【2019.03資訊安全動態】2049年世界會更好嗎?RSAC2019信任危機的挑戰與創新沙盒亮點
2019/03/19
點閱次數:754
前台
.jpg)
美國當地時間2019年3月4日-8日,全球網路安全領域最具影響力的行業盛會RSAC2019在美國舊金山舉行。RSAC 2019的主題是「BETTER」,在今日一行程式或一個病毒檔造成重大資料與財務重大損失以及心理的驚恐衝擊,已經遠勝於過去。在這個愈來愈強調數位化與萬物相聯的世界,要如何變得更好,將面臨不少的挑戰,本文將整理「中國資訊安全」、「安全內參」與「安全客」等科技媒體對RSAC2019主題演講與創新沙盒競賽的報導重點,讓讀者快速掌握2019年大會的重點與亮點。
1. 專題演講的重點
.jpg)
圖片來源:Help Net Security,2019/2/25, “Don’t miss these keynotes at RSAC 2019”.
(一)信任缺失的挑戰
1.「資訊戰」的盛行將削弱公眾對於媒體和民主制度的信任戰
RSA總裁Rohit Ghai與網路安全策略長Niloofar Howe共同發表「信任願景」的主題演講,展望2049年網路安全的景象。兩名演講者指出,當前惡化的網路安全趨勢正在加速網路空間的信任危機,特別是基於社交媒體的「資訊戰」盛行,將削弱公眾對媒體以及民主制度的信任,到2025年,超過一半的美國人將對民主制度失去信心,對新聞的獨立性和真實性也將失去信心,各種數位「牆」將全球人口隔離開來,信任危機還將動搖社會基礎。
2.人工智慧的濫用將削弱公眾對於技術的信任
McAfee高級副總裁兼首席技術長Steve Grobman在主題演講中,提到AI是網路防禦的新基礎,它將使我們能夠更好地探測威脅,同時自動化能力可以幫助解決人才短缺問題。但問題是「技術不理解道德」,新的技術可能會帶來新的潛在攻擊面,或者被惡意操縱造成嚴重後果,這將加劇正在形成的信任危機。
3.物聯網時代將削弱公眾對於環境的信任
在萬物互聯時代,越來越多的聯網設備正成為關鍵基礎設施、公用事業和製造環境的組成部分,推動物聯網時代的到來。思科全球威脅情報集團Cisco Talos副總裁Matt Watchinski在主題演講中指出,許多預測都表明,物聯網設備將呈現爆炸式成長,到2020年,可能將有2,500億件(包括感測器等)設備聯網。他表示「我們正在構建的物聯網技術正在滲入IT世界,最終將滲入關鍵基礎設施領域,我們將不得不適應一個全新的非安全世界」。
(二)「重建信任」為當務之急
Ghai和Howe呼籲「信任之於網路空間,就像水之於生命」,網路社區必須努力重建信任,包括對技術的信任以及對自己的信任,對此提出了一項三管齊下的計畫,以應對正在醞釀的「信任危機」:
1.理解風險與信任並存的常態
在當前數位環境下,應該正確界定風險的概念以及信任與風險的關係。信任並不是消除風險,而是充分理解、區分優先順序和管理風險。在此認知下,應該充分引入新技術來管理數位風險,提高業務效率。
2.鼓勵人與機器的結合
人與機器的結合比單方更值得信賴,在大多數任務中,機器都能勝過人類,但人類擅長創造性的東西,而且人類更善於知道該問什麼問題、調查什麼,因此,在資料的海洋中,人類可負責問問題,機器負責尋找答案。
3.建立信任鏈
Ghai和Howe認為,聲譽是信任的標誌,信任不需要完美,它更關乎誠實、責任和透明度。對此,他們建議給產品打上數位信任分數,以督促改善信任環境。
二、 創新沙盒競賽的亮點
在RSAC2019另一個重點,自然不能錯過有著「全球網路安全風向球」之稱的「創新沙盒競賽」,創新沙盒已有15年歷史。頭十年的決賽入圍者中42%被併購。最近5年的決賽入圍者共收到15億美元投資。全部入圍者中95%至今仍在營運。
2019年決賽入圍者的十個隊伍,分述如下:
1. Arkose Labs(透過全球遙測阻止欺詐與濫用)
- 業務標籤:反詐欺、業務安全
- 總部所在地:三藩市
- 官網:https://www.arkoselabs.com
Arkose Labs宣稱能夠在不影響使用者體驗的情況下做到100%的應用級反詐欺與濫用防禦。其解決方案提供了一套完整的反欺詐工具包,包括:帳戶接管、仿冒使用者識別、惡意資訊傳播、禮品卡支付濫用、惡意交易攔截、惡意操縱價格、黃牛黨、虛假評價、遊戲虛擬資產保護以及網路爬蟲。從Crunchbase資料顯示Arkose Labs累計獲投1,450萬美元。
2. Axonius(網路安全資產管理)
- 業務標籤:資產管理
- 總部所在地:以色列
- 官網:https://www.axonius.com
Axonius統計用戶自身不知道或未被管理起來的設備,占到了設備總數的10%-18%。Axonius認為:你無法保護你看不到的東西(“You Can’t Secure What You Can’t See”)。因此,他們主打產品是網路安全資產管理平台,該平台主要幫助用戶梳理工作網路中存在哪些資產和設備,確認是否符合該單位的安全保護要求。Axonius的解決方案先從資產視覺化入手,將企業所有的設備統一納入管理範圍並提供一張所有設備的可視圖(包括IoT設備和BYOD設備)。使用適配器透過API與現有系統連接,以發現、分析和關聯設備資訊,為每個設備創建唯一標識和設定檔。最後可透過外掛程式實現跨設備的動作執行。官方提供了5個Use Cases:不間斷的活動設備發現、資產清查與分類、未管理設備識別、修補檔管理、安全解決方案增強。從Crunchbase資料顯示Axonius累計獲投400萬美元。
3. CAPSULE8 (Linux漏洞利用即時檢測)
- 業務標籤:0-day、容器安全
- 總部所在地:紐約
- 官網:https://capsule8.com/
CAPSULE8總部在美國紐約,主打產品是安全行業首個零日攻擊即時檢測平台,主動保護整個Linux生產環境。該平台能夠為使用者提供即時的攻擊檢測服務、高精確度的告警服務以及可操作的攻擊情報。定制化的策略配置也能最大程度地降低誤報率,説明客戶自動切斷攻擊者的連接、重啟工作負載並向安全人員發出警告,另外該平台也能與SIEM、日誌分析工具、取證工具等實現集成。從Crunchbase資料顯示CAPSULE8 累計獲投2,350萬美元。
4. CloudKnox(身份與特權管理)
- 業務標籤:身份與訪問管理、特權帳號管理、零信任
- 總部所在地:舊金山
- 官網:https://cloudknox.io/solutions/
CloudKnox總部位於美國加州,透過行為分析進行訪問授權,在混合雲環境中管理人類與機器的身份許可權,賦予安全人員持續檢測和緩解身份許可權所帶來的安全風險,解決無意或惡意的證書濫用問題。從Crunchbase資料顯示CloudKnox 累計獲投1,080萬美元。
5. DisruptOps(雲端基礎設施檢測與修復)
- 業務標籤:DevSecOps 雲安全管理 自動化
- 總部所在地:堪薩斯
- 官網:https://disruptops.com/
DisruptOps是由知名安全性原則管理軟體廠商FireMon的CEO和CTO共同創建的雲管理與自動化平台廠商。其產品Trinity的核心是基於安全、維運、經濟三個維度的“Guardrail”(護欄)來進行雲資源的自動化管理,為DevOps提供一套安全的基礎設施環境。DisruptOps透過對安全與操作問題的快速檢測並自動修復,實現對雲基礎架構的持續控制。它具備高效、可擴展的雲安全平台及服務自動化與編排技術,促使SecOps(安全維運)真正落地、投入應用。從Crunchbase資料顯示Eclypsium 累計獲投250萬美元。
6. Duality Technoligies(加密資產分析與協作)
- 業務標籤:資料安全 同態加密
- 總部所在地:紐澤西
- 官方網站:https://duality.cloud/
Duality的slogan是「最大化資料利用,最小化風險」。他們將先進的密碼學與資料科學相結合,為受監管行業提供高性能的隱私保護計算服務。Duality的首席科學家Goldwasser曾在2012年獲得圖靈獎。Duality的SecurePlus™平台透過同態加密技術,可以在加密資料時對資料進行計算和分析。借助SecurePlus™,多方可以安全地進行協作,而無需公開其資料和分析模型。企業現在可以充分利用資料和高級分析的潛力,同時完全遵守資料隱私法規。從Crunchbase資料顯示Eclypsium 累計獲投400萬美元。
7. Eclypsium(硬體及固件威脅預防)
- 業務標籤:固件安全
- 總部所在地:波特蘭
- 官網:https://eclypsium.com/
雖然傳統的企業安全從作業系統層面開始防護,但攻擊者還可以攻擊系統本身的底層韌體層,以及從驅動器到網卡到處理器本身的幾乎所有硬體元件,這樣的攻擊越來越多。Eclypsium是業界首個企業級韌體保護平台,用以保護最關鍵的筆記型電腦、伺服器和網路基礎設施的韌體和硬體層。可以主動發現設備的弱點,降低風險,並主動防禦韌體植入和後門等威脅。從購買到部署再到遠端使用,Eclypsium在設備的整個生命週期中為設備提供全面的保護。Eclypsium產品提供的主要功能:管理硬體資產和風險、查看硬體攻擊面、發現和更新過時的韌體、發現易受攻擊的設備和硬體,並修補關鍵漏洞、檢測和防止韌體植入和後門、確保新購買的設備在供應鏈中不被篡改等。從Crunchbase資料顯示Eclypsium 累計獲投1,110萬美元。
8. Salt Security(雲端API保護平台)
- 業務標籤:API安全
- 總部所在地:舊金山
- 官網:https://salt.security
目前,在互聯網上API被廣泛使用,不斷增加的複雜性和暴露敏感性資料讓API成為攻擊者的首要目標,應用的安全風險大增。Salt Security的主要保護物件是API介面,其透過AI技術檢測和防禦API攻擊,能夠做到分鐘級部署,永遠不需要配置。Salt Security透過其專利的AI技術確定合法行為的基線,並即時識別攻擊行為,阻斷針對API的惡意攻擊。還能夠為開發團隊提供詳細的API漏洞細節並提供修復建議,這樣能夠提升漏洞修復效率,從源頭上解決API的安全問題。Salt的解決方案能同時應用於公有雲、容器和私有化資料中心,主流環境都可以提供支援。從Crunchbase資料顯示Salt Security 累計獲投1,012萬美元。
9. ShiftLeft(軟體代碼防護與審計)
- 業務標籤:應用安全 代碼安全
- 總部所在地:聖克拉拉
- 官網:https://www.shiftleft.io
ShiftLeft認為從應用生命週期的視角來看,開發過程與生產環境是割裂的。當前防禦方法是在生產環境中部署如應用防火牆類的產品,這種方法是有局限性的。ShiftLeft的使命是實現應用程式安全防禦的快速、詳盡、可定制化以及完全自動化。它的主打產品包括:Inspect,Protect和Ocular,能夠對軟體代碼進行自動地分析、保護與審核。從Crunchbase資料顯示ShiftLeft累計獲投2,930萬美元。
10. Wirewheel(隱私管理技術)
- 業務標籤:隱私資料保護 隱私資料管理 GDPR CCPA
- 總部所在地:阿靈頓
- 官網:https://wirewheel.io/
WireWheel的主要目標就是説明客戶解決資料合規問題,滿足隱私保護中的合規要求。它建立了一個資料隱私與保護平台,提供隱私風險評估、資料保護風險評估以及協力廠商安全評估與風險管理等。
最後由Axonius獲得該項目的冠軍,第二名的是Duality Technologies。
.jpg)
圖片來源:Axonius獲得第一名,安全內參現場拍攝
參考來源:中國資訊安全、安全客、Help Net Security (林秀英摘要整理)
網址:
1. 中國資訊安全(2019),聚焦RSAC2019:“信任”(Trust)缺失,如何才能“更好”(Better) ?https://www.secrss.com/articles/8841
2. 仙兒(2019),“RSAC2019創新沙盒大賽”,安全客, 2019-02-26,https://www.anquanke.com/post/id/171788
3. Help Net Security , “Don’t miss these keynotes at RSAC 2019 “,https://www.helpnetsecurity.com/2019/02/25/rsac-2019-keynotes/
