网络产品和服务供应链已发展为遍布全球的复杂系统，任一产品组件、任一供应链环节出现问题，都可能影响网络产品和服务的安全。供应链攻击将持续成为影响组织网络安全的重要因素，在目前远程办公逐渐常态化、规模化的环境下，组织内来源于全球供应链的设备、系统、服务、数据都存在供应链安全风险。供应链网络安全风险将作为一项社会技术挑战加以解决。保障供应链安全急需数据保护措施和身份验证技术的支持，对供应链实时数据可见性、流转节点安全检测和异常事件应急响应的需求将急剧增加。

结束语

目前，我国网络安全产业与世界先进水平相比存在不小差距，网络安全投入占信息化总体投资比例较低。网络安全产业整体规模和企业国际竞争力相对较弱，且尚有部分关键领域的安全防护技术产品缺乏自主性，网络信息安全产业发展面临诸多挑战。对此，要加快网络安全技术创新体系的建设，强化网络安全基础技术、通用技术、关键核心技术创新研究；鼓励网络安全技术与量子计算、区块链、拟态防御等新兴技术融合创新，积极开展新兴融合应用网络安全技术研发布局，构建多领域、多层次的网络安全核心技术体系，加快我国网络安全产业的发展。