RSA 2021會議進(jìn)行到第三天，來自研究機(jī)構(gòu)、行業(yè)聯(lián)盟、專業(yè)公司等不同背景的演講嘉賓，圍繞云安全、區(qū)塊鏈、量子計(jì)算等多個主題方向，從不同層面分享了發(fā)展趨勢及獨(dú)到見解。

01 演講主題：《將MITER ATT＆CK?框架用于云威脅調(diào)查》

演講者：Jasdeep Basra& Tanu Kaushik 加州大學(xué)伯克利分校研究中心主任

MITER ATT＆CK云矩陣將針對云的已知攻擊行為匯總為一種結(jié)構(gòu)化列表，主要內(nèi)容包括10大戰(zhàn)術(shù)和41項(xiàng)技術(shù)。10大戰(zhàn)術(shù)為：初始訪問、持續(xù)性、特權(quán)提升、防御規(guī)避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、滲出、影響。每一個戰(zhàn)術(shù)對應(yīng)多項(xiàng)技術(shù)，從而形成攻擊行為知識庫，用于攻防能力覆蓋、情報(bào)分析、威脅狩獵及攻擊模擬等領(lǐng)域的評估。云矩陣如下圖所示：

企業(yè)可以將ATT＆CK框架應(yīng)用在安全工作的多個方面，包括確定當(dāng)前部署的安全產(chǎn)品或工具是否存在欠缺、安全策略實(shí)施、威脅建模、量化與采用云服務(wù)等新技術(shù)相關(guān)的風(fēng)險(xiǎn)等。但是在使用ATT&CK中，也存在一些問題，比如缺乏與安全產(chǎn)品的互操作性、映射到技術(shù)困難、誤報(bào)過多等。87%的企業(yè)認(rèn)為ATT＆CK將改善云安全性、79% 的企業(yè)覺得ATT&CK增加了云應(yīng)用的舒適度，69% 的企業(yè)認(rèn)為使用ATT＆CK可以更輕松地將SOC外包給提供商。演講者提出，企業(yè)應(yīng)使用ATT＆CK框架進(jìn)行威脅調(diào)查，調(diào)查所有數(shù)據(jù)源中威脅，從而實(shí)現(xiàn)自動化防御。

02 演講主題：《數(shù)字可視化：以包容和機(jī)會平等來彌補(bǔ)技能之間的差距》

演講者：Kris Rides（CEO&Founder, nextCISO)、John Yeoh(Global Vice President, Research CSA)、Jenai Marinkovic（CISO & CTO&Founder, nextCISO)

來自CSA和nextCISO的三位安全專家，結(jié)合自己的經(jīng)歷和見解一起暢談了在數(shù)字化發(fā)展浪潮下對于多樣化勞動力和多元化安全技能的構(gòu)想。其中談到通過七個步驟來構(gòu)建一個多樣化的、面向未來的、可靠的網(wǎng)絡(luò)安全人員隊(duì)伍。七個步驟具體包括：積極尋求各種形式的多樣性人員；在安全職業(yè)生涯初期就學(xué)習(xí)企業(yè)業(yè)務(wù)和關(guān)鍵流程等技能；形成具備創(chuàng)造力的設(shè)計(jì)思維；學(xué)習(xí)演講技巧、談判和對復(fù)雜問題的解決能力；學(xué)習(xí)主要的網(wǎng)絡(luò)安全框架（SOC，ISO，NIST）、風(fēng)險(xiǎn)管理和隱私保護(hù)等安全基礎(chǔ)；學(xué)習(xí)包括云計(jì)算、機(jī)器學(xué)習(xí)和人工智能等在內(nèi)的新興技術(shù)技能；積極地確保學(xué)生有機(jī)會從事針對不同客戶的工作；通過端到端的信息審計(jì)以及ISO 27001 ISMS的開發(fā)項(xiàng)目等，以尋求通過各種形式參與到客戶的工作中。

多樣化的勞動力對企業(yè)來說不僅僅是一種競爭優(yōu)勢，而且對人類創(chuàng)新發(fā)展至關(guān)重要。通過積極培育多樣化的網(wǎng)絡(luò)安全工作人員，提供平等的工作機(jī)會，并通過創(chuàng)新實(shí)現(xiàn)更多新發(fā)展，這是我們?yōu)檫M(jìn)入到下一個發(fā)展階段做好準(zhǔn)備的關(guān)鍵。

03 演講主題：《區(qū)塊鏈安全保障與運(yùn)用》

演講者：Adrian Bednarek（CISO，Overflow Labs）

確定私鑰唯一是保護(hù)區(qū)塊鏈上資產(chǎn)安全的關(guān)鍵。擁有數(shù)以億計(jì)的比特幣/以太坊賬戶，但在生成私鑰時是隨機(jī)并有可能出錯的。演講者介紹了密碼學(xué)及區(qū)塊鏈通用知識、分析了區(qū)塊鏈生成私鑰、從私鑰派生橢圓曲線公鑰、EC公鑰派生以太坊地址的三個步驟（如下圖所示），并以以太坊為例，從hackers視角描述運(yùn)用區(qū)塊鏈不良隨機(jī)數(shù)生成弱點(diǎn)，構(gòu)建發(fā)現(xiàn)弱私鑰的安全保障過程，重現(xiàn)了如何檢查生成的比特幣/以太坊密鑰、如何掃描 340 億個密鑰，從而發(fā)現(xiàn)732個私鑰的安全實(shí)踐。

04 演講主題：《自動化和云原生時代的知識冰川》

演講者：Emily Fox 云原生安全的聯(lián)合主席

隨著自動化技術(shù)的不斷發(fā)展，攻擊復(fù)雜度也在不斷降低?；仡櫄v史，自動化開始于1940年-1950年期間，但那時還只停留在編譯代碼和編程測試階段；進(jìn)一步發(fā)展是在1960年-1970年，Email、網(wǎng)絡(luò)游戲、微處理器開始盛行；安全概念則出現(xiàn)于80年代，C++、1986年計(jì)算機(jī)欺詐和濫用法案、字（詞）處理器使人們開始關(guān)注安全性；而由于1990年計(jì)算機(jī)的爆發(fā)，Linux&Java、Web瀏覽器、Wi-Fi、在線交易等紛紛涌現(xiàn)；在Y2K時代，重點(diǎn)更是轉(zhuǎn)向DevOps，強(qiáng)調(diào)快速開發(fā)和部署。

沒有知識，我們就無法獲得信息，而沒有信息，就更不可能實(shí)現(xiàn)安全。所以演講者提出信息是安全的基礎(chǔ)。正如上圖的知識冰川，我們自認(rèn)為已經(jīng)掌握了它的全部工作原理，實(shí)際上只是露出水面的那一小部分內(nèi)容，真正的工作原理卻深藏于水下。同理，整合和自動化可以使安全管理更容易，但沒有透明度的整合和自動化則會模糊和掩蓋實(shí)際的安全威脅。

演講者建議，我們應(yīng)以過往知識為基礎(chǔ)進(jìn)行系統(tǒng)性思考，徹底理解業(yè)務(wù)如何工作，而不僅僅停留在認(rèn)為它是如何工作的層面。同時還要培養(yǎng)團(tuán)隊(duì)間的多樣性，拓展跨行業(yè)的技能，彼此互相學(xué)習(xí)，從而找到速度、知識和安全性之間的平衡。通過擴(kuò)大反饋循環(huán)，使其具有可操作性和知識性，從而確保業(yè)務(wù)快速、安全地運(yùn)行。

05 演講主題：《量子計(jì)算：破解rsa算法的新奇思路》

演講者：Anastasia Marchenkova，Bleximo量子研究員，Pendo軟件工程師

一個好的量子計(jì)算機(jī)要有定義好的量子位、能夠初始化量子位的狀態(tài)、較長的退相干時間、通用的量子門集、量子位特有的測量能力；同時也可以從量子位的規(guī)模、門錯誤率、測量錯誤率、串?dāng)_（crosstalk）、量子位的拓?fù)浣Y(jié)構(gòu)等幾個維度評價(jià)量子計(jì)算機(jī)的好壞。IBM計(jì)劃在2023年發(fā)布1000位的機(jī)器，而PsiQuantum聲稱5年內(nèi)計(jì)劃將位數(shù)做到100萬。量子技術(shù)的發(fā)展意味著量子計(jì)算機(jī)可以用很短的時間破解之前需要上億年時間的RSA算法。

量子計(jì)算飛速發(fā)展，安全問題隨之而來。早在2016年年末，NIST就開始組織“后量子密碼標(biāo)準(zhǔn)”的制定；2020年7月，評選標(biāo)準(zhǔn)出臺，經(jīng)過公開評選，26個候選算法剩下15個，基于晶格、基于糾錯碼和基于多元的加密成為最有可能的候選算法。而最新標(biāo)準(zhǔn)將于2022年發(fā)布，最終選出的算法必須既能經(jīng)得起量子攻擊以及傳統(tǒng)的經(jīng)典攻擊，同時保持足夠快的速度，因?yàn)榧用芩惴ㄐ枰诰W(wǎng)絡(luò)、智能手機(jī)、傳感器和許多其他計(jì)算能力有限的設(shè)備上運(yùn)行。