周一的舊金山Moscone Center���,到處都在談?wù)撝踩oscone Center r周邊的街區(qū)多了很多安全公司的廣告����。展會人頭攢動���,站在街邊,你會聽到路人或熱烈�、或理性的從嘴里說出一些耳熟能詳?shù)拿~和概念。這一天誕生了RSA2018創(chuàng)新沙盒大賽冠軍�,也迸發(fā)了關(guān)于區(qū)塊鏈、企業(yè)級云安全和DevSecOps的思想火花���。
創(chuàng)新沙盒大賽
下午13:30��,每年的重頭戲創(chuàng)新沙盒開始了�。萬豪酒店走廊上的電視����,滾動播放著歷年來進(jìn)入finalist的公司,當(dāng)前的狀態(tài)和估值�����。
很多公司已被收購�����,在運營的公司估值也不低。今年大會的主題是Now Matters����,在今日數(shù)字經(jīng)濟(jì)如火如荼的情形下,安全和數(shù)據(jù)隱私保護(hù)對經(jīng)濟(jì)創(chuàng)新會產(chǎn)生什么樣的影響?如何在安全的前提下����,保持風(fēng)險和成本的合理平衡?今年創(chuàng)新沙盒的公司中,AI/機器學(xué)習(xí)理念占了半壁江山�,又意味著什么?對于這些問題�,相信每個人都會有自己的答案。在安全為業(yè)務(wù)創(chuàng)新賦能已成為安全行業(yè)共識的當(dāng)下��,我們應(yīng)該清醒的看到�,在這些挑戰(zhàn)面前,安全行業(yè)提供的技術(shù)和方法還遠(yuǎn)遠(yuǎn)不能滿足要求�����。
BigID成為最大贏家
祝賀BigID成為“RSAC2018最具創(chuàng)新性的創(chuàng)業(yè)公司”�。來自世界各地的風(fēng)險投資家,企業(yè)家和安全公司領(lǐng)導(dǎo)小組從10名決賽選手中選出了BigID作為獲勝者���。在過去五年中���,本次比賽的前十名決賽選手已經(jīng)獲得超過12.5億美元的投資��。
比特幣����,區(qū)塊鏈和智能合約的基礎(chǔ)
區(qū)塊鏈的研討會座無虛席����,內(nèi)容主要涉及區(qū)塊鏈原理、區(qū)塊鏈安全分析���,以及案例分享�。從內(nèi)容的深度來看�����,目的還是以科普為主����,原因是區(qū)塊鏈?zhǔn)墙衲甑谝淮为毩⒊霈F(xiàn)在RSA大會上,又是一個跨學(xué)科的綜合性技術(shù)�����,公司CISO還不太清楚其產(chǎn)生的價值。但區(qū)塊鏈能保證去中心化的信任����,以及可回朔性等的技術(shù)原理,確實帶來了很多想象空間��。
在PoC的案例中�,嘉賓David Chan介紹了一個去中心化的身份認(rèn)證體系,能解決用戶在看病時��,政府�����、醫(yī)院����、藥房等存儲的用戶身份不一致的問題�,并在一定程度上提升用戶體現(xiàn)的問題。
當(dāng)然��,需要清醒地看到區(qū)塊鏈目前處于泡沫期�����,期待其解決所有問題是不現(xiàn)實的,區(qū)塊鏈技術(shù)進(jìn)入成熟應(yīng)用前必須解決大量的技術(shù)問題���,并提供合理的業(yè)務(wù)相關(guān)特性���。例如在公司破產(chǎn)法有需要一定時間內(nèi)撤銷交易的規(guī)定,那么電子交易的區(qū)塊鏈應(yīng)用也應(yīng)提供相關(guān)的機制�����,這就需要修改區(qū)塊鏈的交易機制�,或提供額外的中間件。
總之��,從研討會的話題和參會者的積極態(tài)度來看�����,區(qū)塊鏈在國外同樣引發(fā)關(guān)注�����。
CSA峰會:Cloud2018:企業(yè)級安全
來自CSA美國行政署的聯(lián)邦風(fēng)險和認(rèn)證管理項目FedRAMP總監(jiān)Matt Goodrich交流了《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例學(xué)習(xí)和聯(lián)邦政府的云未來)》���。FedRAMP是美國版本云等保規(guī)范����,F(xiàn)edRAMP(The Federal Risk and Authorization Management Program )聯(lián)邦風(fēng)險和認(rèn)證管理項目是一個跨政府部門的項目,他提供了一套標(biāo)準(zhǔn)方法來進(jìn)行安全評估�,認(rèn)證并持續(xù)監(jiān)控云項目的產(chǎn)品和服務(wù)。
FedRAMP是與GSA���,NIST�,DHS���,DOD�,NSA����,OMB,聯(lián)邦CIO委員會及其工作組以及私營行業(yè)的網(wǎng)絡(luò)安全和云專家密切合作的結(jié)果����。FedRAMP評估過程由機構(gòu)或云服務(wù)提供商(CSP)發(fā)起�����,使用符合FISMA并基于NIST 800-53 rev3的FedRAMP要求開始安全認(rèn)證�,并啟動與FedRAMP PMO的合作����。云服務(wù)商CSP必須對其IT環(huán)境實施FedRAMP各個安全要求�,并聘請F(tuán)edRAMP批準(zhǔn)的第三方評估機構(gòu)(3PAO)進(jìn)行獨立評估,以審計云系統(tǒng)安全����,并采用FedRAMP提供安全評估程序包進(jìn)行自審審查。
FedRAMP計劃目標(biāo)
通過可重新使用評估和授權(quán)過程加速安全云解決方案的采用;
增加對云解決方案安全性的信心;
使用一套經(jīng)過FedRAMP認(rèn)可的的安全基線標(biāo)準(zhǔn)集合來進(jìn)行內(nèi)部或外部的云產(chǎn)品認(rèn)證的一致的認(rèn)證方法�,確保與現(xiàn)在最佳安全實踐的 一致的安全方法;
通過安全評估的增加信心;
增加安全持續(xù)監(jiān)控的自動化和接近實時的數(shù)據(jù)。
從目前來看��,政府上云的趨勢很明顯�����,相對的���,認(rèn)證保護(hù)工作也都是緊鑼密鼓的加強�,F(xiàn)edRAMP和CSA云安全聯(lián)盟合作�,大量采用業(yè)界的力量,在認(rèn)證等方法引導(dǎo)行業(yè)標(biāo)準(zhǔn)��,并為政府上云保駕護(hù)航�����。國內(nèi)的等保專家,可以借鑒一下美國的的做法�����。
安全多元化
多元化是使好的組織變得更好的核心���,也是成功的要素��。在今年的安全多元化研討會上����,擁有不同背景�����、觀點和經(jīng)驗的發(fā)言人聽取了會議參與者的意見����。主題“Think Differently”�����,側(cè)重于受世界變化影響的持續(xù)思維模式,這個世界正在迅速發(fā)展并引發(fā)倫理���、商業(yè)����、社會和情感考慮的變化�,需要不斷審查我們的定義。
DevOps Connect: DevSecOps
DevSecOps知易行難�����,F(xiàn)annie Mae在實踐過程中總結(jié)了一些實施原則��,包括要與原有開發(fā)流程融合����、加強開發(fā)團(tuán)隊安全培訓(xùn)、在編碼階段減少問題和盡力實現(xiàn)自動化等�����,值得后來者參考��。
總結(jié):
Now Matters,在數(shù)字經(jīng)濟(jì)的大潮下����,安全行業(yè)應(yīng)該有緊迫感,或迎上或被潮流拋棄�。公眾和社會期待著誕生更好的技術(shù)和方案。繼續(xù)加油!
京公網(wǎng)安備 11010502041587號