作為國際上最頂級的網(wǎng)絡(luò)安全會議，RSA會議通過主題演講、沙盒、數(shù)字博覽會、研討會等多種方式向全球網(wǎng)絡(luò)安全相關(guān)人員傳遞最新發(fā)展趨勢、熱門技術(shù)以及行業(yè)人士專業(yè)見解等內(nèi)容，每天的會議內(nèi)容都安排的異常豐富。在第二天的RSA會議上，針對基礎(chǔ)設(shè)施安全、軟件開發(fā)安全、NIST標準、DevSecOps等多個主題方向，展開了精彩紛呈的演講。

01 演講主題：《未來極限計算的網(wǎng)絡(luò)安全》

演講者：Dr. Anne Fitzpatrick（網(wǎng)絡(luò)國家安全局副密碼學國家官員）

Dr. Anne Fitzpatrick在這次演講中介紹了HPC高性能計算的發(fā)展現(xiàn)狀和未來的網(wǎng)絡(luò)安全問題，同時對HPC的未來發(fā)展進行展望。

HPC，即為High Performance Computing，具有高性能優(yōu)化、包含特定硬件及軟件、規(guī)模和計算速度要出類拔萃等特點?，F(xiàn)在HPC領(lǐng)域是一個稀有但仍很重要的領(lǐng)域，考慮到政府投資不足等多方面原因，HPC在過去25年中很少有創(chuàng)新。

在談到網(wǎng)絡(luò)安全問題時，以Exascale項目為例，Dr. Anne Fitzpatrick介紹，雖然項目進展順利，但HPC的可靠性隨著規(guī)模的增加而降低，同時技術(shù)、社會、政治力量等因素也會對HPC的安全問題產(chǎn)生影響，從國家安全角度考慮，確保供應鏈安全十分關(guān)鍵。

在談到HPC的發(fā)展趨勢時，Dr. Anne Fitzpatrick認為需要用全局和生態(tài)系統(tǒng)思維去看待HPC的未來，HPC將從按照預制指令執(zhí)行的機器轉(zhuǎn)移到基于海量數(shù)據(jù)并且可以“學習”的認知系統(tǒng)，這其中，通用處理器將越來越少，更多的是轉(zhuǎn)向?qū)I(yè)化和“design your own”的模式，也許再過40年，我們將不再像現(xiàn)在這樣認識HPC。

立足當下，Dr. Anne Fitzpatrick認為HPC的幾個發(fā)展方向包括“泛在計算”和改進跨學科的網(wǎng)絡(luò)安全研究與解決方案以及重新考慮HPC勞動力的發(fā)展等。

02 演講主題：《 DevSecOps聯(lián)盟的發(fā)展現(xiàn)狀》

演講者：Shannon Lietz（Intuit公司DevSecOps總監(jiān)）

什么是DevSecOps呢？DevSecOps是DevOps的擴展，它被認為是一種相互交織的方式開發(fā)、運營、安全。DevOps起源于敏捷文化，特別強調(diào)快速開發(fā)和部署，但在實現(xiàn)快速價值交付的同時，安全性軟件開發(fā)過程中也帶來了風險。因此，一些有安全問題的公司開始考慮安全的DevOps應用，這就是DevSecOps?！鞍l(fā)展、運營、安全是根本，安全和DevOps必須演變成一個新的愿景”，Shannon Lietz引用灰色文獻綜述(GLR)所選的文章。

Shannon Lietz在演講中講到：DevSecOps是伴隨著軟件質(zhì)量和安全的發(fā)展而出現(xiàn)的，最初是為了支撐編制最“堅固”的軟件手冊，解決DevOps應用中的安全問題，所以DevSecOps的第一個成功經(jīng)驗是必須與軟件看齊，把軟件質(zhì)量由原來的創(chuàng)造價值和可用推向創(chuàng)造信任和便捷發(fā)展。DevSecOps另一個成功經(jīng)驗是，安全專業(yè)人士越來越意識到需要在流程的早期左移，加強安全與開發(fā)人員的互動和敏捷發(fā)布，這樣能夠大大減少軟件后期返工帶來成本。隨著 DevSecOps 的成立，更多學術(shù)組織和企業(yè)對 DevSecOps產(chǎn)生了學術(shù)興趣和勞動力投入， Gartner 在2020年發(fā)布的應用安全有關(guān)報告中加入了DevSecOps 產(chǎn)品類別，進一步轉(zhuǎn)化了DevSecOps聯(lián)盟的市場效益，加速完善了產(chǎn)品供應鏈。

當然，DevSecOps也有失敗的經(jīng)驗，需要掌握軟件開發(fā)運營全生命周期的技能，以及過程中的不可控性、假陽性、審計要求等，這些都會對DevSecOps的應用實踐造成打擊。幸運的是，經(jīng)過史詩般的斗爭，DevSecOps聯(lián)盟克服了這些困難，形成了DevSecOps發(fā)展的能力、文化和技術(shù)，同時，安全運用目標更加明確，流程、基礎(chǔ)結(jié)構(gòu)和協(xié)作也更加完善等。因此，我們更應該關(guān)注DevSecOps接下來會發(fā)生什么，就像Gartner2020年預測的一樣，DevSecOps被定義為在應用程序開發(fā)過程中應用安全的過程已成為共識，DevSecOps市場在2021-2028年期間將實現(xiàn)高速增長，我們主要任務(wù)就是利用新技術(shù)實現(xiàn)應用程序所需的安全協(xié)議和過程的自動化。

03 演講主題：《CISA如何為規(guī)劃基礎(chǔ)設(shè)施防護線路》

演講者：Joshua Corman（CISA醫(yī)療部門首席策略師）、Sounil Yu (JupiterOne CISO和研究部主管)

在《CISA如何為規(guī)劃基礎(chǔ)設(shè)施防護線路》演講中，演講者表示了解CISA在規(guī)劃基礎(chǔ)設(shè)施防護線路時所使用的方法，以及如何使用該方法來制定技術(shù)戰(zhàn)略是非常重要的。因為目前我們許多基礎(chǔ)設(shè)施的安全防御都是不夠的。

CISA的目標是捍衛(wèi)今天，保障明天。如上圖中兩個互相倒置的金字塔，捍衛(wèi)今天由上至下包括對策、情境缺失、操作混亂、無法防御的基礎(chǔ)設(shè)施；而保障明天由下至上則包括可靠、操作規(guī)范、情景明確、對策一致的基礎(chǔ)設(shè)施。

網(wǎng)絡(luò)防御矩陣是CISA的基礎(chǔ)，它能幫助機構(gòu)快速了解當前的安全態(tài)勢以及如何改進?；A(chǔ)設(shè)施防御的質(zhì)量則體現(xiàn)于DIE三原則，即分布性、不可變性和短暫性。將DIE應用于可防護基礎(chǔ)設(shè)施中更容易發(fā)現(xiàn)差距和機會。

04 演講主題：《三合一：三個NIST框架的分解和重組》

演講者：Dave Weitzel（MITRE政策和標準負責人）、Julie Snyder（MITRE首席網(wǎng)絡(luò)安全與隱私工程師/NCF隱私領(lǐng)域負責人)、Christina Sames（MITRE首席網(wǎng)絡(luò)安全工程師)

NIST的風險管理、網(wǎng)絡(luò)安全和隱私保護框架都是用于改進企業(yè)的風險管理，雖然框架各自不同，但它們以某種方式優(yōu)勢互補，使它們成為任何組織中有價值的風險管理工具。

網(wǎng)絡(luò)安全和隱私兩個框架都包含核心層(Core)、概要層（Profiles）和實現(xiàn)層（Implementation Tiers）幾個組成部分。核心層里包含組織用于開展風險管理的一系列活動和成果物；概要層是核心層里核心的子集，用于解決達成組織目標時遇到的風險；實現(xiàn)層幫助組織確定是否有足夠的風險管理實踐和資源以達到其目標。風險管理框架由準備、分類、選擇、實施、評估、授權(quán)、監(jiān)控等一系列步驟組成。演講者介紹了網(wǎng)絡(luò)安全和隱私框架如何促進風險管理活動的，比如在風險管理過程和活動中，核心層和實現(xiàn)層上可以提供更緊密的聯(lián)系和溝通，概要層上可以在組織任務(wù)/商業(yè)目標和網(wǎng)絡(luò)安全、隱私活動之間建立聯(lián)系，同時可以避免一些需求上的沖突。演講者建議，要理解三個框架以及它們之間的關(guān)系，建立框架概要手冊，明確風險管理實施步驟，將概要設(shè)計和風險管理框架應用起來，實現(xiàn)三個框架的融合。

05 演講主題：《工具時刻:構(gòu)建您的網(wǎng)絡(luò)安全架構(gòu)規(guī)劃工具箱》

演講者：Diana Kelley（Founder & Partner SecurityCurve）

Diana Kelley和Ed Moyle為我們介紹了在構(gòu)建網(wǎng)絡(luò)安全架構(gòu)規(guī)劃時所用到的分析工具、信息工具和設(shè)計工具，針對如何構(gòu)建架構(gòu)工具，以及在何時何處使用這些工具來成功且安全地實施架構(gòu)進行了詳細解釋。

一個成功的安全架構(gòu)應該是統(tǒng)一的、規(guī)范化的、并且是可重復的，在架構(gòu)設(shè)計時應當遵循適應當下環(huán)境、避免過度投資以及考慮全面幾個核心原則，一個架構(gòu)設(shè)計通常需要了解當前狀態(tài)、通過測量和驗證、標記未來狀態(tài)三個過程，而工具支持著每個過程。

通過分析工具，可以實現(xiàn)當前狀態(tài)，風險和威脅的梳理，并通過有效性、成熟度和效率三軸進行建模分析，來幫助您了解如何做一個安全任務(wù)。其中，成熟度關(guān)注的是安全流程是否可靠且具有彈性，可以參考 CMMI的成熟度或能力、流程實施和 CMMC的技術(shù)、成熟度評估等；效率關(guān)注的是安全資源被合理優(yōu)化地使用，通過經(jīng)濟建模工具了解了各個控制措施的成本。

通過信息工具進行收集、跟蹤和分析企業(yè)所在環(huán)境信息，然后通過可視化的指標進行展示。

通過設(shè)計工具進行建模，可幫助編纂和合并架構(gòu)規(guī)劃，利用ArchiMate或UML等標記語言進行更好地設(shè)計。

最終，將分析工具、信息工具和設(shè)計工具進行有效的結(jié)合，進而充分展現(xiàn)可視化、頭腦映射和流程協(xié)同的作用，以此來設(shè)計最適合企業(yè)的網(wǎng)絡(luò)安全架構(gòu)。

06 演講主題：《科學方法：安全混沌實驗&攻擊數(shù)學》

演講者：Kelly Shortridg（副總裁, Capsule8）

安全混沌工程提出了一種新的方法，利用科學的方法和攻擊者數(shù)學來形成有效的防御策略。Kelly Shortridg通過用決策樹來假設(shè)攻擊者戰(zhàn)略，然后探索使用這些動態(tài)威脅模型來制作實際實驗，以獲得對系統(tǒng)復原力的信心，并做好應對事件的準備。

一個科學的方法包括以下步驟：提出一個真實問題、提出假設(shè)、進行實驗、將觀察結(jié)果與預測相比較，并輸出報告結(jié)果，基于結(jié)果重復、不斷修正你對現(xiàn)實的認識等。那么什么是決策樹和安全混沌工程呢？安全混沌工程（SCE）一般使用infosec的科學實驗方法，了解系統(tǒng)是如何運行的，通過有計劃的經(jīng)驗實驗、有意引入失敗等，創(chuàng)造學習文化，發(fā)現(xiàn)系統(tǒng)的真實性，提高系統(tǒng)的安全性。但是實驗是在假設(shè)之后進行的，那么如何提出假設(shè)呢？我們必須對現(xiàn)實作出假設(shè)，為我們的實驗提供信息，在沖突的情況下，還必須對對手作出假設(shè)，而決策樹是最好的方法，它通過“信念激勵”幫助人類改進假設(shè)，了解特定攻擊者。這就是決策樹與安全混沌工程。

如何使用決策樹與安全混沌工程？Kelly Shortridg講解了一個詳細的案例，利用決策樹與安全混沌工程，用完整的決策樹映射出攻擊者可能采取的行動范圍，分析攻擊路徑，在容器中構(gòu)建攻擊樹隱礦工，搶占攻擊路徑的先機，加大攻擊投資和復雜度，從而讓攻擊者知難而退。決策樹攻擊路徑映射分析邏輯圖如下：

總的來講，決策樹和安全混沌工程提供一種研究攻擊價值和目標價值的科學方法論，通過明確組織目標，構(gòu)建攻擊目標優(yōu)先級矩陣，構(gòu)造Y-響應=X-假設(shè)的攻擊函數(shù)，建立SCE實驗，形成新的肌肉記憶來應對突發(fā)事件，使攻擊事件變得無聊，同時讓我們的目標資產(chǎn)更安全。

07 演講主題：《開發(fā)人員不喜歡安全的十大原因與解決方案 》

演講者：Christopher J. Romeo（安全之旅CEO）

DevSecOps是構(gòu)建彈性網(wǎng)絡(luò)提供安全能力的重要技術(shù)手段之一，Christopher J. Romeo認為Dev和Sec的連接是斷開的。究其原因在DevSecOps世界中，開發(fā)人員成為了安全人員，但開發(fā)人員不了解安全，卻經(jīng)常嘗試強制執(zhí)行流程和工具集，導致開發(fā)人員不喜歡安全相關(guān)工作，所以Dev和Sec的連接是斷開的。Christopher J. Romeo總結(jié)了開發(fā)人員不喜歡安全的十個原因與解決方案，提出通過協(xié)作文化解決開發(fā)人員不喜歡安全的問題，十個原因如下圖所示：

例如：沒人教我如何“安全”的問題，Christopher J. Romeo的解決方案是通過撰寫“如何做”的安全指導、授權(quán)團隊、推廣教育三步建立安全實踐手冊和培訓計劃。培養(yǎng)協(xié)作文化、提升同理心、與開發(fā)人員同在、隨時聽取開發(fā)人員的意見、詢問他們需要什么幫助的反饋，并制定教學和指導的解決方案，由此解決開發(fā)人員的困難，其他9個原因Christopher J. Romeo均提供了類似的解決方案。

最后Christopher J. Romeo提出需要站在開發(fā)人員的立場、與開發(fā)人員共同工作一段時間，與之共鳴，建立程序化的方法，實施解決方案解決開發(fā)人員與安全的緊張關(guān)系，使Dev和Sec建立正確的連接。