遇见RSA | 从RSA十大热词看2022网络安全趋势

2022 年 6 月 9 日 CCF计算机安全专委会

2022年的RSA大会已经正式开幕，本次大会议程为期4天。每年RSA大会中的主题演讲和参展机构所涉安全领域的安全热词都会成为大家热议的焦点。在对早期提交的数千份报告进行研判和筛选后，RSA发布其预测的2022年网络安全行业十大安全趋势，并为我们带来超过500个议题。

我们看到，在发布的十大安全趋势中，不仅有云安全、零信任、人工智能与机器学习、供应链安全等近年连续入选的热点技术方向，还有关注人文，在后疫情时代令人关注自身的思考：长大后成为什么样子的人？

接下来，我们就一起看看这十大趋势热词的详细内容吧。

趋势一：零信任到底是什么？

“永不信任，始终验证。”零信任就是对于网络中所有的业务流量默认认为都是危险不可信任的，而让其信任的最终方式是通过不断的认证。所以，零信任并非特指某一特定技术，而是一个新的网络安全体系架构。根据2021年5月指导要求“采用零信任网络安全原则，并相应地调整网络架构”使该类需求出现持续增加态势。技术手段更是层出不穷，但从成熟度曲线上的位置、零信任方法到底可以解决什么问题时，又是一个值得探讨的话题。

趋势二：SBOM的连锁反应

软件物料清单（SBOM）是代码库的完整清单，包括开源组件，这些开源组件的许可证和版本信息，以及这些组件中是否存在任何已知漏洞。RSAC2022大会则提交了数十份材料，主要围绕讨论如何约束对第三方软件公司的要求。其中值得注意的是，围绕供应链应用程序的生命周期管理，当合作伙伴的代码挂起引发的连锁反应，以及维护代码所面临的挑战等，议题还触及了从DevSecOps和软件完整性到开源工具，再到保护数据与供应链生态系统等方面。

趋势三：供应链挑战

用一个经典词来形容供应链挑战就是——“INAMOIBW”（“It’s not a matter of if but when”，中文翻译是，“不是来不来的问题，而是什么时候来的问题。”）现如今，“网络”和“物理”的连接日益紧密，我们所面临的威胁与日俱增，供应链的挑战是早晚要来的。大会将探讨供应链中的非营利组织和中小企业相关面临的挑战，尤其是勒索软件攻击对整个生产系统的破坏，以及用户可能存在的暴露风险点，并提供了与“支付与否”问题相关的网络保险政策，带来的经验、法律、治理等挑战的最新一手信息。

趋势四：免密攻击场景的爆发

比尔·盖茨曾预言:“以人类生物特征——指纹、语音、面像等方式进行验证的生物识别技术在今后数年内将成为IT产业最为重要的技术革命”。随着人工智能的普及，比尔·盖茨的预言落地成真。现如今，指纹识别、人脸识别等更安全的验证方式，正逐步替代传统的单一密码验证，人们也即将进入“无密码时代”。免密码的应用场景正在突破企业和组织的防护系统。本次大会也彻底将免密码应用场景推到了聚光灯下。本次大会将探讨可持续运营、互操作性和残留挑战，以及针对免密码方法的攻击途径和存在问题。

趋势五：回归安全的基线

如同“边缘病例”成为新冠大流行中世界的基本病例，决策和部署必须快速进行，各种意见书探索了一种新的回归基础。无论是领导者如何与其团队合作，如何利用现有的工具和技术实现安全，以及如何建立清晰、一致的安全决策。重点是从头开始安全计划，回归安全的基线，是探索一种新的回归基础的方式，是每位CISO任职前90天的重点工作。

趋势六：云议题的边界正在不断扩张

云服务时代的到来使得云安全有关的建议和方案激增，安全即服务、云安全威胁、云部署与防护、云应用程序安全等得到了研究和实践，特别是全球疫情环境下的远程管理与交付、远程办公和业务云迁移，这为云安全带来了巨大的机会和挑战。2022RSA会议上将探讨新的威胁建模方法，呼吁建立通用漏洞数据库、治理挑战、具有灾难性后果的以云为中心的攻击手段，以及云安全防护的长期手段是什么等议题。

趋势七：人工智能和机器学习

虽然人工智能和机器学习是一个老生常谈的话题，2022RSA大会则出现了围绕AI/ML为重点的焦点议题。除了关于人工智能驱动的黑产（是的，人工智能似乎越来越聪明），还有很多关于道德伦理和检测算法偏差的议题讨论，以及关于，如果我们不是数据科学家的时候，我们如何能很快速地获得业务服务指导。在这个板块，大会还将同时讨论全球监管格局如何演变，以及AI/ML的实际应用情况。

趋势八：风险占据中心

在过去几年中，风险的规模越来越大，但今年关于风险的讨论在提交的内容中不再局限于安全本身。更多的是将探讨运营技术和特定风险，以及BISO在组织内部产生的积极影响，促进网络安全团队的创新和更好的业务联系。第三方风险是一个关键主题，隐私保护的影响也是一个关键主题，以及具体的研究包括KPI和业务成果相关的业务指标等。

趋势九：引发思考：长大后想成为什么样的人？

过去一年多的居家办公显然引发了社会的反思。我们收到了无数关于如何转变为咨询、董事会成员、作者、CISO倡导者的意见书，还有很多。这不是旁敲侧击，这是一种渴望改变的希冀。我们也意识到员工更加广阔潜力。随着我们更愿意看到，多样性和非传统雇佣关系所爆发的能量，以这些对传统的雇佣关系、导师制，都可能产生的积极影响。

趋势十：网络安全框架

我们赞赏网络安全框架，很多也许是我们在数学和地图上的根，如果我们能把它画在一张图表上，它会更有意义，并且可以测量。今年，我们致力于将所有内容映射到所有内容，无论是技术性的还是非技术性的。我们认为框架是帮助不同群体进行沟通、确定优先级、衡量和报告的关键。此外，还有一种新范式的呼声出现，鼓励人们从过度依赖军事术语向通俗易懂直接了当的方式转变。