RSAC2021会议启示录

        网络安全行业年度盛会RSA Conferece 2021已于5月17到20日在网上举行，大会主题为“弹性”。现将会议的亮点进行摘要，以供大家参考。

        本文开始，先介绍以色列国防军8200部队退役军人创办企业Apiiro，它斩获RSAC2021创新沙盒冠军，主打防止供应链攻击，主要利用SDLC框架，安全开发生命周期管理。使用基于风险的AI引擎学习了源代码和开发人员的经验。在Apiiro平台了解了所有代码组件、安全控件、逻辑流、数据类型及其关系后，其可以基于这些知识实现对二进制文件的分析，构建了二进制文件的标准化的实体关系，Apiiro使用图匹配算法对比分析了源代码与二进制文件生成的实体关系图，来实现对二进制文件的对比分析。Apiiro还设计了有效的算法来检测变异过程中所有可能的合规代码的更改（AOP框架、优化等），同时还能针对分析结果给出插入的恶意代码的功能说明（比如配置文件更新、后门等）。

        Apiiro为什么能够斩获冠军？下面的内容或许能为你揭晓答案。

        摘要1：RSA公司CEO Rohit Ghai主旨演讲《弹性的历程》指出，网络防护方逐渐达成共识，即认定网络攻击事件（如APT、勒索病毒）无法预测、无法完全阻止的情况下，网络安全防护的重点应从防御攻击转变为保障业务。网络安全正在变成一个以弹性为基础的行业，需要适应、创新和发展，努力突破混沌、提供整体预警、防护、恢复和适应能力。“弹性”是一个从军事领域引入网络安全领域的单词，Resilience。

        分析1：美国人危机意识很强，近年来美国大片多是人类灾难片，内容涉及生化危机、人工智能、外来物种入侵等等，可以看出美国人对科技发展所可能带来的危机，有深入的见解和想法，也反映出美国人的危机意识很强；其次，从特朗普到拜登，对华的全面遏制围堵方针没有改变，只是策略和方法有所调整，说明，对中国的警惕是来自于美国整个精英阶层的共识。美国精英认为，中国是近个世纪来，唯一一个能在经济、军事、政治三方面同时对美国造成威胁的国家。实际上，中国在这三个领域要全面超越美国，还有很长的路。也说明美国的危机意识很强。回到网络安全领域，美国人假定网络攻击无法预测、无法阻止，这本身就体现了美国人的务实和危机意识，假定最坏的情况，做最积极的应对。弹性的意思也就是假定已经受到了网络攻击，能够把攻击的危害最小化，恢复与适应最迅速，通俗来说就是，攻击者可以进来，但是进来后做不了任何危害的事情。

        摘要2：Google的安全工程高级总监Heather Adkins认为，软件供应链正面临前所未有的攻击，要改变这一现状需要重构网络安全生态系统，建立基于”弹性“的企业网络安全架构。一是构建零信任网络，建立设备和用户基于数据驱动的信任，阻止攻击行为的蔓延。二是构建微服务架构，实现基于云的微服务架构，在可靠性方面实现故障遏制能力，在安全性方面，控制攻击破坏范围且易于快速恢复。三是构建终端零接触，通过安全代理实现终端零接触，在安全性方面提供攻击难度，阻止攻击扩散。

       分析2：谷歌安全工程高级总监提出的三个构建的目的，两个是为了阻止攻击行为的蔓延和扩散，也就是阻止攻击者的横向移动，一个是控制破坏范围易于快速恢复。零信任、微分段是两种实现的方法，以前攻击者进入了内网，各种通用弱口令，跨段无限制。未来攻击者进入了内网，会遇到和互联网差别不大的内网环境，很多以前很容易的内网横向操作都需要多因子认证，将内网的信任限制在绝对需要的范围。

      摘要3：美国国家安全局两位专家Mike Boyle和Jessica Fitzgerald-Mckay谈到了建立弹性标准的话题，举例了可信平台模块TPM、IETF远程认证RATS、5G网络自动化框架。

        分析3：这是美国国家全全局的一贯做法和优势，这个部门很喜欢参与制定网络、通信、信息等行业的全球标准，参与建立上述行业细分领域的各种标准协议的制定。其实这个部门也是有入侵性和攻击性的，不知道他们积极参与行业标准、协议标准的制定目的为何。

       摘要4：美国总统副助理兼网络和新兴技术国家安全副顾问安妮纽伯格代表美国国家安全委员会提出了美国新政府对网络安全防御进行现代化改造的方法。指出，美国总统拜登政府在其任职的头100天就已经面对并处理两个大规模的网络安全事件，即“太阳风”（Solarwinds）和微软Exchange攻击。安妮提出，此时需要真正开始改变思维模式——从事后补救转变到事前防御。一是将可见性整合到软件安全中去，二是增加国际网络领域活跃度，重新强调美国的国际领导地位，并与战略伙伴共同合作，共同面对网络威胁，其中强调了四方安全对话（QUAD），目的是应对网络威胁并追究破坏性行为者的责任，同时提到国际合作至关重要。三是保证美国拥有更强的竞争姿态，要求在新兴的研发方向投资1800亿美元，放到AI、量子计算和微电子学等领域，安妮说，这项财政投资对于增强美国的网络防御能力至关重要。

        分析4：以安妮的身份，她的意见和想法，可以代表美国政府的下步想法。她先是提出了拜登上任不到100天就处理了太阳风和exchange事件，作为拜登的副助理，为拜登唱赞歌也是职责所在，更彰显她本人的身份。三个观点，第一个观点其实是指出太阳风事件和exchange事件暴露出的关键短板，就是供应链攻击，所以要将可见性整合到软件安全中去弥补这个短板，第二个观点就是利用国际合作与外交谈判斗争施压，制裁网络攻击者，在这点中她特意强调QUAD，其实就是含沙射影中国和俄罗斯，美国一直把太阳风事件的幕后发起者指向俄罗斯，而把Exchange事件的幕后发起者指向中国。第三个观点就是布局未来，加大在网络新兴领域的资本投入，特别关注AI、量子计算和微电子学。

        摘要5：网管软件公司Solar Winds总裁兼首席执行官Sudhakar Ramakrishna披露去年年底曝光的针对他们的大规模供应链攻击事件的细节。他们分析了整个IT环境的数百TB数据和数千个虚拟机系统，发现攻击者在2019年1月便进行了早期的侦查活动，而此前调查结论认为攻击者在2019年9-10月才开始活动。

         分析5：作为一个企业，为了复盘一个已经发生的事情，总结经验吸取教训，竟然花这么大力气去分析数百TB数据和数千个虚拟机系统，一个安全企业秉持如此负责的态度，值得学习。其次，solar wind这种APT攻击，从2019年1月便开始了侦查，2021年年初才被发现，这种时间跨度和周期值得深思。

         一次RSA会议，涉及网络安全，聚集了美国谷歌、微软、以及各大创新独角兽企业，政府层面从国家安全委员会副顾问，到国土安全部、国家安全局、司法部，其他企业层面，各大律所、会计事务所都参与其中，建言献策。可以看出美国从国家、政府、不同行业的多个层面务实的重视网络安全。

         

        很多时候明白急功近利不对，却又在急功近利。如果不愿放弃、不去付出、不去沉淀，如何得到？

        袁隆平走了，人们都在悼念，北平出身说明家世不差，建国初期的大学学历，在那种艰苦条件下，一个懂生物学和基因学的高级知识分子，家庭背景也不差，却到田间做农民做的事，吃了太多他本可以不吃的苦，赤脚在农村向乡下田间做了30年才有成绩，可以想象得到他遇到过很多嘲笑、讥讽、委屈，研究遇到过很多困难，但他仍然坚韧不拔，毕生专注坚持做一件事60载。举头三尺有神明，我们吃过的苦和受过的委屈都是付出，而享受不该享受的生活都是在消耗我们的付出，透支我们的人生。

        

       

         本文若分析不妥，敬请原谅，感谢多多包涵。

本文始发于微信公众号（APT攻击）：RSAC2021会议启示录