RSAC 2024上的产业大咖们都在谈什么？

日前，全球网络信息安全行业最受关注的年度盛会——RSAC 2024， 在美国旧金山顺利举办。本届大会以“可能的艺术（The Art of the Possible）”为主题，吸引了全球网络安全领域众多专家、学者和厂商的参与。

与往年一样，RSAC 2024是促进行业交流与学习的广泛互动平台，.会议通过高峰论坛、竞赛活动、展览等多种方式，呈现了网络安全行业当前发展中的新理念、新技术、新产品和新应用。大会举办期间，Proofpoint、Rubrik、Mimecast、Trellix、Palo Alto Networks、Check Point和Zscaler等多家知名网络安全公司的高级管理者或技术负责人，发表了自己对当前全球网络安全产业发展挑战和未来趋势的看法。在本文中，专业媒体CRN的编辑们对这些产业大佬的精彩观点进行了梳理和盘点：

我认为，企业组织目前应该更加关注安全性和IT系统之间的关系，而要确保这种关系健康有序，关键在于制定一种可持续的网络安全架构方法，这种架构的包括包括身份及访问、EDR、SASE、以人为本以及自动化等5个核心要素，在此基础上可以整合更多的扩展组件。如果组织依靠太多的单点产品来执行安全防护任务，而不是在基础设施和人员层面统一管理风险，那么其数字化系统的底层关系就会变得不健康、不可靠。在我看来，只有采用统一架构的方法，CIO和CISO才能建立起比以往更牢固的安全体系。

网络弹性是指从网络安全整体态势的角度评估安全性，即了解数据和用户在数据方面的活动，然后提供补救措施。现在有越来越多的组织开始意识到，之前的网络安全工作和讨论或许偏离了正确方向。相比网络安全事件发生后的处置，事前预防至关重要。因此，每个组织都应该提前关注风险和威胁，并且应该意识到，改变组织的网络卫生状况不是一起孤立的事件。网络攻击不可避免。因此要确保即便在攻击得逞的情况下，贵企业依然能够正常运转？

数据一直是企业组织无法妥善解决的问题，而AI的使用正在放大原有的数据安全问题。数据问题一直存在，但企业很多时候会忽略了它。现实中，企业会将海量的数据放在不同的地方并隔离起来，为访问者授予相应的访问权限，并添加了控制措施。但AI技术加大了这种数据保护模式的难度，因为AI需要让所有的数据都能相互交流，并允许收集更多数据。这让数据安全性变得非常难以控制。因此，需要新的方法和思路，以针对数据保持合理的授权和控制级别。

我从事网络安全领域已有25年。网络安全领域的平台化发展一直是起起伏伏。在我刚进入网络安全领域时，迈克菲和赛门铁克都是大平台建设的倡导者，但现在日渐式微。而现在企业组织的基础设施中，却看到了一些非常有意思的新型平台。我认为，全球企业组织的网络安全工作目前都面临较大的资金预算压力，他们希望在行业中寻找到一些有特点的安全供应商，以便“为我做更多的事情”。一个可能的趋势是，把钱尽量花在有限的几家固定供应商上，这或许是接下来网络安全平台整合的一个趋势。

纵观整个网络安全界，我认为当前最大的话题是网络安全需要实时性。但是在很多时候，安全防护技术的发展跟不上攻击者的步伐。根据我们统计的数据发现，2023年攻击者从最初攻击到突破平均需要40天，但在2023年观察到的数据显示，攻击突破平均只需要5天。甚至我们还观察到仅用几小时就取得成功的攻击。因此，企业必须在更小的时间窗口内能够实现检测和修复，以便在攻击得逞之前及时阻止它们。我认为，留给威胁检测人员的时间窗口会继续缩小，这就要求企业的安全防护尽可能接近实时。

当前，我们看到了网络安全行业中的一个现象，就是CISO们的责任相比以往大大提高了，要对可能给组织造成巨额损失的潜在安全事件承担更多责任，此外还需要经常向董事会阐述组织面临的潜在风险，并将其列入议程。然而，很多CISO在公司的管理层会议上却没有一席之地，他们所能够利用的资源非常有限，也缺少应有的安全预算。这种矛盾正加大企业的安全缺口。

在很多大型企业组织中，往往会分别设立的CISO和CIO岗位，他们会独立完成各自工作。而随着数字化业务发展，我认为CIO们已意识到，他们必须更多的了解网络安全，这是好事。CIO们通常负责网络系统、基础设施和应用软件系统的运行维护，但在此过程中，他们需要与安全部门密切合作，很多工作目标都在趋同。CIO应该意识到形势在变化。不管CIO以前是否了解网络安全工作，今天的数字化发展模式正在变了。因此，我认为CIO必须更好地了解如何正确应对网络安全工作。

过去几年的网络攻击情况很糟糕，但以后只会更糟糕。我们现在已经看到了很多基于AI的攻击，AI技术将会使网络攻击更加的普及化。以前也许只有经验丰富或技术高超的人才能发动这类攻击，而将来可能会变的没有任何技术含量。在防御方面，很多组织对自己跟进的节奏仍然是自我感觉很好。设想一两年后，会有更多的AI创新应用涌入市场，安全从业者和安全供应商们需要共同联合，才能打好这场AI技术引发的网络保卫战。

我认为，在网络安全行业中，人们对这项技术及其如何发展还存在严重误解。我和一些人谈过，他们问我是否所有的安全分析师都会下岗，到时会以完全自动化的AI技术唱主角。我认为不会出现这样的情况。人类在网络安全领域的作用是不可取代的。安全分析师只会在AI的帮助下行动越来越快、能力越来越强。同样的，攻击者并不可能让AI技术取代自己，而是借助AI变得更危险、更狡猾。

对所有企业来说，网络安全的支出在企业整体IT支出中的比重在不断加大。网络安全保险的费用也在上涨，但安全状况并未改善。安全团队面临着预算和人手有限的窘境，他们在设法确保安全。攻击者采用AI后，情况变得极为复杂，这意味着更大规模更复杂的攻击、更逼真的深度伪造和金融欺诈。攻击者继续力求创新。因此，网络安全团队感受到的压力只会变得更大。

应用软件的开发团队和安全团队之间一直存在明显的脱节。开发人员的数量往往会比安全人员多得多。而由于生成式AI，现在开发人员编写代码的效率比以前提高了40%。在应用程序安全方面更积极学习的公司对更多的系统实现了自动化。他们已经将生成式AI融入到软件开发生命周期中，至少为GenAI做好了准备。然而对于其他还没有左移的公司来说，安全与开发人员和软件步伐之间的脱节越来越严重，安全团队需要尽快跟上步伐。

当前，企业三分之一的漏洞发现仍然来自基础性扫描和渗透测试，这是远远不够的。应该通过关联资产和威胁情报以实现对漏洞的最佳检测、调查和响应。当然，这对网络安全行业来说是仍然是一个需要不断提升的能力挑战。此外，企业中存在了大量的漏洞，而安全团队的资源是有限的，因此我们需要能够优先为真正面临威胁、风险最高的漏洞打上补丁，把资源集中在最需要防护的环节上。

我们看到很多企业在数字化发展中苦苦挣扎，他们会感到非常沮丧，觉得从来没有在网络安全上花过这么多的钱，但却遇到了前所未有的网络攻击。这让很多企业觉得网络安全投资是打了水漂。其实，让企业感到不知所措的原因，主要是缺乏长期规划的能力。想象一下五年后，网络攻击者可能会使用ChatGPT 7来编写更复杂的社会工程攻击，并通过每一条沟通渠道趁虚而入时，我们该怎么办？AI技术该如何帮助我们在安全防护方面发挥更好的作用？

AI技术的使用越来越广泛。如何安全地使用AI对所有人来说都是头等大事。对于组织而言，不仅需要将零信任用于用户和工作负载，还需要零信任来保护AI应用的安全性。根据我看到的情况，大部分的企业还不知道如何安全地实时AI应用。要么是“禁用一切”，要么“完全开放态度，看看会发生什么”。大家都在谈论AI，也都想要用好AI，因为它能提高生产力，但是对AI技术应用的风险因素却了解的非常有限。

在过去这几天中，我听到很多企业的安全负责人对我抱怨，‘你知道吗，我的供应商根本不关注我们所重视的安全问题。’或者‘供应商在回避我们的安全要求。’这对企业的网络安全工作影响重大。当前的供应链攻击能够在组织不知觉的情况下将漏洞、不安全内容或恶意代码引入到应用程序中。这些组件如果没有得到适当的保护，可能会带来各种安全风险。

在理想的世界中，我们希望各种先进的技术能够在“阳光”下被使用，然而，现实世界从来不是乌托邦，AI技术的应用也是如此。其影响是多维度、多层面的，即会增加安全风险，也能够增强安全防护能力，还有法规监管层面的要求。因此对于AI技术应用，将会有众多的可能性。企业组织不能仅仅把AI应用的挑战看作是网络安全或数据安全的问题，它还牵涉法律问题及其他伦理等问题。同时，我们也要认识到，AI技术也同样可以加强安全。

量子计算的安全威胁就像千年虫时刻，区别在于，人们清楚的知道千年虫问题会出现的日期和时间，而对量子计算而言，还没人知道确切的日期和时间。但量子计算机能够破解传统密码的威胁是切实存在的。为了解决这个问题，人们现在必须升级加密密钥、算法和应用程序，才能开始使用量子安全机制。后量子加密就是这类算法，可以抵抗量子计算机破解。目前，我们看到许多组织、大企业和政府开始做准备，试图清点其环境中与加密资产相关的方方面面。准备就绪后，他们需要一项计划，以便能够从传统加密升级到后量子加密。所以我认为，企业组织应该从现在开始就为即将到来的威胁做好防备。

我认为，企业组织面临一个严重的安全问题是，如何将网络安全工作与预算支出联系起来。很多CISO想在董事会占有一席之地，向董事会阐述网络安全问题，但是他们说的话董事会完全听不懂。因此在现实工作中，CISO们应该首先关注的是，如何采取一种基于整体风险的方法来管理网络安全工作？如何从业务影响方面量化风险？如何向董事会、首席财务官和业务部门阐明这个风险？

当前，行业中有一种普遍的误解以为，通行密钥（passkey）不会像密码一样可以被窃取，但这是错误的。通行密钥实际上是存储在设备上的数字证书或加密密钥。谷歌、亚马逊和苹果基本上都支持FIDO标准，表示可以将通行密钥存储在设备上，并会把它同步到云端。这看起来没有问题。但由于通行密码现在被同步到云端，它就有可能被窃取。不能因为通行密钥不是密码就认为意它不会被窃取。因此，为了确保通行密钥对企业来说足够合适和安全，必须有明确的安全策略来管理通行密钥的传输、通行密钥实际存储的位置、如何存储以及谁可以访问。

在今年的大会上，与我交谈的几乎每个客户都有一模一样的问题，‘无论我们将数据发送到哪里，数据都存满了。而在这上面我们已经花费了大量的资金。’即便企业已经满足2024年的数据存储需求，但这能满足十年后的存储需求吗？在此背景下，企业都在寻找如何保持可持续的数据存储和管理策略。所以企业现在非常关心，我们现在该怎么办？我不可能每年都追加30%的数据管理预算。