不要盲目迷信新技术，尤其是区块链--RSA第三日

RSA的第三天，F4都进入了“开大招”的阶段，性格迥异，专注点不同的他们，对待安全的执着是一样的。F4带来了对今日的演讲、论坛（session）和展区风格不同的深层分析。开门见山，下面把舞台留给F4。

Session：Navigate the New Landscape for Prevention, Detection and Response（预防、检测和响应）

这个Session提出了一个问题：如今的SOC正受到“更先进的威胁”、“新的攻击载体”和“更少的资源”等诸多挑战。对访问事件响应状态的独占研究，可以了解如何平衡这些动态。据专家小组说，新的工具从更丰富的分析到自动化——可以帮助你更好地预防、检测和应对威胁。

讨论方向：

1.了解目前正在做什么，来增强抵抗力和对攻击做出反应。

2.了解新的预防、检测和应对工具的需求和影响。

3.如何能够更好地证明“事故反映资源（人员、工具）的合理性” 。

 

讨论嘉宾的几个观点值得借鉴：

1.从ROI（投资回报率）的角度去考虑企业的网络安全防护体系。最贵、最先进的不是最好的，最合适的才是最好的。否则有可能成本投入太大，过度防护低概率风险是划不来的。

2.从CISO的角度，在网络安全风险防护方面，技术不是最重要的，比技术重要的是对企业内部的人与人之间、部门与部门之间的关系协调。很多问题如果相互风险之后，有可能就不是问题了。（after shared problem would become a not real problem）

3.从安全专家的角度，建议CISO们要尽可能的去读懂和管理设备日志，如果有困难，要尽可能的购买好的工具，这样能够提高效率并降低风险发生率。

Session：Connected Medical Devices—Saving or Harming Patients （连接的医疗设备——抢救或伤害病人)

潜在攻击者可能攻击医疗器械的行为，是制造商必须解决的一个生死攸关的问题。该小组的研究重点是联网医疗设备的安全现状、诸如能够改善安全性的区块链等技术、FDA的安全要求及其对制造商的意义，以及对保健设施和病人的安全影响。

讨论方向：

1.了解医院、制造商和安全研究人员之间需要进行的对话。

2.探索联网医疗安全的未来。

3.从行业对话中的关键参与者的真实角度出发学习。

嘉宾观点：

1.连接设备的实时状态监控非常重要。

2.随着互联设备的增加，诊断数据泄漏等互联网风险的发生，对患者造成的威胁越来越大，会导致个人信息泄漏，患者被敲诈。

3.FDA等监管机构对医疗设备上在安全方面的要求会越来越高。

4.GE在应对医疗设备安全方面做了一系列长期和持续的努力，除了应对FDA的要求，GE认为医疗设备的连接安全问题形势越来越严峻。这将会是GE非常重要的长期持续投入研究和改善的工作重点。

5.不要迷信新技术，尤其是区块链（当主持人问到区块链在这个领域的应用时，FOAD做了个把矿泉水砸到地上的姿势）区块链技术已经被应用在医疗设备互联安全的研究中，但是区块链不是万能解药，医疗设备连接安全应用，很多技术和应用都可以解决。在各厂商的解决方案中，首要的是解决问题，是否应用区块链技术不是首要问题。

6.BYOD在医疗行业中应用增长迅猛，这方面的连接风险也在增加。蓝牙是BYOD连接的常见方式，蓝牙技术安全风险比其他成熟的连接方式风险要高。

7.如何应对公众对BYOD医疗设备或传感器对信息泄密的担忧，例如体重、基因等个人隐私信息都可能从BYOD设备连接中泄露。通过加密，以及用户画像的技术，可以提高设备连接准入的门槛，从而达到防御效果。（这个问题是我边上的听众提的）

结论：医疗设备互联给患者带来的好处多过坏处。

Session：IoT Hardware Hacking - Demoing Firmware Extraction and Protection Methods （物联网硬件破解-降级固件提取与保护方法）

随着物联网的安全性日益重要，对物理设备安全和知识产权保护具备实际的了解是至关重要的。这个演示驱动的实验室将探索关于对嵌入式物联网设备的物理攻击的过程，目标是获得存储在其中的固件和数据的访问。

讨论方向：

1.了解对物联网硬件的物理攻击以及如何防范它们。

2.了解与物联网知识产权保护有关的问题。

3.学习与硬件测试和验证相关的新技能。

 

Session：Is your Connected car Unhackable? Kaspersky Lab（你的车联网是否可靠？）

首先，第一个topic:Vulnerabilities and their exploits in cars（汽车中的漏洞及其利用）中卡巴斯基的hack（黑客）是从headunit物理接触来举例的，这个方式确实直观并且可见，但对于OEM Customer而言，并没有太多的价值。唯一可能有考量的是car share这类的MSP（Mobility Service provide移动服务提供商）需要考虑的。

其次，在下一个topic：why this problem still exists（为什么这个问题依然存在）中，列的几点我特别认同最后一点Lack of holistic cyber-security approach（缺乏全面的网络安全），不仅仅在技术层面，更多的是在整个OEM汽车的生产生命周期中，security并没有很好的进入。在这点上，我们提出的将信息安全作为OEM的独立供应商，这个理念还是很先进的。

 后一个topic：Is there a cure?（有没有解决方法）中，除了常规的技术点之外，也提到了两点：

Cyber-security should be considered as important as safety.（Cyber-security应该和安全一样重要） 这个我要补充一下，汽车行业safety有个ISO26262，security目前也在撰写ISO21434，东软也在这个标准的工作组中承接相关任务。

Cllaboration（合作）：确实安全公司和OEM以及相关汽车零部件的供应商要跟多的融合，正在纳入到汽车的整个生产的生命周期中，更多的交叉学习，才能更好的实现智能网联汽车的信息安全。

 

 展区亮点：Moscone center North & South Expo与初创企业

连续逛了两天展区，简单总结一下观展感受。先来说说Moscone center North & South Expo。

1.数据安全热度最高，GDPR的合规要求成为这个细分市场的推动力。看了几家的方案，基本都是数据发现，数据分级，数据保护或治理的逻辑。对数据安全理解有限，回去应该读一读GDPR学习一下。 

2.做安全分析Security analytics的也不少，大家视角不完全相同，但在介绍中不约而同的提到了Artificial Intelligence（人工智能）、Machine learning（机器学习）、Behavior analysis（行为分析）、Threat Intelligence（威胁情报）等热门词汇，这些已经逐步成为国外SIEM和SOC类产品的标准功能。 

3.交流中了解到国外80%用户会将业务上云，迁移到云以后，增加了用户IT管理的复杂性，也会带来新问题。为了解决这些问题，云安全细分技术概念也比较多如CASB、Micro-segmentation、CWPP等。

4.另一个比较多的方案就是认证类，IDaaS、IAM、PAM和MFA等。Okta和CyberArk比较突出。

在Marriot的Early stage expo（初创博览会）我还是很期待的，昨天晚上提前做了功课，了解了一下这些初创企业的主要业务。也准备了几个问题去看了几家公司。

1.这个产品解决的什么问题？

2.谁是客户？

3.竞争者是谁？相比，你们的产品最大的优势是什么？

4.这个领域未来的市场规模？

大概聊了10几家公司，很“不幸”的遇到了3个印度人，3个韩国人，1个匈牙利人，1个捷克人。本来英语就不怎么样，再遇到咖喱泡菜味的英文，就更不灵了。竖起耳朵也只听懂了不到5成。另外几个接待的可能是技术人员，对于这些问题也是一知半解，草草应付了事。初创企业还是挺值得研究，这些企业要么对应了一个当前未被解决的问题，要么是使用新技术或新思路来提升现有解决方案的效率或效果。总体上感觉今年Early stage expo的初创企业亮点不多。

 

展区亮点：威胁情报与态势感知

今年的威胁情报主题继续火热，无论是绝大多数安全厂商都声称自己有威胁情报功能，出现了大量的专业威胁情报厂商，甚至弄个联盟搞威胁情报共享，都从不同角度说明了威胁情报的热度不减。

威胁情报实质上是态势感知的情报收集环节，前两年火热的态势感知这两年却熄火了。愚见原因有二，第一多数厂商把态势感知狭隘的理解成情报可视化了，可视化也不是什么高门槛技术，过了这阵风，也就凉了；第二深入了解态势感知，觉得做起来太难了，就挑简单部分先做了。

态势感知技术包括情报收集（日志，安全设备，网络设施，沙箱等等信息）与可视化，关联分析，学习与预测，响应与执行等等步骤，威胁情报正是态势感知的不可或缺一部分，因此当下如此火热，如此推断未来火热的一定会是自动化响应技术，并且一定是颠覆性的。

 

 

Keynote：HONEYPOTS 2.0: DEFENDING INDUSTRIAL SYSTEMS WITH DYNAMIC DECEPTION（工业系统）

笔者选择了这个Keynote，是因为题目包含工业系统，欺骗技术，蜜罐2.0，吸引眼球啊。

第一部分大谈工业物联网(IIOT)，规模庞大，数量众多，甚至提到了"digital twin"，对应于物理世界物品的数字物品，可见IIOT的重要性，而产生安全问题的后果可想而知。

第二部分提到了欺骗技术及动态欺骗。欺骗技术是攻击者常用的技俩。而蜜罐与动态欺骗通过基于IP和基于端口的动态技术，一方面可以迷惑攻击者行动达到扰乱及延缓攻击的目的，另一方面在对攻击进行实时检测的同时，实时上传威胁情报，达到实时控制的目的。

在举了一个基于端口的动态欺骗例子后，抛出两个问题:【代码过于复杂】和【轻量级沙箱的交互】。如何解决呢，用Twisted吧。接下来第三部分就是Twisted广告时间。

蜜罐2.0呢？ 笔者自己总结一下吧

1.轻量级，传统蜜罐通常以虚拟机方式运行，蜜罐2.0可以是进程，动态库，软件包等；

2.可集成性好，方便集成，最好原生支持了；

3.低耦合，蜜罐业务最好对于应用开发不可见，减轻开发工作量，让开发更专注于业务。