周一的舊金山Moscone Center,到處都在談?wù)撝踩?。Moscone Center r周邊的街區(qū)多了很多安全公司的廣告。展會(huì)人頭攢動(dòng),站在街邊,你會(huì)聽(tīng)到路人或熱烈、或理性的從嘴里說(shuō)出一些耳熟能詳?shù)拿~和概念。這一天誕生了RSA2018創(chuàng)新沙盒大賽冠軍,也迸發(fā)了關(guān)于區(qū)塊鏈、企業(yè)級(jí)云安全和DevSecOps的思想火花。

  創(chuàng)新沙盒大賽

下午13:30,每年的重頭戲創(chuàng)新沙盒開(kāi)始了。萬(wàn)豪酒店走廊上的電視,滾動(dòng)播放著歷年來(lái)進(jìn)入finalist的公司,當(dāng)前的狀態(tài)和估值。

  很多公司已被收購(gòu),在運(yùn)營(yíng)的公司估值也不低。今年大會(huì)的主題是Now Matters,在今日數(shù)字經(jīng)濟(jì)如火如荼的情形下,安全和數(shù)據(jù)隱私保護(hù)對(duì)經(jīng)濟(jì)創(chuàng)新會(huì)產(chǎn)生什么樣的影響?如何在安全的前提下,保持風(fēng)險(xiǎn)和成本的合理平衡?今年創(chuàng)新沙盒的公司中,AI/機(jī)器學(xué)習(xí)理念占了半壁江山,又意味著什么?對(duì)于這些問(wèn)題,相信每個(gè)人都會(huì)有自己的答案。在安全為業(yè)務(wù)創(chuàng)新賦能已成為安全行業(yè)共識(shí)的當(dāng)下,我們應(yīng)該清醒的看到,在這些挑戰(zhàn)面前,安全行業(yè)提供的技術(shù)和方法還遠(yuǎn)遠(yuǎn)不能滿足要求。

BigID成為最大贏家

  祝賀BigID成為“RSAC2018最具創(chuàng)新性的創(chuàng)業(yè)公司”。來(lái)自世界各地的風(fēng)險(xiǎn)投資家,企業(yè)家和安全公司領(lǐng)導(dǎo)小組從10名決賽選手中選出了BigID作為獲勝者。在過(guò)去五年中,本次比賽的前十名決賽選手已經(jīng)獲得超過(guò)12.5億美元的投資。

比特幣,區(qū)塊鏈和智能合約的基礎(chǔ)

區(qū)塊鏈的研討會(huì)座無(wú)虛席,內(nèi)容主要涉及區(qū)塊鏈原理、區(qū)塊鏈安全分析,以及案例分享。從內(nèi)容的深度來(lái)看,目的還是以科普為主,原因是區(qū)塊鏈?zhǔn)墙衲甑谝淮为?dú)立出現(xiàn)在RSA大會(huì)上,又是一個(gè)跨學(xué)科的綜合性技術(shù),公司CISO還不太清楚其產(chǎn)生的價(jià)值。但區(qū)塊鏈能保證去中心化的信任,以及可回朔性等的技術(shù)原理,確實(shí)帶來(lái)了很多想象空間。

在PoC的案例中,嘉賓David Chan介紹了一個(gè)去中心化的身份認(rèn)證體系,能解決用戶在看病時(shí),政府、醫(yī)院、藥房等存儲(chǔ)的用戶身份不一致的問(wèn)題,并在一定程度上提升用戶體現(xiàn)的問(wèn)題。

當(dāng)然,需要清醒地看到區(qū)塊鏈目前處于泡沫期,期待其解決所有問(wèn)題是不現(xiàn)實(shí)的,區(qū)塊鏈技術(shù)進(jìn)入成熟應(yīng)用前必須解決大量的技術(shù)問(wèn)題,并提供合理的業(yè)務(wù)相關(guān)特性。例如在公司破產(chǎn)法有需要一定時(shí)間內(nèi)撤銷交易的規(guī)定,那么電子交易的區(qū)塊鏈應(yīng)用也應(yīng)提供相關(guān)的機(jī)制,這就需要修改區(qū)塊鏈的交易機(jī)制,或提供額外的中間件。

總之,從研討會(huì)的話題和參會(huì)者的積極態(tài)度來(lái)看,區(qū)塊鏈在國(guó)外同樣引發(fā)關(guān)注。

CSA峰會(huì):Cloud2018:企業(yè)級(jí)安全

來(lái)自CSA美國(guó)行政署的聯(lián)邦風(fēng)險(xiǎn)和認(rèn)證管理項(xiàng)目FedRAMP總監(jiān)Matt Goodrich交流了《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例學(xué)習(xí)和聯(lián)邦政府的云未來(lái))》。FedRAMP是美國(guó)版本云等保規(guī)范,F(xiàn)edRAMP(The Federal Risk and Authorization Management Program )聯(lián)邦風(fēng)險(xiǎn)和認(rèn)證管理項(xiàng)目是一個(gè)跨政府部門的項(xiàng)目,他提供了一套標(biāo)準(zhǔn)方法來(lái)進(jìn)行安全評(píng)估,認(rèn)證并持續(xù)監(jiān)控云項(xiàng)目的產(chǎn)品和服務(wù)。

FedRAMP是與GSA,NIST,DHS,DOD,NSA,OMB,聯(lián)邦CIO委員會(huì)及其工作組以及私營(yíng)行業(yè)的網(wǎng)絡(luò)安全和云專家密切合作的結(jié)果。FedRAMP評(píng)估過(guò)程由機(jī)構(gòu)或云服務(wù)提供商(CSP)發(fā)起,使用符合FISMA并基于NIST 800-53 rev3的FedRAMP要求開(kāi)始安全認(rèn)證,并啟動(dòng)與FedRAMP PMO的合作。云服務(wù)商CSP必須對(duì)其IT環(huán)境實(shí)施FedRAMP各個(gè)安全要求,并聘請(qǐng)F(tuán)edRAMP批準(zhǔn)的第三方評(píng)估機(jī)構(gòu)(3PAO)進(jìn)行獨(dú)立評(píng)估,以審計(jì)云系統(tǒng)安全,并采用FedRAMP提供安全評(píng)估程序包進(jìn)行自審審查。

  FedRAMP計(jì)劃目標(biāo)

通過(guò)可重新使用評(píng)估和授權(quán)過(guò)程加速安全云解決方案的采用;

增加對(duì)云解決方案安全性的信心;

使用一套經(jīng)過(guò)FedRAMP認(rèn)可的的安全基線標(biāo)準(zhǔn)集合來(lái)進(jìn)行內(nèi)部或外部的云產(chǎn)品認(rèn)證的一致的認(rèn)證方法,確保與現(xiàn)在最佳安全實(shí)踐的 一致的安全方法;

通過(guò)安全評(píng)估的增加信心;

增加安全持續(xù)監(jiān)控的自動(dòng)化和接近實(shí)時(shí)的數(shù)據(jù)。

從目前來(lái)看,政府上云的趨勢(shì)很明顯,相對(duì)的,認(rèn)證保護(hù)工作也都是緊鑼密鼓的加強(qiáng),F(xiàn)edRAMP和CSA云安全聯(lián)盟合作,大量采用業(yè)界的力量,在認(rèn)證等方法引導(dǎo)行業(yè)標(biāo)準(zhǔn),并為政府上云保駕護(hù)航。國(guó)內(nèi)的等保專家,可以借鑒一下美國(guó)的的做法。

安全多元化

多元化是使好的組織變得更好的核心,也是成功的要素。在今年的安全多元化研討會(huì)上,擁有不同背景、觀點(diǎn)和經(jīng)驗(yàn)的發(fā)言人聽(tīng)取了會(huì)議參與者的意見(jiàn)。主題“Think Differently”,側(cè)重于受世界變化影響的持續(xù)思維模式,這個(gè)世界正在迅速發(fā)展并引發(fā)倫理、商業(yè)、社會(huì)和情感考慮的變化,需要不斷審查我們的定義。

DevOps Connect: DevSecOps

DevSecOps知易行難,F(xiàn)annie Mae在實(shí)踐過(guò)程中總結(jié)了一些實(shí)施原則,包括要與原有開(kāi)發(fā)流程融合、加強(qiáng)開(kāi)發(fā)團(tuán)隊(duì)安全培訓(xùn)、在編碼階段減少問(wèn)題和盡力實(shí)現(xiàn)自動(dòng)化等,值得后來(lái)者參考。

  總結(jié)

Now Matters,在數(shù)字經(jīng)濟(jì)的大潮下,安全行業(yè)應(yīng)該有緊迫感,或迎上或被潮流拋棄。公眾和社會(huì)期待著誕生更好的技術(shù)和方案。繼續(xù)加油!

分享到

zhangnn

相關(guān)推薦