根據RSA 2018大會提交的議題資料，可以發現我們正處于安全領域的一大關鍵性時刻，明天就要開始的大會也必將滿載激動人心的精彩內容。除了即將出臺的全球性重大政策與法規之外，DevOps、自動化以及機器學習也已經證明了自身獲得成功的能力(無論對好人還是壞人來說)。身份與補丁安裝再次得到關注。物聯網的發展速度并沒有放緩，ICS與供應鏈攻擊讓我們擔憂。密碼已經消亡(當然，這已經不是密碼第一次被宣判死刑)。還有虛假新聞?!在討論保護世界以及全人類乃至設備而努力的時候，人為錯誤確定、一定以及肯定會成為重要的議題。

下面，讓我們一起來看RSAC2018大會已經收到的內容當中所體現出的一些重要趨勢：

1. 人工智能

在之前的討論當中，我們一直都將人工智能視為一大核心議題。從今年的情況來看，人工智能開始越來越多地同云計算的普及扯上關系。2016年的提交內容顯示出人們對于機器接管世界的恐懼心理; 但著眼于2017年，情況似乎走向了另一個極端——人類開始休假，相當一部分工作開始由機器進行代勞。而在2018年的提交內容中，我們終于看到討論從極端回歸中立，即我們開始努力在人與機器之間建立起健康的共生關系，二者不再是一方完全取代另一方的關系。我們正在學習如何利用人工智能成果來補充、放大并強化我們的活動——當然，我們也意識到其中仍存在著一些局限，特別是在對更多新的應用領域的探索當中。我們看到人工智能與機器學習迎來了更多實際應用方向，包括自動駕駛車輛、虛假新聞檢測、生物識別認證、缺陷檢測與預測、IT配置驗證以及DevOps等等——這份清單極為豐富，甚至有人開始呼吁為此制定一份以道德為立足點的發展路線圖。也正是因為考慮到機器學習的重要地位，我們決定專門為其建立通道，旨在集中更多教育重點以進一步加速其發展。然而，我們并不是AI發展成熟的惟一受益者——好人與壞人都能夠享受到這一歷史性紅利。事實上，關于“黑帽AI”發動攻擊的報道正持續增加。而隨著Alexa與Siri被越來越多地引入更多人的日常生活，AI背后所隱藏的黑暗面與隱私含義也開始得到更為廣泛的關注。

2. 人為操縱

通過技術實施人為操縱在本屆大會上同樣成為關注焦點。因為當掌握了由各方意圖所驅動的情感思維與行為(最典型的例子自然是2016年的美國總統大選)之后，我們自然能夠實現心理推動，并借此以多年為周期對攻擊目標的聲譽造成嚴重危害。考慮到在對方未作準備的前提下操縱意見并實施后續行動實在極為簡單，一部分與會者擔心與財務報告、社交媒體帖子以及健康記錄等相關的微小數據變化極有可能對個人、組織、國家乃至全球范圍造成長期持久且極為嚴重的惡劣影響。而隨著技術的進步，創建照片、錄音甚至是視頻都開始變得非常容易……因此，我們該采取哪些保護措施以確保我們思維與數據的完整性?在我們看來，第一步自然是對這一攻擊向量展開探索。

3. ICS與供應鏈攻擊

供應鏈攻擊之于2017年，正如勒索軟件之于2016年。今年的頭條新聞中充斥著以往只有好萊塢編劇們才想得到的攻擊活動——這不僅僅是那種令人驚呼“哇哦”的攻擊，而真正開始對全球關鍵信息基礎設施造成實際影響。NotPetya的出現給制造行業敲響了警鐘，提醒他們應該更為清醒地供應鏈安全性加以審查。與其它類型的網絡威脅一樣，ICS(工業控制系統)攻擊在過去幾年中一直呈現出規模性與復雜度上的雙重升級，而這自然源自工業系統連接性的不斷增強。此次提交的意見集中在ICS網絡攻擊的獨特性上，包括攻擊者的意圖、復雜性與能力、對ICS與自動化流程的熟悉程度(今年的自動化攻擊活動開始大幅增加)等等。此外，我們也開始探索一些由供應鏈攻擊造成的“附帶損害”，即一輪攻擊給供應鏈中的其它無關方帶來的損害。為什么人們對于目前的威脅形勢普遍表現出恐慌情緒?這是因為數量龐大的核心基礎設施仍以過時的技術為基礎，其包含大量接觸點且會引發極為嚴重的影響。

4. 區塊鏈

我們注意到今年區塊鏈技術也成為一大關注重點，特別是對其從理論到實際應用的探討。隨著區塊鏈技術的升級與擴展，一些人指出有必要為其制定真正的標準與安全協議。區塊鏈正越來越多地作為物聯網、支付(無論實際規模如何，特別是點對點支付)、身份、ICO、忠誠度計劃、共享資源分配以及聯網設備等的有效解決方案。內容提交者們正積極探索區塊鏈技術中的分布式信任模型與可用性能夠如何作為安全解決方案實現用戶管理與自身管理，并借此幫助企業改進運營能力、安全性并帶來新的服務類型。此外，壞人們當然也不會錯過區塊鏈這一重要機遇。我們對于區塊鏈內容的深度分享很感興趣，因此計劃組織一場以區塊鏈為核心議題的研討會。

5. 物聯網與醫療設備

與往年一樣，本屆會議上仍然包含大量物聯網內容——其主要集中在解決方案層面，而不再是以往的問題發現。我們正在學習如何一口吞下這塊規模可觀的“大蛋糕”。最重要的是，我們還考慮到與醫療設備相關黑客攻擊及保護手段的意見數量，部分相關內容甚至具有極為可觀的深度——包括一位醫療設備從業者將加入進來，把討論的層次由以往的安全對話升級至真正的解決方案水平。我們將考慮技術性解決方案是否足以解決醫療行業所面臨的挑戰(盡管大量遺留設備早在聯網時代之前就已經制造并部署完成)，抑或需要配合監管制度才有可能建立起真正可行且可靠的方案。另外，人們還關注如何對來自這些設備的數據進行調查，呼吁行業更好地管理這些遠超必要數據量的收集信息，同時確保不在未經原始擁有者許可的前提下進行共享。在這方面，隱私與安全再次成為重要的對話內容。

6. 情報共享

或者更準確地講，應該叫情報匱乏!去年的大會在情報共享方面提出了大量意見，以至于我們甚至為其專門組織了一場為期半天的研討會。今年……呃，所提交的意見主要集中在組織機構在與外部各方進行情報共享時所出現的無數實際問題。一些人探討了情報共享所面臨的技術挑戰，而這些挑戰往往要求參與方配合情境信息才能真正運用相關情報，否則一切將毫無意義。其他人則感嘆各類組織機構往往使用不同的標準與執行方式，這種相互沖突的行事方針導致行業標準實際上無從起效。也有一些提交者探討了情報共享的商業意義：其會幫助組織機構獲得市場優勢、觸發法律責任抑或違反隱私承諾?就目前來看，我們似乎僅僅出于熱情而進行情報共享……但人們已經意識到，只要方法正確，這樣做確實能夠帶來一定收益。

7. 身份

今年，密碼又死了，但身份機制卻非常活躍，且其討論范圍遠遠超出了設備應當在高度自動化背景下所需要識別并保證的程度。我們正在努力管理、追蹤并保障各類組織機構當中人與機器間的相互關系，而此類數字在物聯風領域正呈現出指數級的增長。更具體地講，在交換信息之前先回答對方“是誰”的問題，已經成為安全從業人員所面臨的最為重要的挑戰——提交者們認為，必須使用強有力且可信的身份保證機制才能作出回應。然而，我們該如何更好地實現這一目標?很明顯，我們需要立足云環境、移動設備、供應鏈以及各類端點找到確切有效的創新性解決方案。

8. 基礎設施

除了ICS攻擊之外，或者說正是因此受到啟發，今年的提交內容中也包含大量與基礎設施相關的議題。我們還注意到，與DNS以及端點相關的內容亦有所增加。我們發現此次提交的內容中包含大量與軟件定義邊界相關的資料，包括DISA暗網、Jericho、零信任模型以及谷歌BeyondCorp等等。這一切在過去幾年內都得到了一定關注，但今年似乎再次被與會者們所重視，而這很可能預示著未來的趨勢走向。更具體地講，最終用戶開始討論這些議題，而不僅只有供應商在為此作出承諾。另外，我們也看到更多與修復相關的討論，這很可能源自人們對勒索軟件活動與Equifax安全違規等事件的擔憂。在這方面，自動化概念與監管要求再度出場——人們開始爭論是否應將補丁更新視為強制性制度。

9. GDPR、風險管理與恢復能力

GDPR及其對全球各類組織機構帶來的重大影響(也許還包括其它具備同樣顛覆性效果的標準與政策)在今年的提交內容中占據了相當可觀的比例。正因為如此，我們同樣決定組織一場以GDPR為核心議題的研討會。眾多供應商已經投身于這股潮流，認為這將帶來一種神奇且獨一無二的普適性解決方案; 但在另一方面，最終用戶則指出對于組織機構內部的安全要求遵守工作而言，人與流程要比技術更為重要。這不禁讓我們想起了易捷航空公司支付安全部門負責人John Elliott在2017年RSAC倫敦大會上作出的一場精彩演講。一方面，隱私與數據保護之間的摩擦正持續升級，另一方面業務支持與客戶參與信息確實息息相關。而在這場拉鋸戰中，我們還將見證區塊鏈、物聯網以及人工智能的持續加入并在其中扮演越來越重要的角色。我們還注意到，人們對于合規性乃至治理層面的風險管理與恢復能力表達出高度重視，并希望通過商業視角從整體層面看待風險因素——這種趨勢有可能掀起一波網絡保險與網絡風險保障、真實安全成本衡量以及安全評級(包括供應商代碼安全性與工具安全功能等)的討論。我們希望能夠利用企業當中同一類別的度量工具對安全的有效性加以衡量及驗證。

10. 人的因素

令人耳目一新的是，我們還注意到一項明確的線索，即提交者們開始將員工作為安全工作中的基本個體與單位。我們密切關注著如何建立一支強大的團隊以實現最理想的安全態勢，而在此之中意識與思維、教育背景、年齡、性別以及經驗等因素的多樣性將非常重要。這不僅僅是在討論男女之間的差異，而是在圍繞著更為宏觀的多樣性展開討論。有人指出，主流媒體對Equifax安全違規事件的報道以及高管背景的多樣性狀況(例如‘僅擁有音樂學位的人怎么可能負責安全工作?’等質疑)確實應當引起重視——人們認為，對不同教育背景的粗暴否定影響到我們保障安全的能力與彈性水平。當然作為前提、起點乃至持續性基礎，我們也需要建立起有效的教育與培訓機制。良好網絡安全勞動力框架(NICE Cybersecurity Workforce Framework)似乎就是個很好的答案，提交者們認為其可用于快速發現最適合執行特定安全工作的人員選項。我們還看到更多關于全球范圍內優秀項目的評論意見，這些項目也確實幫助特定人群在網絡安全方面取得了成功。我們對這類對話及慶典活動很感興趣，為了保證這種多元化態勢，我們決定在本屆RSA大會中為其召開一場專題研討會。

當然，這十條重點絕對不足以涵蓋此次我們收到的超過2100份議題資料的全部趨勢。我們注意到以量子計算為核心的議題開始增加，也有一些人開始對合法入侵感到擔憂——他們認為近期的一些案例可能意味著合法入侵的黑客也許終將逃避牢獄之災。同樣的，人們也越來越關注對地緣政治的研究——我們是否會因為世界上某些地區的爭端而受到影響(這里人們反復使用了‘巴爾干化’這一表述)?當然，也有不少人提到了其有趣的數字化轉型之旅以及關于源代碼開放(開源軟件的普及度正持續提升)的安全性擔憂。由于這種安全感缺失的存在，我們在越來越多的議題中注意到“安全債務”這一說法。

最后，我們對于2018年RSA大會所收到的議題感到興奮與激動，也欣慰于我們與大家建立起的這種協同工作與持續交流的關系。RSA大會最為重要的主題，永遠是建立社區力量并增加面對面交流的機會。在共同努力讓世界變得更加安全的同時，我們也要始終保持這樣的交流能力。