當(dāng)?shù)貢r(shí)間2月24日－28日，網(wǎng)絡(luò)安全行業(yè)最受關(guān)注的年度盛會(huì)，RSA網(wǎng)絡(luò)信息安全大會(huì)在美國(guó)舊金山舉行。作為網(wǎng)絡(luò)安全行業(yè)的重磅峰會(huì)，每年的RSAC信息安全大會(huì)都會(huì)吸引眾多全球知名信息安全企業(yè)、行業(yè)決策者和資深專家學(xué)者參會(huì)，討論網(wǎng)絡(luò)安全的最新趨勢(shì)，展示創(chuàng)新科技。

為了對(duì)本屆RSA大會(huì)的亮點(diǎn)以有更深一步的了解，并對(duì)今年的網(wǎng)絡(luò)安全新趨勢(shì)有進(jìn)一步的洞察，本次訪談我們邀請(qǐng)到了四位國(guó)內(nèi)網(wǎng)絡(luò)安全專家，分別是奇安信品牌及營(yíng)銷中心的王培、山石網(wǎng)科聯(lián)合創(chuàng)始人兼首席技術(shù)官劉向明、綠盟科技首席技術(shù)官兼國(guó)際業(yè)務(wù)首席運(yùn)營(yíng)官趙糧以及青藤云安全COO程度，共同探討新形勢(shì)下的網(wǎng)絡(luò)安全！

以下為采訪實(shí)錄：

IT168記者：參加今年的RSA大會(huì)，最大的感受是什么？

奇安信品牌及營(yíng)銷中心 王培：

因?yàn)榻衲旯跔畈《疽咔榈挠绊懀瑓��?huì)的觀眾及參展的廠商比去年下降不少，另外一點(diǎn)，從技術(shù)方向上來(lái)看，今年我的感受是沒(méi)有看到就讓人特別眼前一亮的新技術(shù)，基本上還是在原來(lái)非常熱點(diǎn)的AI、人工智能、機(jī)器學(xué)習(xí)等方面有一定的深化和落地。

山石網(wǎng)科聯(lián)合創(chuàng)始人兼首席技術(shù)官 劉向明：

今年RSA的參會(huì)感受主要有以下幾點(diǎn)：

首先，網(wǎng)絡(luò)安全的熱度還是非常強(qiáng)，這次的參展廠商有非常多的全新廠商（之前沒(méi)有見(jiàn)過(guò)的廠商）來(lái)參展，這說(shuō)明了在過(guò)去幾年之內(nèi)，對(duì)這些廠商的一些投入、投資在今年可以看出他的成效。

其次，我們看到了非常多的國(guó)家和地區(qū)都有集中的展位，比如以色列、加拿大，包括日本、韓國(guó)之類的國(guó)家和地區(qū)，至少有大概七八個(gè)甚至可能十個(gè)左右的國(guó)家地區(qū)的集中展開，這證明了這些網(wǎng)絡(luò)安全企業(yè)在世界各地都得到了蓬勃的發(fā)展。

所以可以看出來(lái)，網(wǎng)絡(luò)安全現(xiàn)在不僅僅在行業(yè)本身非常熱，而且在世界各地都是一個(gè)非常熱的話題。

青藤云安全COO 程度：

今年大會(huì)的主題是以人為本，它確實(shí)全部是依繞這個(gè)主題展開的，包括大會(huì)的開場(chǎng)演講，包括設(shè)置的一些活動(dòng)，包括一些關(guān)鍵詞，都有所體現(xiàn)。另外還有一些活動(dòng)上的體現(xiàn)，比如今年有一些新的活動(dòng)，比如說(shuō)Engagement zone，RSA會(huì)議本來(lái)就是在美國(guó)的安全圈或者全球最大的一個(gè)安全盛會(huì)，能夠給大家提供面對(duì)面交流的機(jī)會(huì)，今年大大會(huì)專門從形式化的角度把這個(gè)確定下來(lái)。還有Braindate這種，就是頭腦風(fēng)暴，類似于一個(gè)小主題，大家可以約三四五個(gè)人，然后去聊一些事情，我覺(jué)得這是一個(gè)很好的現(xiàn)象，能夠讓安全從業(yè)者有一個(gè)很好的溝通的平臺(tái)，而且是跨公司，甚至是跨國(guó)籍、跨地域的方式去溝通，對(duì)于大家的這種social或者connection都會(huì)有一個(gè)很好的幫助。

IT168記者：今年RSA大會(huì)的主題是“Human Element”（以人為本），結(jié)合當(dāng)前網(wǎng)絡(luò)安全市場(chǎng)，談?wù)勀鷮?duì)這一主題的理解。

奇安信品牌及營(yíng)銷中心 王培：

在2017年的時(shí)候，我們就提出了人身安全尺度的一個(gè)大會(huì)主題，跟今年RSA大會(huì)的主題不謀而合。其實(shí)在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)安全的本質(zhì)其實(shí)是人與人的對(duì)抗，人是網(wǎng)絡(luò)安全里面最薄弱的一個(gè)環(huán)節(jié)，所以今年的主題是，不管你是安全從業(yè)者還是普通人，其他行業(yè)的人，都需要去加強(qiáng)安全意識(shí)，要提升對(duì)安全的認(rèn)知度，建立一個(gè)安全的文化，把安全風(fēng)險(xiǎn)降至最低。

山石網(wǎng)科聯(lián)合創(chuàng)始人兼首席技術(shù)官 劉向明：

在近三四年之內(nèi)，包括廠商、客戶，對(duì)于AI在網(wǎng)絡(luò)中的應(yīng)用都非常接受。在這個(gè)前提之下，

我想RSA的承辦方、主辦方也覺(jué)得，光有AI還是不夠的。實(shí)際上，目前 AI在網(wǎng)絡(luò)安全中還僅僅是一個(gè)輔助的作用，真正還要靠人在看了AI的系統(tǒng)輸出結(jié)果以后去做一個(gè)判斷，這到底是個(gè)真事件還是一個(gè)假事件。如果是真的事件，如何再去做分析，去挖掘，這也需要一個(gè)人去應(yīng)用一個(gè)系統(tǒng)才能達(dá)到的一件事情。

青藤云安全COO 程度：

從CSO的角度來(lái)看，本質(zhì)上來(lái)說(shuō)應(yīng)該有三個(gè)大的方面去來(lái)思考這件事：

第一：可能就安全產(chǎn)品，我們最關(guān)注的是安全產(chǎn)品和技術(shù)；

第二：是企業(yè)內(nèi)部員工的培養(yǎng)和培訓(xùn)；

第三：外包團(tuán)隊(duì)的駐場(chǎng)，比如現(xiàn)在我們經(jīng)常提的，比較熱的MDR、MSSP這種類似的服務(wù)。

我覺(jué)得跟人相關(guān)的解釋包括兩個(gè)方面，不光是只依賴于產(chǎn)品技術(shù)，其實(shí)對(duì)人的培養(yǎng)、培訓(xùn)，包括對(duì)內(nèi)部員工的安全意識(shí)的培訓(xùn)，從對(duì)人的這些關(guān)注度，可能是今年比較重要的一個(gè)主題。

綠盟科技首席技術(shù)官兼國(guó)際業(yè)務(wù)首席運(yùn)營(yíng)官 趙糧：

今年的主題是針對(duì)前面三年五年十年安全實(shí)踐的反思，或者說(shuō)不得不進(jìn)行的一次回歸。安全團(tuán)隊(duì)、IT團(tuán)隊(duì)、企業(yè)員工、企業(yè)的最終用戶，任何一個(gè)環(huán)節(jié)在使用過(guò)程當(dāng)中因?yàn)榘踩�意識(shí)問(wèn)題、安全技能問(wèn)題、安全工具問(wèn)題、安全運(yùn)營(yíng)和事件響應(yīng)問(wèn)題等出現(xiàn)紕漏，都會(huì)造成最終安全體系的失敗。所以本次展會(huì)Human Element的主題能夠提示整個(gè)產(chǎn)業(yè)界，提示甲方和乙方一起關(guān)注“人”這個(gè)更重要的因素，一起加強(qiáng)安全產(chǎn)品的設(shè)計(jì)、安全產(chǎn)品的使用、IT應(yīng)用的設(shè)計(jì)、IT應(yīng)用的開發(fā)，把人的因素更加完整地集成到各個(gè)生命周期當(dāng)中去，更有助于安全整體投資的回報(bào)和整體安全體系的運(yùn)營(yíng)效率。

IT168記者：結(jié)合本屆RSA大會(huì)，請(qǐng)您預(yù)測(cè)下，今年網(wǎng)絡(luò)安全市場(chǎng)的主要發(fā)展趨勢(shì)是怎樣的？您覺(jué)得今年RSA上有哪些新的安全技術(shù)值得我們學(xué)習(xí)？

奇安信品牌及營(yíng)銷中心 王培：

從國(guó)際的發(fā)展趨勢(shì)來(lái)看，因?yàn)樵诿绹?guó)的成熟市場(chǎng)，云的使用和SaaS的使用是非常成熟的。這也造就了很多公司，推出了這種SaaS應(yīng)用安全的解決方案，我覺(jué)得這在美國(guó)成熟市場(chǎng)是一個(gè)非常重要的發(fā)展趨勢(shì)。再反觀中國(guó)市場(chǎng)，基本上因?yàn)槲覀兊腟aaS業(yè)務(wù)沒(méi)有起來(lái)，所以我們也很少看到SaaS安全的提供商。鑒于本次疫情的影響，很多人都選擇了在家做遠(yuǎn)程辦公，我相信這是一個(gè)良好的開端。

山石網(wǎng)科聯(lián)合創(chuàng)始人兼首席技術(shù)官 劉向明

在這個(gè)技術(shù)的發(fā)展方向方面，我覺(jué)得還是著重于兩個(gè)端，一個(gè)端是用戶的端，另一個(gè)端是在用戶應(yīng)用安全和數(shù)據(jù)安全的端。在用戶安全端點(diǎn)方面，現(xiàn)在國(guó)外比較熱門的一些領(lǐng)域，包括了零信任，所謂的Zero trust，以及與各種各樣的身份認(rèn)證，對(duì)身份的保護(hù)，對(duì)身份認(rèn)證的元素的保護(hù)，這個(gè)都是現(xiàn)在在國(guó)外相當(dāng)熱門的。在應(yīng)用安全方面就比較多樣化，它包括了對(duì)應(yīng)用本身的保護(hù)，包括云的安全、容器的安全、對(duì)代碼安全的檢測(cè)，同時(shí)也包括了很多數(shù)據(jù)安全的新技術(shù)。從技術(shù)的方向講，應(yīng)該說(shuō)像一些傳統(tǒng)的熱點(diǎn)，像AI、SaaS安全仍然是這次會(huì)議非常熱的一個(gè)話題。

同時(shí)也有一些比較新的技術(shù)出現(xiàn)，比如說(shuō)像公司對(duì)于內(nèi)部員工的安全的管理，以及對(duì)內(nèi)部公司對(duì)于用戶數(shù)據(jù)的管理。因?yàn)槊绹?guó)是一個(gè)對(duì)合規(guī)相當(dāng)關(guān)心的國(guó)家，對(duì)合規(guī)的一些要求也比較嚴(yán)格，所以公司對(duì)這方面也都是需要投入。

青藤云安全COO 程度：

美國(guó)的觀點(diǎn)跟中國(guó)的觀點(diǎn)可能不太一樣，可能國(guó)內(nèi)的觀點(diǎn)大部分只是關(guān)注于十大創(chuàng)新廠商，感覺(jué)他們是代表所有的創(chuàng)新方向。但實(shí)際上來(lái)說(shuō)，我看了一下，今年的十大創(chuàng)新廠商其實(shí)大部分都是在解決老問(wèn)題的一些新方法�？赡苄聠�(wèn)題暴露的一些問(wèn)題，并沒(méi)有在這個(gè)臺(tái)面上，或者沒(méi)有在這十家廠商有所體現(xiàn)。

我覺(jué)得這個(gè)方向就是國(guó)內(nèi)的人去看這個(gè)東西，跟國(guó)外確實(shí)有所偏頗�？赡芪铱磭�(guó)外的這些廠商或者媒體，他們關(guān)注的都是一些新問(wèn)題的安全，比如IOT的安全問(wèn)題，現(xiàn)在比較關(guān)注的就是對(duì)細(xì)分領(lǐng)域，比如說(shuō)車聯(lián)網(wǎng)Auto mobile的安全，包括醫(yī)療設(shè)備的安全、5G的安全、AI的安全， 他屬于這種關(guān)注于新的安全問(wèn)題�？赡苓@本身就是一個(gè)新的趨勢(shì)，可能解決老問(wèn)題的一些新方法也是一種趨勢(shì)。比如今年Innovation Sandbox最終的獲獎(jiǎng)?wù)弑旧砭褪且粋�(gè)用機(jī)器學(xué)習(xí)的算法解決GDPR或者Privacy的一個(gè)廠商。我覺(jué)得他就是解決一個(gè)老問(wèn)題，但是用了一個(gè)AI的算法去解決。

對(duì)于我們來(lái)說(shuō)，參照意義是有一些，但實(shí)際上來(lái)說(shuō)，可能中國(guó)因?yàn)闆](méi)有這種執(zhí)行難度非常高的合規(guī)的東西，所以可能對(duì)我們是適用度不是特別高。比如今年進(jìn)入Innovation Sandbox的十大廠商，做SaaS安全的，做其他類型的安全的，可能在中國(guó)SaaS環(huán)境都不存在，大家已經(jīng)達(dá)成共識(shí)了�？赡芤�這個(gè)環(huán)境成熟之后才會(huì)出現(xiàn)安全。安全對(duì)于基礎(chǔ)設(shè)施、新的應(yīng)用場(chǎng)景依賴度非常大，且是相對(duì)來(lái)說(shuō)比較滯后，不可能這東西還不存在我們就考慮安全問(wèn)題。大部分的情況都是屬于這種先業(yè)務(wù)或者先技術(shù)來(lái)蓬勃發(fā)展之后，才會(huì)有新的安全解決方案。

IT168記者：每年的“RSAC 創(chuàng)新沙盒”大賽都是RSA大會(huì)的熱點(diǎn)話題之一，對(duì)于Securiti．Ai的本次奪冠，您有哪些想法？

奇安信品牌及營(yíng)銷中心 王培：

Securiti．Ai是做Privacy和隱私保護(hù)，以及GDPR合規(guī)的公司。我們也做了一些分析，因?yàn)槊绹?guó)成熟市場(chǎng)合規(guī)是強(qiáng)驅(qū)動(dòng)，他前景非常廣闊，而且能在市場(chǎng)上能夠在短時(shí)間內(nèi)賺到營(yíng)收。 這是美國(guó)成熟市場(chǎng)客戶的剛需。

反觀回來(lái)，我們可以把它歸類成是一個(gè)數(shù)據(jù)安全的市場(chǎng)，他其實(shí)屬于數(shù)據(jù)安全的一個(gè)大范疇，包括如何保護(hù)個(gè)人數(shù)據(jù)、個(gè)人隱私。解決方案方面，我認(rèn)為從技術(shù)上來(lái)講沒(méi)有特別亮的亮點(diǎn)。但他的確符合美國(guó)成熟市場(chǎng)合規(guī)的要求。

雖然國(guó)內(nèi)也有相對(duì)的法律法規(guī)，但是基本上還沒(méi)有上升到美國(guó)的高度。在美國(guó)一旦觸發(fā)法律法規(guī)，丟失了用戶的數(shù)據(jù)，將會(huì)面臨很高的罰金和罰款，甚至?xí)�讓公司的CEO下臺(tái)。所以處罰力度會(huì)很重，這就逼迫了甲方用戶非常重視合規(guī)的需求，一定會(huì)去大量的投入。Securiti．a(chǎn)i獲得本年的RSA冠軍說(shuō)明資本市場(chǎng)還是非常看好這個(gè)市場(chǎng)的潛力、市場(chǎng)容量。

山石網(wǎng)科聯(lián)合創(chuàng)始人兼首席技術(shù)官 劉向明：

實(shí)際上在國(guó)外，公司在合規(guī)性方面的要求比較多，在美國(guó)有對(duì)醫(yī)療的一些信息的保護(hù)。在歐洲也有GDPR，這些硬性條例的推出對(duì)企業(yè)的合規(guī)性來(lái)講是非常大的挑戰(zhàn)。所以企業(yè)的CISO對(duì)安全的投資方面，合規(guī)性是個(gè)硬需求。

在這方面來(lái)說(shuō)，Securiti．a(chǎn)i給了一個(gè)對(duì)隱私數(shù)據(jù)保護(hù)非常好的一個(gè)手段，雖然從我們的個(gè)人的看法來(lái)說(shuō)，也許他這個(gè)所謂的技術(shù)含量并不是一定很高。但是他確實(shí)滿足了企業(yè)的剛性需求。

綠盟科技首席技術(shù)官兼國(guó)際業(yè)務(wù)首席運(yùn)營(yíng)官 趙糧：

Securiti．a(chǎn)i用機(jī)器學(xué)習(xí)、人工智能等新的技術(shù)，把散落在互聯(lián)網(wǎng)當(dāng)中的各種各樣的隱私信息進(jìn)行發(fā)掘、分類、索引。并且呈現(xiàn)給用戶，讓用戶有條件、有工具去找到這樣的數(shù)據(jù)并消滅它。這是很好的一個(gè)技術(shù)服務(wù)，但是對(duì)于中國(guó)的產(chǎn)業(yè)界來(lái)講，我寧愿用另外一個(gè)方式來(lái)解讀。

大家知道在灰產(chǎn)當(dāng)中，在DarkWeb當(dāng)中有非常多的這樣的隱私信息散落，并被用來(lái)交易。他們不僅僅只是用于非法業(yè)務(wù)，而且依然被用來(lái)做滲透、用來(lái)做入侵、用來(lái)做社會(huì)學(xué)工程（攻擊）。比方說(shuō)攻擊者詳細(xì)的掌握了你個(gè)人的信息，那么犯罪分子就比較容易獲取你的家人信任，從而獲取安全管理員的信任。所以說(shuō)，去挖掘互聯(lián)網(wǎng)、DarkWeb上的這些信息也有助于保護(hù)我們的網(wǎng)絡(luò)安全。對(duì)于我們中國(guó)的產(chǎn)業(yè)界來(lái)講，這預(yù)示著有更多創(chuàng)業(yè)者有機(jī)會(huì)來(lái)找到這樣的隱私數(shù)據(jù)、個(gè)人數(shù)據(jù)，然后把它們消滅掉。

青藤云安全COO 程度：

Securiti．a(chǎn)i就是用新的方法去解決老的問(wèn)題，就是解決這些GDPR 、Privacy這種合規(guī)的問(wèn)題。

作者：高博