2023年的RSA Conference（RSAC2023）是全球網絡安全行業的又一次盛會，已于2023年4月24日至4月27日在美國舊金山順利召開。作為安全界的“奧林匹克”，RSAC大會更是網絡安全領域的重要風向標之一，備受矚目。華為安全技術專家們在大會的吸引下，針對RSAC2023的眾多議題和創新沙盤展開探討，以本文為開篇，將推出一系列解讀文章，敬請持續關注。

當今世界處于劇烈變化階段，從去全球化到地緣政治危機爆發，各國經濟放緩，以及AI和量子新一代革命性技術開始重構產業。每年的RSAC大會是安全產業的市場風向標，它的主題更貼近客戶的心靈感受，從去年的Transform（轉型）到今年的Stronger Together（一起強大），總體是在表述“天冷了”，攻擊更多、新技術沖擊的情況下，更渴望團結協作的力量。

據大會的一項報告，網絡犯罪的年GDP產值排在中美兩國GDP之后，可以列為第三大經濟體，其中對勒索犯罪的關注依然是熱點，探討勒索軟件攻擊防護，以及付贖金的方式等話題；另外，基于地緣政治的網絡對抗加劇，大會討論了關鍵基礎設施的安全防護能力，包括DDoS攻擊、釣魚欺詐、漏洞利用、供應鏈攻擊、數據泄露等。對于這類針對性的攻擊，攻擊手段通常復雜，隱蔽性強，攻擊速度快，給防御留下的響應時間窗口短。因此，需要更快速的機器反應速度，自動化和智能化在其中扮演著關鍵角色。

未來對安全管理者而言，挑戰重重，預算在消減，威脅在增大。據面向消費領域的網絡行業安全調查顯示，安全管理者面臨的最大挑戰是時間管理，消費行業安全管理者平均每周花費27小時在非主要工作職能（即日?；顒樱┥稀０踩芾碚哌€有其他問題：人手不足 （66%）；任務超額 （55%）；在托管環境中缺乏可見性 （45%）；工具、技術或集成不足 （32%）等等。在風險關注上，對勒索軟件和數據丟失防護居于首位，其次是身份和訪問管理、網絡釣魚、業務中斷、漏洞管理、信息欺詐，以及風險治理與合規。

安全作為所有事物和復雜系統的屬性，就是數字世界的一個維度，可以壓縮，但不可消減。組成數字世界的眾多系統的不同形態，決定了安全產業的碎片化，100+的不同安全產品類型，以及人和組織制度的因素，對于安全管理者是個最大的挑戰。

未來安全的雙解之道：
融合安全產品和AI技術

從發展趨勢看，安全產品融合和AI在安全的應用可以看做未來安全的兩個解決之道。在RSAC2023大會上，與會的安全專家們就這兩個話題也充分發表了意見：

安全產品的融合，是一直隱藏在安全運營背后的核心問題。無論是從經濟角度，花更少的錢做更多的事，還是在現實威脅下，真正有效的管理和利用已有安全能力上，都需要安全產品的融合。從大會上的頂級安全專家的訪談看，安全供應商的數量眾多，解決方案的數量也多，把安全分散到100種不同的產品中，會讓安全變得很復雜，而客戶需要的是無縫順滑的安全體驗。產品間能夠協同工作，不同平臺融合，安全供應商之間的協作，或者社區協作對網絡安全至關重要。傳統的七國八制的產品集成的建設方法，在實際的網絡空間安全對抗中，已被證明效果不佳，孤島和煙囪式的方案，無法有效協同。Gartner提的網絡安全網格的體系架構，通過四個基礎層：安全分析和情報層，分布式身份層，策略和狀態管理層，整合儀表盤層，最終實現一個分布式安全服務的可組合擴展的安全協作架構。

ChatGPT引發的無處不在的AI（Artificial Intelligence，人工智能）浪潮席卷而來，成為大會的非官方主題。智能化潛移默化，逐步滲透到安全建設的各個方面，也同時會成為各個安全廠家軍備競賽的重點。會上有數十家公司宣布了他們的人工智能集成網絡安全產品，其中微軟的Security Copilot，谷歌基于LLM構筑的Sec-PaLM，以及Security AI Workbench的第一個落地新產品VirusTotal Code Insight，通過分析潛在的惡意腳本并解釋其行為，最終有助于改善對哪些腳本是真正威脅的檢測。SentinelOne推出的生成AI驅動的威脅狩獵工具Purple AI，基于數據湖之上，能自動處理不同來源的數據，它使用自然語言查詢系統的能力將為分析師節省大量時間，并使安全團隊能夠響應更多警報并捕獲更多攻擊。

不管當前實際效果如何，業界基于大語言模型至少在安全運營層面向安全分析師助理在演進，預計會在不遠的將來代替人工大量事務性的分析工作。AI在安全領域的應用會是個顛覆性的工作，它在代碼安全、行為異常檢測、文件分類研判，威脅情報提取都會不斷突破，在基于身份的零信任領域，AI的實時評估也會不可替代。同時一個問題，也會是所有安全業者的想知道的，如何訓練擁有一個強大的安全領域的AI模型，這里面不僅僅是算法模型的創新和突破，更多是需要擁有一個龐大而多樣的高質量安全數據集，并有正確的工程訓練的方法，來對齊訓練人工智能模型。從已有經驗看，AI在安全領域應用容易上手，但想達到被客戶接受的可用程度，門檻還是非常高。

在關注大方面的同時，也看看有哪些關鍵的平臺和技術方向。

作為集約化、標準化和服務化的網絡安全邊緣服務平臺，SASE（Secure Access Service Edge，安全訪問服務邊緣）符合客戶的降本增效的需求。埃森哲的調查顯示，客戶在討論下一代網絡戰略時，認為SASE可以實現環境的靈活性和敏捷性，并降低業務的整體運營風險，和身份管理、零信任結合起來更強大。Gartner把SSE（Security Service Edge，安全服務邊緣）定義為：“SSE可以保護對Web、云服務和私有應用程序的訪問，無論用戶的位置或他們正在使用的設備或該應用程序托管在哪里”。SSE提供駐留在云中的安全性，并將功能與物理位置分離。同時還包含可見性或數字體驗管理。作為MQ（Magic Quadrant，魔力象限）新品類，值得關注。

XDR（Extended Detection and Response，擴展檢測與響應）正從安全運營的成熟度曲線頂峰滾落，雖然從其技術框架和功能集上看，和SIEM（Security Information and Event Management，安全信息與事件管理）差異不大。但XDR對于實時檢測，響應的及時性和有效性上更看重。一般認為XDR都是EDR廠商演進而來，對于檢測響應，Telemetry信息至關重要，相比傳統SIEM采集的各種主機、網絡、云的日志信息，EDR采集的端側信息更加精確，所以能高置信度的分析研判。除了精確信息采集，XDR/SIEM平臺還強調自動化響應處置。Torq是一家初創公司，其技術為自動化安全操作提供了一種無代碼方法，能連接所有基礎架構環境中的所有應用程序和堆棧，包括Slack、Zoom和Microsoft Teams；并支持任何命令行界面或編程語言，以及容器化操作的編排。

攻擊面管理一直是安全運營者的高優先級工作，其目的是幫助組織及時識別數字資產，提前有效預防和減輕遭受外部攻擊的風險。當前，攻擊面管理可以通過結合ISA（Infrastructure Sensitivity Analysis，基礎設施敏感性分析）和BAS（Breach and Attack Simulation，入侵與攻擊模擬）技術來更好地降低受攻擊風險。

AI的廣泛應用，使得AI模型本身的可信和安全成為關鍵。本次RSAC沙盒冠軍HiddenLayer站在了風口，防護框架方面提出了MLDR（Machine Learning Detection and Response，機器學習檢測與響應），復用了檢測和響應的概念，給出面向企業的AI資產梳理、風險發現和檢測響應比較系統、完整的方案。安全模型的可解釋性和抗攻擊能力，對于未來安全防護很關鍵。

Akamai的報告顯示，針對API（Application Programming Interface，中文意為應用程序編程接口）的攻擊在2022年又創了記錄，API作為數字世界不同系統間的橋梁，針對它的防護越來越重要。目前行為分析是用于識別攻擊和提高API安全性的主要方法之一，Akamai提出還可以在三個方面改進：在危機發生之前緩解新的或零日漏洞，實踐安全代碼開發，以及集成自動化安全控制來匹配攻擊的速度。

敵對雙方的輿論引導，以及釣魚欺詐越來越多，需要對虛假信息的識別和傳播進行檢測。有時從內容很難判斷真假，大會提到不真實信息的檢測技術：找出傳播行為、分享行為、以及影響力評估，發現協調一致行為?？紤]到未來安全，人是最薄弱的因素，大語言AI模型生成釣魚、欺詐郵件能力強，防止社工攻擊最關鍵是要實時檢測和發現虛假信息。

在后面的章節中，各華為安全領域專家會就RSAC2023大會中觀察到的一些關鍵的安全產品/方案以及安全相關技術的趨勢變化進行詳細解讀，以便大家更好地掌握和應對未來安全的變化。在巨大的不確定性和新技術變革浪潮下，安全始終要護航更美好的數字化時代：更多鏈接，更多分享，更多協同，產生更強大的生產力。