RSAC 2021已于美国旧金山时间5月17日8:00(北京时间当晚23:00)召开,作为公认的网络安全领域最权威的盛会,受新冠疫情影响,第一次采用线上会议的形式举办。RSAC每届大会都会确定一个主题,会议内容需要围绕着这个主题从各个维度去探索并展开,且主题的选择上会紧密联系全球安全市场的变化趋势。如2016年Connect to Protect所说的“万物互联”;2019年利用AI这样的新技术与网络攻击赛跑;2020年Human Element强调“人”在网络安全中的重要性。
组委会在半年前就公布了本次大会的主题–Resilience。Resilience直译为“弹性”,但在不同语境和不同应用场景可能会诠释截然不同的含义,我们一般认为它默认的本质是–变化。从人类立足的客观真实社会和虚拟社会中对抗和竞争的角度来说,就是预测、抵御、恢复以及适应不利条件、压力、攻击或破坏的能力。在此之前,Resilience这概念很多领域中都得到了有效的利用,算不上是最前沿最新的技术术语。而Resilience的核心:准备好应付任何可能发生的事情却是在任何地方都需要放在第一梯队的理念。
本届大会围绕着“Resilience”这个主题,重磅发布了新一年度的十大安全趋势:
1. 安全管理岗位角色演变
2. 人工智能与机器学习
3. 信息操纵及其影响
4. 勒索软件
5. 共享与如何共享
6. 企业安全中的人员制度及技术变换
7. 供应链安全
8. 零信任
9. 云安全
10. 隐私与信息安全
RSA Conference 2021的三大核心话题之一,就是供应链安全,会上有多个重磅演讲和环节均有涉及。美国国家安全副顾问Anne在大会上分析了日益危险的网络威胁态势,并指出拜登政府在其任职的头100天中就已经面对并处理两个大规模供应链安全事件,即SolarWinds和微软Exchange攻击。她表示:“政府和公司日渐受到来自罪犯的定期、精细及恶意的攻击,如今,网络安全比任何时候都重要,对国家安全也至关重要”。Anne还针对大型供应链攻击提出了美国新政府对网络安全防御进行现代化改造的方法。
大会邀请了去年最严重供应链安全事件(2020 年 3-6 月期间,网络管理软件供应商 SolarWinds Orion 软件更新包中被黑客植入后门,并将其命名为 SUNBURST。该软件的主要客户主要分布在美国本土,其中不乏世界 500 强企业和政府单位,全球最大的网络安全公司之一 FireEye 也遭到了此攻击。)的主角SolarWinds CEO分享了事件细节,这是其近半年少有的公开露面。自SolarWinds事件后,软件供应链安全受到了空前关注,各国陆续出台相关法律法规保障和审查软件供应链安全,该领域将成为未来几年网络安全的重要关注对象。
供应链在开发、交付、使用三大环节均存在风险,开源软件和源代码亦暗藏危机。根据行业估计,供应链攻击现占所有网络攻击的50%,去年同比激增 78%。多达三分之二的公司经历了至少一次供应链攻击事件,平均成本达到110万美元。Ponemon Institute 于 2018 年研究发现,有 56% 的组织由于其供应商而出现违规。除此之外,企业在开发阶段广泛应用不安全的开源软件,自主开发程序天然存在的缺陷,都对供应链安全造成巨大威胁。供应链安全攻击事件已经严重影响到了企业安全、人身安全甚至国家安全,防范势在必行。
从事DevSecOps的安全开发生命周期管理公司Apiiro在RSAC 2021创新沙盒大赛中从入围的10家企业中获胜,被评为“最具创新力的初创公司”。该公司旗下的产品–代码风险可视化管理平台Code Risk Platform颇受评委青睐,该平台提供了横跨应用程序、基础设施、开源代码、开发者经验和业务影响的全方位安全性风险管理。这为解决供应链安全问题提供了新的应对思路和细分赛道。
DecSecOps指开发、安全、运维一体化,需要先在应用程序开发的生命周期(包括设计开发、交付、使用)中引入安全性,从而尽可能地减少漏洞并使安全性更接近IT和业务目标。DevSecOps作为产品生命周期安全性的解决方案,必然成为供应链安全中绕不开的话题。
来源:freebuf.com 2021-06-01 09:15:49 by: hz_qiufang
请登录后发表评论
注册