关注网络安全，RSAC 2020 十大网络安全趋势

    今年RSAC组委会收到了2400 份世界网络安全专家提交的演讲申请，基于申请者提交议题的汇总整理和分析。RSAC发布2020年网络安全行业 10 个趋势，这是全球网络安全专业人员对2020年乃至今后行业发展的判断。
 

    1、人是安全要素
    在去年的RSA美国大会上，女演员、作家兼制片人Tina Fey在演讲时宣称，影视行业与网络安全之间的交集很少，但随着RSA会议主席休•汤普森（Hugh Thompson）与她的深入探讨，人类一些行为具有超越时间、空间和行业的共性内容，这一观点得到彰显。也许正是这次对话帮助确定了RSAC的主题: 人是安全要素。
    在近 2400 份提交申请中，“人是安全要素”跨越了行业和机构，针对人的行为带来的挑战和成功问题，与针对数据、威胁、风险、隐私、管理和团队的探讨交织在一起。
    绝大多数提交的演讲侧重将人的影响作为一种重要手段，帮助我们了解如何进行更好地利用共同发展框架、为风险控制管理决策者提供数据信息、缓解新的和新兴威胁以及通过建立以安全为中心的高效文化。 提交的材料还探讨了使用软件和平台（有意和无意）来利用人类的弱点，反映了对隐私的影响和使用机器学习的潜在机会。“人的安全要素是”一个粗略描述，意在揭示明显的安全问题阻碍了项目的成功。
    2、实现产品设计、开发和运营安全
    RSA今年提交的议题中，出现很多针对产品安全开发的深入探讨，因此RSAC 2020添加了针对产品安全和开源工具讨论环节。
    讨论会议将从身份、人工智能、隐私和SOC的角度探讨用户体验设计。 议题提交者知道如何确保安全的产品在一个不断扩大和连接的供应链中是安全的。
    来自不同地区和行业的产品开发人员的前瞻性建议，旨在帮助其他人在安全开发周期和框架、保护互联产品和服务、维护安全开源代码以及对官方SCPS（首席产品安全官）日益增长的需求方面学习所需的知识。
    许多问题还认识到，如何最好的使用，维护，测试和开放源码的安全性，制度性的挑战，并提出了最佳实践的考虑认证。
    3、IT和OT融合的安全
    随着物理世界和网络安全世界的不断融合，安全岗位的作用和责任也在不断演变，很多企业首席信息安全官的职责跨越发展物理和逻辑网络安全，关于工控系统的对话能力越来越多，这在我们一定程度上要归功于 NotPetya勒索病毒。
    IT/OT 融合的挑战之一是，它们是两种非常不同的文化和供应链，因此通过这种融合也推动了中国文化发展变革，以推动更多协作。融合也超越了工控系统，今年提交的议题中，5G话题也呈上升发展趋势。由于对供应链管理风险，以及确保企业关键信息网络经济危机中正常工作运行的担心，有关人工智能家居、智慧城市的议题也持续不断上升。
    4、软件工程流程安全
    与上个趋势相关，我们观察到以DevSecOps为中心的议题在持续增长和走向成熟。开发人员和安全团队继续努力，以建立安全DevSecOps状态“4​​97”，以及要求在建设能力和确保安全性。
    风险管理、治理和合规性话题在DevSecOps背景下进行探讨，传统上“不相关”的两个人群发现，可以进行富有成效的合作，这是在组织内统一沟通、流程和框架，来实现安全产品的积极推动。为了响应这个主题，另一个主要的讲座是学习如何发现，雇用和培训人员和团队开发。
    5、合规和隐私的交织
    作为GDPR合乎逻辑的副产品主题的今年提交表明围绕齐心协力，推进隐私，以及随后的自动化框架的操作。风格以及提交的显著变化，体现出隐私对相关的产品，服务和组织的影响的隐私相关问题类型变得更加复杂和理解。这种发展成熟度似乎也带来了我们更多信息技术的议题，包括同态加密。
    过去，隐私是“良好发展企业社会公民”可有可无的特质，现在随着我国企业发展寻求保护用户的隐私，隐私问题有成为一个核心业务和安全话题的趋势，这不仅是因为合规问题，还因为他们可以自己带来经济业务的差异化和正面的用户使用体验。我们看到“隐私”和“安全”功能，在企业内部是用新的，积极的方式紧密合作。RSAC 2020所处的世界充满针对隐私问题的讨论，今年大会提交的议题重点探讨了GDPR的挑战以及计划之外的后果。
    6、威胁情报和共享
    根据今年收到的意见，显然是安全专业人士看到建立集体防御和公私合作的网络的价值。也许是对利用信息技术研究框架和机制可以实现安全防护的更加有信心，今年我们中国似乎再次看到分享情报的价值， 随着对欺诈和身份问题的日益关注，我们看到了更多与用户行为分析相关的话题，这表明行为科学与网络威胁之间存在着密切的联系。
    许多议题在谈到人是安全要素时，指出了威胁情报和共享的力量，同时认为企业需要通过不断发展提高学生安全管理团队的技能。随着人工智能的不断发展，我们也看到了更多的自动化问题。 威胁情报依赖于信任，虽然人工智能有获取信息的潜力，但必须在自动化和人类之间取得平衡。
    7、框架、框架还是框架
    可能是一个机构内以及跨机构间流程与协作能力出现管理规范化，进而可以实现企业自动化的趋势，2020年的很多重要议题提交者都希望对框架话题信息进行更深入地探讨，这些议题还涉及软技能和硬技能。
    我们看到了许多有关MITER ATT＆CK框架、NIST网络安全框架、竞争性安全文化框架（CSCF）和信息风险因素分析（FAIR）框架的议题， 还有许多人提交了隐私框架的主题， 这些框架的持续发展和应用，以及每年的快速发展和演变，是希望更有效地治理和改进风险管理的背后原因。
    8、安全意识和培训
    鉴于RSAC2020的总体主题，今年的演讲中安全意识和培训主题的增加并不令人惊讶。某些大会委员会成员最初将安全管理意识进行培训归到 “人是安全生产要素”论坛环节，但威胁对安全问题意识以及培训效果却不会有任何歧视。随着我们的世界日益紧密的联系，越来越依赖于连接的设备，以及人工智能的决策，因此，我们需要打破的宣传和培训的传统观念。
    由于认识到培训的价值，今年的很多主题进行探讨网络靶场，兜售靶场对开发和培养安全管理技能的价值，一些议题涉及安全意识的道德和伦理问题，而一些议题强调需要更多关注工作场所压力和心理健康，特别是安全从业人员。
    9、沟通
    今年的许多主题都强调了明确沟通的重要性，为了有效地开展工作，首席安保干事需要了解其职权范围的内容。有关于如何做各种准备的首席安全官提供指导的演讲议题。相关议题为CSO和CISO提供了所需的多种教学方法：如何在中国作为一个广泛供应链一部分的组织企业上下、内外环境进行有效沟通。
    10、专业人才培养和安全队伍建设
    公司正试图弥补不断增长的人才缺口，吸引和留住人才，以及多样化的定义本身需要的是超越性的范围，不仅种族，年龄和种族问题，也包括人类思想的多样性。
    这一年提交的主题反映了我们的学习，彼此之间用技术互动方面的沟通，对已经内化的“人”的意义的理解，对个人如何做好工作，以及团队成员如何高效互动方面进行深入思考。
 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！