伴隨創新沙盒冠軍的揭曉，今年的RSA信息安全大會(RSAC)也接近落下帷幕。從1991年到2021年，RSAC正好迎來了它的三十周年紀念日，而其也成長為目前在全球網絡安全領域最權威的專業會議之一。

　　今年的RSAC，涉獵依舊廣泛，覆蓋AI安全、云安全、物聯網安全、5G網絡、邊緣計算、供應鏈安全及數據安全與個人隱私等眾多領域。不過，我們在關注RSAC本身所展示內容的同時，也應該更多去探究其背后的技術發展路線和行業發展趨勢。聚焦最前沿，從五大議題出發，今天，百度首席安全科學家李康教授將就本屆RSAC出現的熱點關鍵詞為大家帶來深度解讀。

　　關鍵詞一：彈性

　　Resilience，彈性，是本屆RSAC的主題。在網絡安全領域，其主要被用于衡量一個組織在遭受數據泄露或網絡攻擊期間，能夠預防、抵御、恢復、適應其業務正常運營的技術能力。

　　在今年RSAC的開幕演講中，RSA CEO Rohit Ghai帶來了名為A Resilient Journey(彈性之旅)的議題分享。他認為，保證彈性的核心要義在于，Rising up Stronger When We Inevitably Fall，跌倒之后能夠迅速重新站起。

　　李康教授：

　　這次RSAC的主題公布得很早，而強調彈性也確實反映了當前網絡安全事件頻出的現狀，以及風險之下安全行業如何變得更強。我們都知道，網絡安全覆蓋面是很廣的，需要企業去解決的安全問題也有很多。我們講安全、講縱深防御，要關注的不僅是如何預防事故的發生，也需要關注事故發生后的溯源和整個IT系統的迅速恢復，從而保障企業能夠以最快的速度回歸到正常的運轉。另外安全管理運營人員，甚至整個行業，都要不斷通過過往的經驗，提煉出對風險的預測判斷能力，最高效地利用有限資源來降低整體風險。

　　實際上，在當前的網絡安全防護水平下，我們的安全體系很難完全杜絕安全事件的發生。但是通過積極的演練，提前準備響應預案，快速識別事件，可以做到企業不會被一次攻擊事件一下子打垮，而能否做到快速的修復，確保業務的正常運行，這是安全彈性的關鍵。

　　百度內部一直在這個方面做努力。同時在相對成熟的方面對我們的生態合作伙伴乃至整個安全社區提供支持。其中，不僅有包括規模化的抗 DDoS攻擊這樣的通用產品，也有像“智能威脅狩獵平臺”這樣能夠實現一站式部署和統一納管的智能化的企業一體化安全解決方案，把備份恢復、威脅溯源等能力整合在一起。

　　同時，另一個容易被大家忽略的問題彈性問題是合規。談到攻擊的損害，人們往往想到的是由于黑客和黑產的攻擊會直接導致的企業業務受損。但是這些攻擊引發的用戶隱私受損往往還會引發企業在合規和數據保護等方面的處罰。從這個角度講，合規檢測也是提升企業安全Resilience的手段。百度在隱私合規檢測方面非常注重技術投入。百度在做的史賓格安全及隱私合規平臺已經在為多個企業提供服務，也希望通過這些技術手段提升整個安全生態的防御規范。

　　關鍵詞二：創新沙盒冠軍

　　作為每年RSAC最為備受關注的環節，成為創新沙盒冠軍不僅需要關注技術的突破，也需要展現其商業化前景。

　　今年的贏家是專注于聚焦于應用安全、DevSecOps及云安全領域的Apiiro，這是一家來自以色列、成立不到三年的網絡安全初創企業。其推出的Code Risk Platform可從應用程序、基礎架構及源代碼等因素出發，為開發人員提供360度全方位的安全和合規風險視圖。

　　李康教授：

　　Apiiro是一家優秀的網絡安全初創企業，團隊有著扎實的行業背景。此次Apiiro獲得了RSAC的創新沙盒冠軍，成為Most Innovative Startup，大致可以歸結為三個原因。

　　首先，它反映了市場訴求。去年發生的SolarWinds事件引發了人們對于代碼供應鏈安全的擔憂，這起針對IT管理平臺的攻擊事件波及范圍極廣，幾乎囊括了整個美國的重要企業、政府部門和關鍵基礎設施，造成了巨大的損失，這讓很多企業客戶極為關注這一領域的安全進展。其次，它契合了國際競爭環境的變化，各國都加強了對軟硬件供應鏈的安全把控。更重要的，這是一個能讓評委“興奮”的產品，它讓項目經理能夠知曉代碼在哪里，從哪里來，到哪里去。

　　其實，這并不是一個新問題。在開發流程中，我們已經有DevSecOps。但是它的主要功能是對自有代碼的安全審查和安全流程，而缺乏對第三方代碼庫及自有開發代碼的外部保管問題，這帶來了一系列潛在的安全隱患。盡管大家現在大多都遵循DevSecOps的規范，但其更多是為開發人員所打造的，Apiiro的Code Risk Platform則正好彌補了為項目經理服務這里的空白。

　　關鍵詞三：數據安全被持續關注

　　在此次RSAC創新沙盒環節中，另一個受到關注的情況是數據安全領域“選手”的增加。包括Cape Privacy、Open Raven和satori在內達到了三家，成為創新沙盒十強企業中主要業務涉及最多的領域，數據安全與隱私保護正在獲得行業的持續高度關注。

　　李康教授：

　　數據安全與隱私保護是我們在AI時代所面臨的重大議題，也是百度在網絡安全領域的研究重點。其核心要討論的問題在于，數據如何儲存，如何管理，與如何利用。

　　在本次創新沙盒的企業中，我們看到它正在與機密計算、代碼開源相結合，這將大大簡化企業的上手流程。同時在本屆RSAC的Keynote中，我也看到了更多關于數據安全與隱私保護法律法規的討論。那么對于我們來說，這里的創新機會更多在于如何實現數據所有者、數據使用者和數據存儲方之間的協同，并在各方不互信的情況下，如何推進基于數據的安全應用。

　　而就百度而言，我們在數據安全與隱私保護領域有著長期的投入，主要展開了面向三個方向的研究和內外部實踐。包括基于硬件的方案，典型的代表是Teaclave，這是全球首個通用安全計算平臺，在2020年初，我們將這一項目捐贈給了Apache基金會;同時百度也有基于機密計算的產品點石，具有MesaTEE、SMPC和隔離域多種版本，支持多種商業化的數據安全場景。另外百度也有基于算法的方案，比如百度聯邦計算平臺，引入了安全多方計算、同態加密學習等技術;再者我們還有應用于機器學習領域的PaddleFL，這是一個基于PaddlePaddle的開源聯邦學習框架。

　　當然，這里我說的一個純個人觀點(不代表百度)，就是涉及到多個參與方的數據安全通用解決方案目前仍然是基于TEE的方案有優勢。我看到的純基于MPC或者全同態加密算法的方案往往是針對特定的數據和應用方，而且對使用環境做了比較強的假設，比如對于第三方的依賴或者對于參與方的行為限制(假設)。我非常希望能看到這些工作能夠在一個對抗性比較強的環境下的具體表現。從某種意義上講，我覺得今天創新沙盒裁判的一些問題也是表達了這一方面的擔憂。當然這純屬入我個人猜測，我希望有更多的通用解決方案落地，能讓系統安全的人嘗試使用，未來的發展我們拭目以待。

　　關鍵詞四：舉辦形式

　　受到疫情防控的影響，本屆RSAC首次采用了全虛擬的線上形式舉辦。這也是繼BlackHat, DEF CON 等之后，又一個選擇將線下活動整體遷移至線上環境舉行的全球頂級網絡安全專業會議。

　　李康教授：

　　與DEF CON和BlackHat不同，RSAC是更加偏商業化廠商展示的會議。在過去，參加RSAC的主要是兩類人群。其一是網絡安全廠商，他們要在這里展示自己的能力，探尋行業的趨勢;其二便是企業客戶，其中就包括大量非互聯網行業的企業客戶，RSAC是他們尋找解決方案，與網絡安全廠商之間進行合作的平臺與溝通渠道。

　　今年的RSAC采用了全線上的形式，實際上造成了大量企業客戶的缺席，這對于RSAC和參展的網絡安全廠商的影響還是很大的。當然，RSAC自己也在謀求彌補這個損失，比如設立Marketplace，讓沒有參展的企業可以獲得一個線上入口。

　　其實這是目前整個線上會議形式普遍面臨的一個問題，缺乏與用戶、與市場的真實互動。那種我們走進一個真實的展館，看到真實的產品展示，與人面對面進行溝通的感覺與反饋，依靠單向的視頻流是無法實現的。 在這個方面，百度也在嘗試提出解決方案。比如在今年3月，百度安全與DEF CON聯手舉辦的DEF CON CHINA Party。這也是一個線上會議，但我們引入了VR技術，即百度VR“希壤”虛擬互動空間，它增加了交互的可能，使得參會者能夠真實地參與到活動當中來，我們希望這會是未來線上會議的一種趨勢。

　　關鍵詞五：參展商減少?中國廠商缺席?

　　去年，RSAC吸引了700多家參展商、超過5萬名專業觀眾到場。今年，據悉這一數據有所下降。其中，亞馬遜、英特爾，以及知名的云計算獨角獸Snowflake、2020創新沙盒的冠軍Securiti，2018年創新沙盒的亞軍Fortanix等等均未參展。當然還有由于地緣政治的原因，來自中國的網絡安全廠商也出現了大面積的“缺席”。

　　李康教授：

　　的確，相較于去年，今年的RSAC的參展企業數量是有不小的下降的，也包括我們中國的網絡安全廠商。在這之中，自然有來自疫情防控、中美競爭的影響。但我更想強調的還是我們在上一個關鍵詞中所談到的，會議形式的改變所導致的受眾范圍的縮小。

　　我們所看到的現象是，一些傳統領域的專業網絡安全廠商還是出席的RSAC，但一些綜合類的、創新類的企業在這次并未參展，包括很多去年的創新沙盒十強。他們其實會更關注于與企業客戶的互動，挖掘商業機會，而當前的這種線上會議形式所能達成的效果，和大家對它的定位是有所距離的，這也是現在我們讓VR技術與會展場景相結合的機會所在。

　　關于本屆RSAC的詳細會議內容，可參閱其官方網站。