作为国际上最顶级的网络清静聚会,,,,,RSA聚会通过主题演讲、沙盒、数字展览会、钻研会等多种方法向全球网络清静相关职员转达最新生长趋势、热门手艺以及行业人士专业看法等内容,,,,,天天的聚会内容都安排的异常富厚。。。。。在第二天的RSA聚会上,,,,,针对基础设施清静、软件开发清静、NIST标准、DevSecOps等多个主题偏向,,,,,睁开了精彩纷呈的演讲。。。。。
01 演讲主题:《未来极限盘算的网络清静》
演讲者:Dr. Anne Fitzpatrick(网络国家清静局副密码学国家官员)
Dr. Anne Fitzpatrick在这次演讲中先容了HPC高性能盘算的生长现状和未来的网络清静问题,,,,,同时对HPC的未来生长举行展望。。。。。
HPC,,,,,即为High Performance Computing,,,,,具有高性能优化、包括特定硬件及软件、规模和盘算速率要出类拔萃等特点。。。。。现在HPC领域是一个有数但仍很主要的领域,,,,,思量到政府投资缺乏等多方面缘故原由,,,,,HPC在已往25年中很少有立异。。。。。

在谈到网络清静问题时,,,,,以Exascale项目为例,,,,,Dr. Anne Fitzpatrick先容,,,,,虽然项目希望顺遂,,,,,但HPC的可靠性随着规模的增添而降低,,,,,同时手艺、社会、政治力量等因素也会对HPC的清静问题爆发影响,,,,,从国家清静角度思量,,,,,确保供应链清静十分要害。。。。。
在谈到HPC的生长趋势时,,,,,Dr. Anne Fitzpatrick以为需要用全局和生态系统头脑去看待HPC的未来,,,,,HPC将从凭证预制指令执行的机械转移到基于海量数据并且可以“学习”的认知系统,,,,,这其中,,,,,通用处置惩罚器将越来越少,,,,,更多的是转向专业化和“design your own”的模式,,,,,也许再过40年,,,,,我们将不再像现在这样熟悉HPC。。。。。
驻足当下,,,,,Dr. Anne Fitzpatrick以为HPC的几个生长偏向包括“泛在盘算”和刷新跨学科的网络清静研究与解决计划以及重新思量HPC劳动力的生长等。。。。。
02 演讲主题:《 DevSecOps同盟的生长现状》
演讲者:Shannon Lietz(Intuit公司DevSecOps总监)
什么是DevSecOps呢????????DevSecOps是DevOps的扩展,,,,,它被以为是一种相互交织的方法开发、运营、清静。。。。。DevOps起源于迅速文化,,,,,特殊强调快速开发和安排,,,,,但在实现快速价值交付的同时,,,,,清静性软件开发历程中也带来了危害。。。。。因此,,,,,一些有清静问题的公司最先思量清静的DevOps应用,,,,,这就是DevSecOps。。。。。“生长、运营、清静是基础,,,,,清静和DevOps必需演酿成一个新的愿景”,,,,,Shannon Lietz引用灰色文献综述(GLR)所选的文章。。。。。

Shannon Lietz在演讲中讲到:DevSecOps是陪同着软件质量和清静的生长而泛起的,,,,,最初是为了支持体例最“结实”的软件手册,,,,,解决DevOps应用中的清静问题,,,,,以是DevSecOps的第一个乐成履历是必需与软件看齐,,,,,把软件质量由原来的创造价值和可用推向创造信任和便捷生长。。。。。DevSecOps另一个乐成履历是,,,,,清静专业人士越来越意识到需要在流程的早期左移,,,,,增强清静与开发职员的互动和迅速宣布,,,,,这样能够大大镌汰软件后期返工带来本钱。。。。。随着 DevSecOps 的建设,,,,,更多学术组织和企业对 DevSecOps爆发了学术兴趣和劳动力投入,,,,, Gartner 在2020年宣布的应用清静有关报告中加入了DevSecOps 产品种别,,,,,进一步转化了DevSecOps同盟的市场效益,,,,,加速完善了产品供应链。。。。。
虽然,,,,,DevSecOps也有失败的履历,,,,,需要掌握软件开发运营全生命周期的手艺,,,,,以及历程中的不可控性、假阳性、审计要求等,,,,,这些都会对DevSecOps的应用实践造成攻击。。。。。幸运的是,,,,,经由史诗般的斗争,,,,,DevSecOps同盟战胜了这些难题,,,,,形成了DevSecOps生长的能力、文化和手艺,,,,,同时,,,,,清静运用目的越发明确,,,,,流程、基础结构和协作也越发完善等。。。。。因此,,,,,我们更应该关注DevSecOps接下来会爆发什么,,,,,就像Gartner2020年展望的一样,,,,,DevSecOps被界说为在应用程序开发历程中应用清静的历程已成为共识,,,,,DevSecOps市场在2021-2028年时代将实现高速增添,,,,,我们主要使命就是使用新手艺实现应用程序所需的清静协媾和历程的自动化。。。。。
03 演讲主题:《CISA如作甚妄想基础设施防护线路》
演讲者:Joshua Corman(CISA医疗部分首席战略师)、Sounil Yu (JupiterOne CISO和研究部主管)
在《CISA如作甚妄想基础设施防护线路》演讲中,,,,,演讲者体现相识CISA在妄想基础设施防护线路时所使用的要领,,,,,以及怎样使用该要领来制订手艺战略是很是主要的。。。。。由于现在我们许多基础设施的清静防御都是不敷的。。。。。

CISA的目的是捍卫今天,,,,,包管明天。。。。。如上图中两个相互倒置的金字塔,,,,,捍卫今天由上至下包括对策、情境缺失、操作杂乱、无法防御的基础设施;;;;;;;而包管明天由下至上则包括可靠、操作规范、情景明确、对策一致的基础设施。。。。。
网络防御矩阵是CISA的基础,,,,,它能资助机构快速相识目今的清静态势以及怎样刷新。。。。;;;;;;;∩枋┓烙闹柿吭蛱逑钟贒IE三原则,,,,,即漫衍性、不可变性和短暂性。。。。。将DIE应用于可防护基础设施中更容易发明差别和时机。。。。。
04 演讲主题:《三合一:三个NIST框架的剖析和重组》
演讲者:Dave Weitzel(MITRE政策和标准认真人)、Julie Snyder(MITRE首席网络清静与隐私工程师/NCF隐私领域认真人)、Christina Sames(MITRE首席网络清静工程师)
NIST的危害治理、网络清静和隐私;;;;;;;た蚣芏际怯糜谒⑿缕笠档奈:χ卫,,,,,虽然框架各自差别,,,,,但它们以某种方法优势互补,,,,,使它们成为任何组织中有价值的危害治理工具。。。。。

网络清静和隐私两个框架都包括焦点层(Core)、提要层(Profiles)和实现层(Implementation Tiers)几个组成部分。。。。。焦点层里包括组织用于开展危害治理的一系列运动和效果物;;;;;;;提要层是焦点层里焦点的子集,,,,,用于解决告竣组织目的时遇到的危害;;;;;;;实现层资助组织确定是否有足够的危害治理实践和资源以抵达其目的。。。。。危害治理框架由准备、分类、选择、实验、评估、授权、监控等一系列办法组成。。。。。演讲者先容了网络清静和隐私框架怎样增进危害治理运动的,,,,,好比在危害治理历程和运动中,,,,,焦点层和实现层上可以提供更细密的联系和相同,,,,,提要层上可以在组织使命/商业目的和网络清静、隐走私动之间建设联系,,,,,同时可以阻止一些需求上的冲突。。。。。演讲者建议,,,,,要明确三个框架以及它们之间的关系,,,,,建设框架提要手册,,,,,明确危害治理实验办法,,,,,将提要设计和危害治理框架应用起来,,,,,实现三个框架的融合。。。。。
05 演讲主题:《工具时刻:构建您的网络清静架构妄想工具箱》
演讲者:Diana Kelley(Founder & Partner SecurityCurve)
Diana Kelley和Ed Moyle为我们先容了在构建网络清静架构妄想时所用到的剖析工具、信息工具和设计工具,,,,,针对怎样构建架构工具,,,,,以及在何时那里使用这些工具来乐成且清静地实验架构举行了详细诠释。。。。。
一个乐成的清静架构应该是统一的、规范化的、并且是可重复的,,,,,在架构设计时应当遵照顺应当下情形、阻止太过投资以及思量周全几个焦点原则,,,,,一个架构设计通常需要相识目今状态、通过丈量和验证、标记未来状态三个历程,,,,,而工具支持着每个历程。。。。。
通太过析工具,,,,,可以实现目今状态,,,,,危害和威胁的梳理,,,,,并通过有用性、成熟度和效率三轴举行建模剖析,,,,,来资助您相识怎样做一个清静使命。。。。。其中,,,,,成熟度关注的是清静流程是否可靠且具有弹性,,,,,可以参考 CMMI的成熟度或能力、流程实验和 CMMC的手艺、成熟度评估等;;;;;;;效率关注的是清静资源被合理优化地使用,,,,,通过经济建模工具相识了各个控制步伐的本钱。。。。。

通过信息工具举行网络、跟踪和剖析企业所在情形信息,,,,,然后通过可视化的指标举行展示。。。。。
通过设计工具举行建模,,,,,可资助编辑和合并架构妄想,,,,,使用ArchiMate或UML等标记语言举行更好地设计。。。。。
最终,,,,,将剖析工具、信息工具和设计工具举行有用的团结,,,,,进而充分展现可视化、头脑映射和流程协同的作用,,,,,以此来设计最适合企业的网络清静架构。。。。。
06 演讲主题:《科学要领:清静混沌实验&攻击数学》
演讲者:Kelly Shortridg(副总裁, Capsule8)
清静混沌工程提出了一种新的要领,,,,,使用科学的要领和攻击者数学来形成有用的防御战略。。。。。Kelly Shortridg通过用决议树来假设攻击者战略,,,,,然后探索使用这些动态威胁模子来制作现实实验,,,,,以获得对系统回复力的信心,,,,,并做好应对事务的准备。。。。。
一个科学的要领包括以下办法:提出一个真实问题、提出假设、举行实验、将视察效果与展望相较量,,,,,并输出报告效果,,,,,基于效果重复、一直修正你对现实的熟悉等。。。。。那么什么是决议树和清静混沌工程呢????????清静混沌工程(SCE)一样平常使用infosec的科学实验要领,,,,,相识系统是怎样运行的,,,,,通过有妄想的履历实验、有意引入失败等,,,,,创造学习文化,,,,,发明系统的真实性,,,,,提高系统的清静性。。。。。可是实验是在假设之后举行的,,,,,那么怎样提出假设呢????????我们必需对现实作出假设,,,,,为3377体育网官网入口实验提供信息,,,,,在冲突的情形下,,,,,还必需对敌手作出假设,,,,,而决议树是最好的要领,,,,,它通过“信心激励”资助人类刷新假设,,,,,相识特定攻击者。。。。。这就是决议树与清静混沌工程。。。。。
怎样使用决议树与清静混沌工程????????Kelly Shortridg解说了一个详细的案例,,,,,使用决议树与清静混沌工程,,,,,用完整的决议树映射出攻击者可能接纳的行动规模,,,,,剖析攻击路径,,,,,在容器中构建攻击树隐矿工,,,,,抢占攻击路径的先机,,,,,加大攻击投资和重漂后,,,,,从而让攻击者知难而退。。。。。决议树攻击路径映射剖析逻辑图如下:

总的来讲,,,,,决议树和清静混沌工程提供一种研究攻击价值和目的价值的科学要领论,,,,,通过明确组织目的,,,,,构建攻击目的优先级矩阵,,,,,结构Y-响应=X-假设的攻击函数,,,,,建设SCE实验,,,,,形成新的肌肉影象来应对突发事务,,,,,使攻击事务变得无聊,,,,,同时让3377体育网官网入口目的资产更清静。。。。。
07 演讲主题:《开发职员不喜欢清静的十大缘故原由与解决计划 》
演讲者:Christopher J. Romeo(清静之旅CEO)
DevSecOps是构建弹性网络提供清静能力的主要手艺手段之一,,,,,Christopher J. Romeo以为Dev和Sec的毗连是断开的。。。。。究其缘故原由在DevSecOps天下中,,,,,开发职员成为了清静职员,,,,,但开发职员不相识清静,,,,,却经常实验强制执行流程和工具集,,,,,导致开发职员不喜欢清静相关事情,,,,,以是Dev和Sec的毗连是断开的。。。。。Christopher J. Romeo总结了开发职员不喜欢清静的十个缘故原由与解决计划,,,,,提出通过协作文化解决开发职员不喜欢清静的问题,,,,,十个缘故原由如下图所示:

例如:没人教我怎样“清静”的问题,,,,,Christopher J. Romeo的解决计划是通过撰写“怎样做”的清静指导、授权团队、推广教育三步建设清静实践手册和培训妄想。。。。。作育协作文化、提升同理心、与开发职员同在、随时听取开发职员的意见、询问他们需要什么资助的反响,,,,,并制订教学和指导的解决计划,,,,,由此解决开发职员的难题,,,,,其他9个缘故原由Christopher J. Romeo均提供了类似的解决计划。。。。。
最后Christopher J. Romeo提出需要站在开发职员的态度、与开发职员配合事情一段时间,,,,,与之共识,,,,,建想程序化的要领,,,,,实验解决计划解决开发职员与清静的主要关系,,,,,使Dev和Sec建设准确的毗连。。。。。
- 要害词标签:
- 3377体育网官网入口 RSA 2021 网络清静聚会

京公网安备 11010802026257号