RSA大會Keynotes議題Highlight | RSA 2017專題

RSA Conference 2017（信息安全大會）已於上周在舊金山順利落幕。作為信息安全行業的年度盛事，本屆大會吸引了來自全球的眾多頂尖學者和安全廠商。大會在14日-17日共舉行了15場Keynotes（主題演講），內容涵蓋人工智慧，情報戰爭，威脅態勢，安全變革，行業合作等。受篇幅所限，小編難以將這些精彩見解一一解讀，在此我們只嘗試回顧其中的一部分，看看這些大咖們都分享了哪些行業熱點，對未來趨勢又有怎樣的判斷。

註：為方便各位閱讀，部分議題已附官網視頻鏈接，有興趣的同學可前去觀看。

本屆大會的Keynotes中有兩場為小組討論性質，屬歷年RSA大會的必備環節。在這裡，主持人會邀請嘉賓就前沿科技成果，熱點研究領域和未來值得關注的方向等議題各抒己見。

在14日進行的「The Cryptographers' Panel」（密碼學家小組討論）中，與會學者陣容可謂豪華——4位嘉賓里有3位是圖靈獎獲得者：Whitfield Diffie、Ronald Rivest和Adi Shamir（后兩位就是RSA中的「R」和「S」）。主持人Paul Kocher就當下許多熱點問題徵集了他們的看法，例如：

人工智慧將對信息安全領域帶來怎樣的改變；

量子計算機的發展；

由2016年美國大選說起：投票系統面臨著哪些問題；

如何看待去年FBI和蘋果的撕逼大戰；

美國司法部長Jeff Sessions要求安全部門和執法機構「繞過設備加密」意味著什麼？；

如果我們被黑了，該不該黑回去？

可以看出，本次討論涉及話題廣泛，其中不乏對時政等嚴肅內容的點評，不過台上的對話氛圍還是很輕鬆。值得一提的是：多數時間小組成員對各個話題的意見並不相同，在提到當下大熱的概念——人工智慧和機器學習（接下來還會被多次提及）時，有多位持懷疑態度。比如Susan Landau（伍斯特理工學院網路安全政策與計算機科學教授），她承認機器學習在數據處理上的高效，但考慮到在未來黑客的攻擊手段會更加多變和不可預測，人工智慧是否可靠仍有待驗證。Shamir則認為人工智慧會在防禦端表現良好，而信息安全僅僅依靠被動防禦是遠遠不夠的，他並不看好人工智慧在反擊端的表現。不過當談及去年的美國大選時，四位嘉賓的矛頭都毫無例外地指向了疑似背後操作的俄羅斯政府。Landau的評論顯得格外耐人尋味：當年俄國人從蘇聯解體的教訓中看到了輿情攻擊、信息攻擊等新型攻擊方式，如今他們學以致用將這些手段實踐在了美國身上。而此類攻擊恰恰對美國這種民主、開放又深植於互聯網的國家最有效果，對那些專制，獨裁國家的作用反而不大。<點擊原文查看>

第二場小組討論<點擊原文查看>在15日舉行，與會者全部來自SANS研究所，包括SANS創始人兼研究總監，主持人Alan Paller。議題摘要如下：

勒索軟體與物聯網

嘉賓：Ed Skoudis（SANS研究所講師）

可能將勒索軟體拿出來講多少顯得有點老生常談——無論是小編還是在座各位，都不難注意到近一段時間以來勒索軟體瘋狂蔓延的趨勢，並且FreeBuf還做過許多相關專題報道，不過在RSA大會這樣一個場合鄭重、公開地向大眾釋放一個「提高警惕」的信號還是很有必要的。Skoudis介紹了勒索軟體受黑客青睞的原因並著重普及了防禦此類攻擊的常用做法。

同樣值得關注的還有物聯網（IoT）系統。他擔心黑客已經不滿足於將物聯網當作發動大規模DDoS攻擊的平台了，也許未來會出現新的針對物聯網的攻擊方式。在缺少相關市場規範條例的前提下，接入物聯網的設備、廠商越多，大環境就變得越不穩定。除了常規的賬號密碼保護手段，Skoudis還鼓勵用戶積极參与到物聯網設備的安全反饋中去，推動廠商對漏洞及時做出修補。在講話的最後，他還列舉了之前奧地利一家酒店遭到黑客攻擊，房客被鎖在門外遭索要贖金的例子來證明物聯網漏洞與勒索軟體結合帶來的破壞性。

針對ICS（工業控制系統）的攻擊

嘉賓：Michael Assante（SANS研究所ICS課程主任，工業與基礎設施研究主任）

Assante此番的分享更多基於他的個人經歷。2015-2016年間，黑客曾對烏克蘭境內的若干工業設施發動攻擊，不僅入侵了工業控制系統，還不忘搞定了其備份修復系統。他當時曾作為技術指導參與美國支援的技術重建。他感嘆黑客的攻擊變得越來越組織化，複雜化，而且現代工業對於自動化系統的依賴也許過高，到底應該控制在怎樣的程度？這是個值得思考的問題，很多時候，自動化程度越高，一次攻擊帶來的損失就越大。

弱隨機數生成器、開發者對網路服務的依賴和NoSQL資料庫面臨的威脅

嘉賓：Johannes Ullrich（SANS技術研究院院長）

Ullrich拋出的問題顯得更加簡單直白：他引用了CNCERT（互聯網應急響應中心）的一項調查：在25個開源的比特幣項目中發現了162個有關隨機數的漏洞。他認為：小型設備（如某些家用路由）受其規模限制往往無法支持足夠安全的隨機數生成——這導致WPA2加密可能會被破解；諸如Container和Serverless架構的出現讓開發更加高效的同時也帶來了新的威脅；對於MongoDB、Elastic Search等NoSQL資料庫而言，管理者要對針對性的攻擊有所準備——JSON和XML等文件會帶來新的安全變數。

之前提到，作為應對新形勢下信息安全威脅的熱點概念，「人工智慧」和「機器學習」在本屆RSA大會上備受青睞，並且在幾日間的Keynotes中被反覆提及。這裡我們暫且不談大會展位上各家廠商是如何宣傳的，先來聽聽這些行業領導者們的看法。

面對大眾高漲的熱情，會議東道主，RSA（現EMC信息安全事業部）的首席技術官Zulfikar Ramzan在他15日的主題演講《Machine Learning: Cybersecurity Boon or Boondoggle》（機器學習：網路安全的泡沫還是福音）中提醒公眾要保持冷靜，理性看待。

「這些技術的確（在網路安全行業）產生了不小的影響，但問題在於：它們究竟能帶來多大程度的改變？」

在Ramzan看來：很遺憾，恐怕不如某些廠商鼓吹的那麼多。

Ramzon在演講中提到，眼下一些大火的技術概念其實沒有宣傳的那麼新奇。比如機器學習，其本質可以簡單概括為：通過建立合適的演算法來教會計算機分辨行為的好壞。事實上，機器學習在網路安全領域中的應用已經超過10年，比如我們常見的垃圾郵件過濾系統，殺毒軟體和線上欺詐行為檢測中都會用到。但是對於普通用戶而言，他們很難從鋪天蓋地的廣告宣傳中意識到這點。

「這就導致了檸檬市場（次品市場，指交易雙方信息不對稱）的出現——用戶難以分辨出產品的好壞。產品功能良莠不齊，例如有些可能導致過多的誤報或者無法應對黑客新形式的攻擊。」

Ramzon的話更多是在嘗試為已經火熱的AI市場降溫，他或許是不想看到太多泡沫的出現。

但需要肯定的是，機器學習技術這些年來的確在不斷進步，尤其表現在數據分析方面。IBM在上周三宣布他們的「Watson」超級計算機可以幫助客戶應對安全威脅——只需15分鐘就能完成人工需要一周的數據分析工作。

有一點是毋須質疑的：在市場競爭的浪潮下，功能欠缺的產品會被淘汰，一切只是時間問題。就像一位參展者所言：

「這裡有來自世界各地的上百家廠商參展，但是其中只有5%-10%的產品經得起考驗。最終市場會大浪淘沙，挑選出真正優秀的競爭者。」

相比Ramzon的警告，Alphabet（Google母公司）董事長Eric Schmidt則為人工智慧的支持者打了一針強心劑。他在與Gideon Lewis-Kraus（《AI，原力覺醒》作者）共同出席的演講上闡明了自己的觀點<點擊原文查看>。他認為，未來人工智慧將在醫療診斷，數據中心等多種行業的發展中起到關鍵作用，現在公眾的擔憂多少有些被誤導的成分在裡面。

Schmidt選擇為人工智慧背書似乎只是個簡單的立場問題：他本人擁有計算機科學博士學位，且在人工智慧相關的領域有幾十年的從業經驗。更重要的是，去年，Google CEO Sundar Pichai曾如此評價：

「我們將從移動時代進入人工智慧時代。」

很明顯，Google要做這個時代的領跑者。

Schmidt舉例，計算機視覺技術在很多方面具有遠超人類視覺的優勢——它可以查閱並處理上百萬的圖片——遠非人力能及，而且語音識別技術也是同理。進一步來說，人工智慧的優秀表現需要海量的數據支持。Google的圖片搜索與識別功能就是一例：想要教會電腦怎麼分辨一頭獅子和一隻羚羊？先把成千上萬張圖片展示給機器「看」再說。

在人工智慧領域，Google開發了自己的演算法並成功將其應用在商業模式上，有眾多的頂尖工程師在不斷努力讓Google的數據中心變得更加高效。據Schmidt透露，人工智慧的應用將至少帶來15%的提升。

他還舉了醫療方面的例子：機器學習可以輔助醫療診斷並分析最佳治療途徑。「人工智慧可以從已知的數字序列中判斷出下一個可能出現的數字。醫療保障與之類似——人們去醫院檢查身體來判斷接下來可能會出現的健康狀況，Google一些基於人工智慧的項目已經具備這樣的能力。」

當Lewis-Kraus表達了他對人工智慧自我意識覺醒，可能反過來威脅到人類的擔憂時，Schmidt並沒有贊同。他認為目前人工智慧技術能做到的事情還在人類的設想範圍內，現在的科技還遠遠沒有發展到值得我們憂慮的水平，目前人工智慧技術並不會帶來什麼危險。

說句題外話，在訪談中Schmidt也並非表現得一無所慮。他擔心政府可能出於安全考慮或受其他因素影響而限制互聯網訪問（沒錯，他提到了）。他希望政府能簽訂協議或者建立一定機制來確保互聯網的暢通無阻。至於人工智慧，他希望該領域的科學研究能保持向大眾開放，不會被軍事或政府單方面把控。

作出以上警告的是Intel Security（原McAfee）高級副總裁兼總經理，Chris Young。他在本次大會的主題演講《Sweating the Small Stuff on a Global Scale》（對付全球範圍內層出不窮的小事）中提到：黑客可以通過操縱數據影響人們的決策。這種攻擊被他稱為「數據地雷」，決策者踩中時可能導致判斷失誤，錯失機會甚至經濟損失。<點擊原文查看>

他所列舉的例子包括2016年受黑客影響的美國大選以及黑客是如何攻擊，感染物聯網設備的。他認為，隨著DVR和安全攝像頭等設備的普及，家用網路成為了黑客的重點照顧對象。同時，由於選擇在家辦公的人越來越多，他們所接入的公司網路也受到了相同的威脅。

在談及行業內的團隊合作時，他引用了NBA球星「魔術師」約翰遜的話。當時熱愛籃球的Young詢問魔術師像92年的夢之隊那樣一支眾星雲集的隊伍，大家是如何從平時的對抗中團結起來，取得奧運金牌的。魔術師給出的回答很簡單：放下自大；要有共同的，更高的目標。除了再次呼籲業內共同面對威脅之外，為表示誠意，他的團隊還推出了OpenDXL——一款開源的威脅情報分享工具。

本場Keynote很有意思的一點，Young在最後為人們展示了在青少年，甚至是小孩子眼裡，網路安全是怎樣的一個概念，以及他們對未來有著怎樣的期待。這段內容或許有一點煽情作秀的成分，但毫無疑問抓住了人們的心理。他在最後呼籲：這就是孩子們眼中的世界，而我們在場所有人現在就是他們的超級英雄，他們的明天值得我們去攜手保護。

作為美國國土安全委員會主席，Michael McCaul此番演講更多在關注美國的國家利益本身。他是2015年《網路安全法案》的撰寫人之一，曾在眾議院任職7年，支持通過立法保證美國信息安全。取這樣的標題也不是因為他想搞個大新聞——更多是出於他對當今美國網路安全狀況的憂慮。基於多年的網路安全工作經驗，McCaul在演講中分析了現在攻擊頻發的原因以及應該如何應對。小編將演講文檔放在這裡<點擊原文查看>，太長不看的同學可以參考下面的簡介。

1.敵人咄咄逼人的態勢

來自俄羅斯和黑客對美國網路防禦體系的破壞；

國家情報機構對美國核心利益信息的攫取；

普通黑客對於美國民眾資料，醫療信息的入侵

恐怖分子利用社交媒體開展的新形勢戰爭等

2.為什麼我們會接連遭遇失敗

安全領域的專業人才依然不夠，逍遙法外的黑客佔據數量優勢；

科技的發展令攻擊技術往往領先於防禦手段；

政府機構，科技企業間的情報共享不夠；

法律的不完善導致對於犯罪分子的威懾力度不足；

在國家安全和信息安全間，因涉嫌加密的問題導致人們搖擺不定

3.我們該如何應對？

加大投入力度，政府和民間機構應聯手對抗威脅

他本人已經提出議案計劃在國土安全部開設新的獨立的網路安全機構

培養更多的專業人才

對網路犯罪採取堅定的反制措施

加強與盟友間的合作

除了信息安全行業的強相關話題，大會主辦方還在近一周的議程中穿插了幾場由其他領域的知名學者和領導者進行的主題演講。他們或來自國防部門，或是知名物理學者，更有艾美獎得主致閉幕辭。每個人都與信息安全有著千絲萬縷的聯繫，精彩思想的碰撞也從來不會局限在一個領域。

從題目來看，本場主題演講與信息安全專業相關度不高——更側重於團隊合作與領導者的角度，甚至你也可以把它當作一場自述：故事的主人公是Dame Stella Rimington。對於沒聽說過她的人，RSA官方網站上有關於她身份的大段描述。然而，比起她在本屆RSA上要介紹的身份來說，其他內容略顯多餘。這條身份是這樣的：former Director General of the Security Service （MI5）。是的，軍情五處，最具神秘色彩的情報機構之一的前任局長，007系列電影中「M」的原型。

Rimington介紹了她在MI5的職業生涯。她曾在反顛覆國家，反間諜和反恐三大分支工作過。在她剛剛入行的那個年代，男女不平等在職業選擇上體現得淋漓盡致，尤其是在政府情報機構這樣的地方。她在爭取自身位置時經常不得不據理力爭。即便如此，女性獲得同樣的工作機會仍然是困難重重。後來，在不懈努力下，她爭取到了MI5情報專業的培訓機會，成為接受此類培訓的第一位女性情報人員。除此之外，她還介紹了她是如何受到公開提名，成為部門主管；工作中承受的種種誤解與壓力以及情報工作的政策是如何隨著時代變遷而調整的。

在這裡引用一位同樣投身於安全行業的女性與會者的評論：「我覺的其中最有意思的部分就是關於她（指Rimington）講述女性是如何越來越多地參與到情報工作的各個部門中去的。之所以這麼說是因為信息安全行業也面臨著同樣的多樣性問題。這倒不是指責有人刻意不接受女性加入或設置了怎樣的門檻——更多是因為社會因素，正因如此我們才應該直面這個問題。」

最後要提一下Dr.Neil deGrasse Tyson的出場——天體物理學家，作家，演員（有沒有在《生活大爆炸》里見過他？）。他在Keynote中沒有提及太多關於信息安全的內容，而是為台下觀眾帶來了關於當代多項前沿科技的精彩講解——從系外行星到引力波。他甚至還由美國政府對加密通信的管束扯到了外星人間的信息交流。在談及斯諾登時，他給出了如此評價：「愛德華.斯諾登是我見過最純粹的愛國者。」（他本人曾與斯諾登在2015年9月有過深入對話，有興趣的同學請<點擊原文查看>）。

也許RSA大會在某種程度上代表了過去一年信息安全行業的一張縮影，一個回放——想要加以概括是件很困難的事情：我們可以看到新興技術概念登上主流舞台，卻也遭受質疑；儘管現狀堪憂，卻仍有無數的探路者在不畏艱險一路前行。也許直接引用領軍人物的評價是個不錯的選擇——在上文未提及的Keynote里，我注意到了這樣兩篇主題：Palo Alto Networks董事長兼CEO，Mark McLaughlin帶來的《安全行業即將到來的毀滅性問題》和微軟總裁Brad Smith的《如何在這個動蕩的時代抵禦網路威脅》。是的，我們必須正視眼前的威脅，但危機的出現並不意味著絕望，重要的是在察覺它的到來后，仍有堅持下去的勇氣。在這個動蕩的時代里，總有希望相伴。

最後附上大會官方演講PDF下載地址：<點擊原文查看>