第二届华为IT安全技术峰会回顾

7月22~23日，第二届华为IT安全技术峰会在华为园区内低调进行。19家业界领先的欧美安全厂商及企业围绕云安全、安全的visibility、CASB、认证、安全运营等热门的安全话题展开了20个议题和1场圆桌讨论，现场还有6个厂商交流专场。在国内也许很难有机会能够一次看到这么多欧美厂商的安全方案。由于是一场内部会没能邀请到太多的小伙伴一起参加，这里简单回顾一下我所听到的几个主要议题。总的来说这次峰会包括了数字化转型(Digital)的大背景下，IT业务云化面临的挑战及防护技术，安全运营技术及经验探讨以及反欺诈支付的技术。

Digital——数字化

峰会第一天的keynote就由Gartner的高管合伙人现身说法解读近两年很火的digital概念。万物互联的时代到来(Thing)，由内容的爆发+网络的扩张+新硬件运算能力的提升+算法的发展促成了智能机器的兴起（Smart Machine），再配合“可编程”的商务模式（Programmable Business）三大趋势构筑了数字时代的基本要素。

通俗的理解一下，越来越普遍的物联网设备当其生产成本低到可工业化量产的时候，每一个设备都是一个探头，智能的机器可以实时的处理这些探讨传回来的数据，试想一下以后每一件物品都是探头，经过智能计算后物品都是可以给feedback的，那么商家可以针对到每个人来制定不同的销售策略，这就是个可编程的商业模式。商业产品会影响到市场最终会影响到经济社会。在这样一个digital的世界里面，通过“物”连通了虚拟和现实的世界。从前的网络安全也许只是虚拟的，但是“物”是实实在在占据了物理空间的，所以对digital世界的网络攻击（security）会因为“物”而直接影响到人和环境的现实世界（safety）。可想而知在数字化时代“数字安全”的重要性。

而华为质量与流程IT的总裁也在keynote中提到数字化时代的IT的变革要率先实现ROADS（实时、按需、全在线、服务自助和社交化）的目标，这几点跟Gartner的观点都是一致的。改善传统的销售模式，最终使客户能够去体验、感知、认知到产品，然后再把产品转变成销售。

百家争鸣的CASB方案

两天的峰会，涉及最多的议题莫过于云访问安全代理(Cloud Access Security Brokers，CASB)的方案。IntelSecurity的，skyhigh的，Symantec的，bluecoat的还有Imperva和Zscaler的云安全网关方案。随着IT应用的云化（例如企业越来越多的使用像Google office，office365，Dropbox等云应用）相当于能够接触企业数据的接口越来越多，从传统的以DataCenter为中心的防护模式已经无法适应云化场景。也因此出现了CASB，不管是shadow IT，shadow Data还是帐号盗用，恶意的数据访问等，都通过CASB来进行审计、监测、保护和调查。当然从不同的考量维度，各家的方案还有个优劣，比如支持的云应用是否足够多？提供的安全管理功能是否够强大？是否支持SSL解密等等。

此外，云安全方面CSA大中华区主席李雨航老师还分享了不少云安全建设的标准，包括“CSA云计算十二大安全威胁”，“云安全指南”，“云安全标准框架”等等。还包括了华为自身公有云建设的经验分享。

安全运营与攻防技术

安全是个对抗的过程，除了强大的安全防御能力外，对抗过程持续的运营也很重要。峰会里面另一个重要话题就是有关安全运营和攻防技术的，比如如何构建下一代的安全运营中心的议题就谈到SIEM其实只是工具，要构建一流的SOC，需要充分考虑技术technology、流程Process和人People。除了SIEM、DLP、网络可视化、主机可视化等工具的辅助，还需要事件流程、数据泄露流程、交接班流程等等，最关键的还是需要安全分析师。

也有厂商的议题总结了当前流行的一些新的安全防护思路，包括像google已经在做的“零信任”，前两年VMware研究的“微分段”，安全可视化，威胁情报交换等等，特别提到的自动化的威胁阻止和防御其实对防御的基础要求是很高的，暂时也没有看到能够做得很好的自动化方案，不过不可否认是对于一些较为初级的安全问题可以通过自动化处理，使得分析师更聚焦于高级的攻击事件中。

除了从宏观上的设计的，也有具体问题的议题。比如在企业内进行资产的识别以及其安全漏洞的评估这一老大难问题上，其中一家厂商除了传统的主动扫描，还加入了网络流量监听和防火墙活动日志的记录，从而识别网络中冒出来未被识别，未被管理的web、网络、终端、移动设备等等。

特别有意思的是峰会也请到VMware讲了一个关于“微分段”的议题。跑在Hypervisor层的防火墙解决了host主机性能消耗的问题，面向虚拟机名称/标签的策略定义可以有别于传统基于网络IP地址来进行更丰富的分段策略。也避免了臃肿的防火墙策略管理。

最后，worldpay介绍了他们应对反欺诈的几道杀手锏，tokenization，在支付网关中令牌化存储敏感的信息；Risk Guardian，多维度的风险评估；Dynamic 3D Secure，融合用户体验的3Ds开关。

总的来说两天的峰会，除了传统的像大厂商，还有不少欧美的新晋厂商，也有一些欧美的先进企业，两个分会场同时进行，议题还是挺紧凑的。可以说是IT和乙方企业的一场沟通会。在最后的总结里头，IT的领导特别提到了IT的安全建设是以软件包为驱动，希望与先进的安全服务厂商合作，比喻说到黑产之间沟通合作非常好，而正面力量其实也应该共同构筑防御的阵营。