阿里云安全肖力：从RSA2019看安全技术发展的十个机遇

国际知名信息安全峰会RSA2019刚刚结束，此次峰会共吸引全球700多家机构参展，其中近42%为云安全和网络安全相关企业。作为全球首家也是唯一一家审计报告覆盖所有C5标准基础要求和附加要求的云服务提供商，阿里云也带去了最核心的云安全产品、行业解决方案、云安全生态。

会后，阿里云安全事业部总经理肖力向媒体分享参会体验，指出Cloud SIEM成为云服务提供商和安全厂商的必争之地、Axonius夺创新沙盒冠军显示安全基础建设重要性等安全技术发展的十大机遇。

（阿里云安全事业部总经理 肖力）

分享全文如下：

又一年RSA大会归来。每一年参会，总会有一些不同的感悟，或是发现全球安全行业的新趋势，或是找到志同道合的新伙伴，或是看到很多人也相信我们相信的安全技术新方向。今天在回国的航班上提笔写下我的感悟和判断，希望对安全领域里的产品和技术同学们有所启发。

回顾每一年RSA的主题都有寓意。2017年的主题“Power of Opportunity”，2018年的主题是“Now Matters”。2017年我印象深刻的是大家都在讨论数据智能及AI对安全的影响，所以主题讲的是机遇（Opportunity）。2018年数据安全及GDPR对产业的影响很深，大会主题便强调安全迫在眉睫，强调此时此刻。今年的主题是“Better“，也寓含全球整个安全市场的爆发和安全产品技术的成熟，大家一起to get better。

第一：Cloud SIEM成为云服务提供商和安全厂商的必争之地

Azure和Google在RSA期间都发布了Cloud SIEM的产品，可以让用户基于云端安全能力从云上覆盖云下的业务。这意味着企业在混合云状态下，可以从一个更全局的视角来进行安全管理运营。此外，Google近日也发布了一款网络安全产品“Backstory”，堪称威胁态势版“Google”，因其“无限扩展”能力，以及使用了构造Google基础设施核心的威胁分析引擎而引人注目。同时我也发现今年各大安全厂商也将SIEM来作为自己的主打产品。基于企业各项数据通过用户行为分析（UEBA），基于设备的威胁检测，基于IP和域名告警来实现全局安全智能分析。

不论是云服务提供商还是安全厂商现在都希望通过抢占SIEM(安全信息与事件管理平台)市场。我认为本质还是大家都知道在数据时代谁拥有数据就拥有更多可能。随着Cloud SIEM的成熟，也许未来企业用户会在安全管理平台内集成多家厂商的威胁检测及响应引擎来尽可能提升效果。

第二：创新沙盒的冠军让我们看到安全基础建设的重要性

今年RSA创新沙盒的冠军Axonius。其核心优势在于解决了企业资产管理不全的痛点。Axonius可以帮助企业降低攻击面并能与其他安全产品进行联动。这个概念并不超前。我们看到在过去的一年里，无论是有广泛市场需求的数据安全领域还是机器学习及AI在安全领域的应用，安全技术上没有出现突破性/颠覆性的创新。当谈到云上安全的最佳实践，企业安全体系重要的不仅仅是梳理资产，减少攻击面。我认为更重要的是1. 建立统一的身份认证授权体系、2. 安全基线的运营、3. 全局漏洞管理、4. 默认安全流程策略、5. 敏感数据加密。这个组合拳才是整个企业安全的基石。在这些基础领域之上提升6. 威胁检测、7. 事件调查、8. 自动化响应、9.安全溯源能力才能让整个体系更稳固。

第三：零信任安全的背后是身份认证将成为企业新的边界

今年零信任理念也是热点之一。各厂商纷纷推出各种零信任安全产品。大部分零信任安全产品的背后将身份认证作为核心，因为身份认证将成为企业新的边界。

我认为随着企业使用大量的SAAS服务、移动互联网BYOD带来的影响，大量企业应用上云，原来企业安全体系以网络边界为核心的防御理念将随之变化。身份认证将成为企业新的安全边界。基于统一的身份认证，制定不同的安全策略，建立分层授权体系，全面实时的安全智能分析能力将构建企业未来每个企业安全的基石。

第四 : 数据安全领域蓄势待发

企业越来越重视数据安全，但因为数据安全领域横跨各个安全技术领域，导致各项数据安全方案成熟度不足。

过去的一年里无论是在加密计算领域，还是在SGX可信计算领域，数据安全技术还没有大的创新突破。即便是去年创新沙盒的冠军BigID仍然是以合规驱动为主。过去一年从企业数据泄漏事件来看，数据安全技术和方案还需要提升成熟度。之前数据安全领域主要以DLP（数据防泄漏）技术为主，这两年有越来越多的数据安全厂商开始把用户行为分析、数据防泄漏、数据加密、数据流分析多种技术相结合来提升数据泄漏的检测防御效果。

但我认为数据安全涉及各个领域，也不仅仅依赖于检测和响应，身份认证授权也是关键。而未来待加密计算和可信计算技术的成熟，数据安全领域也会有更大的突破创新。

第五: DevSecOps将得到越来越多企业的重视

安全工作不能总是在事中或事后，安全工作越前置企业所付出的成本越低。

阿里在2005年安全体系建设初期就开始构建SDL（安全开发流程），这也有效的降低安全漏洞数量及各项安全风险。

越来越多的企业已经意识到安全评估、自动化检测必须内嵌在整个产品开发生命周期中才能确保业务及代码的安全。而今年我们看到越来越多安全厂商通过黑白盒自动化检测、RASP（运行态应用防护技术）相结合来构建DevSecOps安全方案。我相信接下来的1-2年DevSecOps安全开发流程会被更多的企业接受，整体安全方案成熟性也会逐步提升。

第六：安全厂商产品融合趋势明显，自动化响应建立完整安全闭环

安全涉及所有技术领域导致安全产品非常碎片化，安全厂商细分领域众多。例如涉及网络安全就有DDoS防御，WAF、防火墙、IPS、RASP等多款安全产品，如果在客户场景部署就像“羊肉串”。这对用户运维管理、网络稳定性、安全运营都提出了很大的挑战。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!