五大关键词从技术到趋势 SEM首席安全科学家解读RSAC2021

伴随创新沙盒的揭晓，今年的RSA信息安全大会（RSAC）也接近落下帷幕。从1991年到2021年，RSAC正好迎来了它的三十周年纪念日，而其也成长为目前在全球网络安全领域权威的专业会议之一。

今年的RSAC，涉猎依旧广泛，覆盖AI安全、云安全、物联网安全、5G网络、边缘计算、供应链安全及数据安全与个人隐私等众多领域。不过，我们在关注RSAC本身所展示内容的同时，也应该更多去探究其背后的技术发展路线和行业发展趋势。聚焦前沿，从五大议题出发，今天，SEM首席安全科学家李康教授将就本届RSAC出现的热点关键词为大家带来深度解读。

关键词一：弹性

Resilience，弹性，是本届RSAC的主题。在网络安全领域，其主要被用于衡量一个组织在遭受数据泄露或网络攻击期间，能够预防、抵御、恢复、适应其业务正常运营的技术能力。

在今年RSAC的开幕演讲中，RSA CEO Rohit Ghai带来了名为A Resilient Journey（弹性之旅）的议题分享。他认为，保证弹性的核心要义在于，Rising up Stronger When We Inevitably Fall，跌倒之后能够迅速重新站起。

李康教授：

这次RSAC的主题公布得很早，而强调弹性也确实反映了当前网络安全事件频出的现状，以及风险之下安全行业如何变得更强。我们都知道，网络安全覆盖面是很广的，需要企业去解决的安全问题也有很多。我们讲安全、讲纵深防御，要关注的不仅是如何预防事故的发生，也需要关注事故发生后的溯源和整个IT系统的迅速恢复，从而保障企业能够以快的速度回归到正常的运转。另外安全管理运营人员，甚至整个行业，都要不断通过过往的经验，提炼出对风险的预测判断能力，更高效地利用有限资源来降低整体风险。

实际上，在当前的网络安全防护水平下，我们的安全体系很难完全杜绝安全事件的发生。但是通过积极的演练，提前准备响应预案，快速识别事件，可以做到企业不会被一次攻击事件一下子打垮，而能否做到快速的修复，确保业务的正常运行，这是安全弹性的关键。

SEM内部一直在这个方面做努力。同时在相对成熟的方面对我们的生态合作伙伴乃至整个安全社区提供支持。其中，不仅有包括规模化的抗 DDoS攻击这样的通用产品，也有像“智能威胁狩猎平台”这样能够实现一站式部署和统一纳管的智能化的企业一体化安全解决方案，把备份恢复、威胁溯源等能力整合在一起。

同时，另一个容易被大家忽略的问题弹性问题是合规。谈到攻击的损害，人们往往想到的是由于黑客和黑产的攻击会直接导致的企业业务受损。但是这些攻击引发的用户隐私受损往往还会引发企业在合规和数据保护等方面的处罚。从这个角度讲，合规检测也是提升企业安全Resilience的手段。SEM在隐私合规检测方面非常注重技术投入。SEM在做的史宾格安全及隐私合规平台已经在为多个企业提供服务，也希望通过这些技术手段提升整个安全生态的防御规范。

关键词二：创新沙盒

作为每年RSAC为备受关注的环节，成为创新沙盒不仅需要关注技术的突破，也需要展现其商业化前景。

今年的赢家是专注于聚焦于应用安全、DevSecOps及云安全领域的Apiiro，这是一家来自以色列、成立不到三年的网络安全初创企业。其推出的Code Risk Platform可从应用程序、基础架构及源代码等因素出发，为开发人员提供360度全方位的安全和合规风险视图。

得主

李康教授：

Apiiro是一家的网络安全初创企业，团队有着扎实的行业背景。此次Apiiro获得了RSAC的创新沙盒，成为Most Innovative Startup，大致可以归结为三个原因。

首先，它反映了市场诉求。去年发生的SolarWinds事件引发了人们对于代码供应链安全的担忧，这起针对IT管理平台的攻击事件波及范围极广，几乎囊括了整个美国的重要企业、政府部门和关键基础设施，造成了巨大的损失，这让很多企业客户极为关注这一领域的安全进展。其次，它契合了国际竞争环境的变化，各国都加强了对软硬件供应链的安全把控。更重要的，这是一个能让评委“兴奋”的产品，它让项目经理能够知晓代码在哪里，从哪里来，到哪里去。

其实，这并不是一个新问题。在开发流程中，我们已经有DevSecOps。但是它的主要功能是对自有代码的安全审查和安全流程，而缺乏对第三方代码库及自有开发代码的外部保管问题，这带来了一系列潜在的安全隐患。尽管大家现在大多都遵循DevSecOps的规范，但其更多是为开发人员所打造的，Apiiro的Code Risk Platform则正好弥补了为项目经理服务这里的空白。

RSAC十强名单

关键词三：数据安全被持续关注

在此次RSAC创新沙盒环节中，另一个受到关注的情况是数据安全领域“选手”的增加。包括Cape Privacy、Open Raven和satori在内达到了三家，成为创新沙盒十强企业中主要业务涉及多的领域，数据安全与隐私保护正在获得行业的持续高度关注。

李康教授：

数据安全与隐私保护是我们在AI时代所面临的重大议题，也是SEM在网络安全领域的研究重点。其核心要讨论的问题在于，数据如何储存，如何管理，与如何利用。

在本次创新沙盒的企业中，我们看到它正在与机密计算、代码开源相结合，这将大大简化企业的上手流程。同时在本届RSAC的Keynote中，我也看到了更多关于数据安全与隐私保护法律法规的讨论。那么对于我们来说，这里的创新机会更多在于如何实现数据所有者、数据使用者和数据存储方之间的协同，并在各方不互信的情况下，如何推进基于数据的安全应用。

而就SEM而言，我们在数据安全与隐私保护领域有着长期的投入，主要展开了面向三个方向的研究和内外部实践。包括基于硬件的方案，典型的代表是Teaclave，这是全球通用安全计算平台，在2020年初，我们将这一项目捐赠给了Apache基金会；同时SEM也有基于机密计算的产品点石，具有MesaTEE、SMPC和隔离域多种版本，支持多种商业化的数据安全场景。另外SEM也有基于算法的方案，比如SEM联邦计算平台，引入了安全多方计算、同态加密学习等技术；再者我们还有应用于机器学习领域的PaddleFL，这是一个基于PaddlePaddle的开源联邦学习框架。

当然，这里我说的一个纯个人观点（不代表SEM），就是涉及到多个参与方的数据安全通用解决方案目前仍然是基于TEE的方案有优势。我看到的纯基于MPC或者全同态加密算法的方案往往是针对特定的数据和应用方，而且对使用环境做了比较强的假设，比如对于第三方的依赖或者对于参与方的行为限制（假设）。我非常希望能看到这些工作能够在一个对抗性比较强的环境下的具体表现。从某种意义上讲，我觉得今天创新沙盒裁判的一些问题也是表达了这一方面的担忧。当然这纯属入我个人猜测，我希望有更多的通用解决方案落地，能让系统安全的人尝试使用，未来的发展我们拭目以待。

关键词四：举办形式

受到疫情防控的影响，本届RSAC采用了全虚拟的线上形式举办。这也是继BlackHat,