Transform

今年RSAC大会主题“Transform”并不同于此前的“Change”，因为背后蕴含了安全与IT和业务的融合，于安全行业是一次巨大的变革，或者更准确的说法是，“大家此前一直谈及或期冀的未来”实则已来。借用《麦肯锡的数字业务安全策略》书中一图，能较为清晰反映这一趋势的演进过程，图中右上角是当下正在发生的事情。

来源：《麦肯锡的数字业务安全策略》

审视当前行业热点，我们能非常明显感受到这一趋势的正在发生：

• SASE提供了一种网络与安全融合的方法，以支持数字企业的动态安全访问需求 。SASE解决方案中出现了“用户体验”这一关键词，“以数据中心”为中心的发卡（hairpinning）流量模型不再适用网络和安全架构的设计，原因之一与“用户体验”直接相关。大厂还收购了DEM（数字体验管理）厂商并将其集成到SASE解决方案中。

• 零信任概念近年来最为重要的发展变化也可见一斑：安全要为业务敏捷提供支撑，基础的架构安全需要同时考虑员工的工作效率和体验问题等。

• 云原生安全，有朋友曾戏谑说这是属于程序员的时代，而这一赛道若干玩家在解决方案中都考虑到的安全左移，和业务的高度结合也就不再赘言。

另一方面，微软、Google等IT巨头的各种举措，也在印证这一趋势。安全和IT的融合给予巨头们更大的市场成长空间，也由此吸引它们入局。微软涉足众多的安全技术领域，将安全、合规、身份和管理整合成相互依赖的整体方案：从身份和访问管理延伸，通过端点、电子邮件和应用安全，到数据丢失防护以及云安全和SIEM。2020年，微软的安全业务收入就已超过100亿美元，今年它还新成立了一个万人团队，独立负责开发和交付安全产品与服务。Google将Chronicle整合到Google Cloud业务中，今年又再收购Siemplify以及Mandiant，可以认为也是基于同样的理念，业务都在线上，安全决定了业务的成败。

最后关于本届主题宣言¹，转一篇译文，分享一点随感。安全的价值如何被企业高层所理解、认同和支持，这在业内是老生常谈，不仅是安全厂商的老大难，对企业的安全部门亦然。印象中有一年ISC 大会 CSO 分论坛上，其中一个话题是 CSO 们如何看待安全预算和资源问题。当时平安科技 CSO 分享了自己的经验，华住事件被披露后，他随即让团队第一时间跟进并快速出了一份高层能读懂的分析报告，他带着去找公司高层要资源。这是比较典型的安全事件驱动要资源的例子。刚好前段时间看到，Palo Alto CEO在某次电话会议中讲公司转型，提及自己近期见的企业CEO能顶上之前几年的总和。这一定程度说明，“安全已经从幕后走到董事会”并非理念，而是正在发生的现实。

安全已经从幕后走到董事会

从加固围墙的专业人员到做出改变游戏规则决策的业务推动者

数字化转型期待我们保护和应对

我们继续成长、发展和联合

当你从风暴中走出

你不再是那个走进来的人

这就是这场风暴的全部意义所在

1. https://www.rsaconference.com/about/themes ↩︎

原文始发于微信公众号（Viola后花园）：Transform