RSAC2020 | 安全自動化:一個新的風口正在接近
發布時間 2020-03-11每年的RSAC信息安全大會都會有一個主題,這個主題不僅反應了會議組織方對整個會議所圍繞探討的主要問題的思考,更是信息安全專家們對當下信息安全技術趨勢的一種認知。本文通過對近三年創新沙盒冠軍的全面分析,讓大家更加清晰看到全球信息安全行業對市場和技術發展趨勢的態度以及對這個方向有一個更加準確的認識。
RSAC2020主題為“Human Element”,這看似是一個與信息安全技術沒有太多關系的詞語,然而,正是這個詞語將人們對信息安全的關注目光從近兩年一直火熱的前沿技術(如AI、區塊鏈)拉回到了安全的本質“人”上。那么究竟什么才是Human Element真正想要表達的主題?AI技術真的已經在信息安全行業開始進入寒冬期了嗎?筆者通對近三年創新沙盒冠軍進行全面的分析,讓大家更加清晰地看到全球信息安全行業對市場和技術發展趨勢的態度以及讓對這個方向有一個更加準確的認識。
BigID
BigID是2018年RSAC創新沙盒的冠軍得主。這是一家2016年才成立的,來自于以色列,總部位于紐約,以提供數據管理解決方案為核心產品的初創企業。BigID提出了Automate Data Rights的概念,主要致力于通過其平臺類產品幫助企業滿足GDPR(歐盟于2018年1月通過的通用數據保護條例)合規和保護企業在數據使用過程中的隱私和權限安全。
Axonius
Axonius 是2019年RSAC創新沙盒大賽的最終贏家,這同樣是一家總部位于紐約,來自于以色列的初創公司。Axonius 的宣傳語是Automate Security Policy Enforcement。Axonius以信息安全資產管理平臺為核心產品,通過無縫整合超過100種管理和安全技術為客戶提供面向資產、設備和用戶的完全可視化和自動化的安全策略評估能力。
Securiti.ai
Securiti.ai是今年的創新沙盒獲勝者,這家初創公司成立于2018年,與BigID類似也是提供合規類的數據安全解決方案的,主要面向GDPR、CCPA(美國于2018年6月通過的加利福尼亞州消費者隱私保護法案)和LGPD(巴西于2018年通過的通用數據保護法)為客戶提供自動化的數據隱私合規產品和解決方案。Securiti.ai的主要產品有DSR Fulfillment Automa tion、PD Linking Automation、Assessment Automation、Third Party Risk Assessment 和 Consent Lifecycle,并通過一款叫Auti的機器人實現對隱私合規的機器人自動化(Robotic Automation)。
通過對比這3家公司,我們可以總結出3個關鍵詞來概括它們產品的共性,即平臺、合規管理、自動化。這3個詞雖不像是傳統安全領域的專業詞語,但更加符合RSAC2020的會議主題Human Element,同時也暗示了一個“平臺+AI”新的產品和技術方向,即通過平臺形式的系統把安全管理工作的流程更加標準化、簡單化,通過AI輔助實現安全合規自動化,這才是做好安全管理的關鍵所在。
此外,RSAC2020主題Human Element所要表達的意義其實并不是讓人去做,而更多的是替人去做、幫人去做,讓產品、平臺、AI來彌補人所固有的缺陷。
回到“人”的主題上。
首先,用平臺來做合規管理的標準化,是做好安全管理的第一步。通過把數據合規、隱私合規、管理流程合規的系統實現為統一標準化安全合規的管理流程,讓用戶只要用這個系統進行管理,就能夠以模板式標準化的行為方式來執行可管理、可控制和可預測的合規管理要求。在沒有進行標準化之前,由于人的行為不可控,具有隨意性、多樣性,因此對安全管理的效果、成本、風險等方面都無法很好的評估。
其次,平臺簡單化了整個安全管理過程,這個功能其實很重要,也很符合人性對于安全管理的要求。因為越復雜的管理過程也就意味著越高的學習成本和越少的精通人士,而讓非專家的人員去使用配置復雜的安全產品來滿足安全管理需求,往往并不能實現真正的初衷。但真實的市場情況是大多數用戶并不具備如此多高水準的安全運維和管理人員,也就往往難以用好功能強大而復雜的安全產品。
最后,“automation:自動化”這個詞語才是Human Element的真正精髓所在,這也與人類社會發展和進步的趨勢相符合。我們不要認為機器的智能化程度不夠,而做不好安全管理和響應的工作。其實相比較人來說,機器能夠做到的事情是相對穩定和可控的,并且隨著人工智能技術的發展,機器的自動化響應處置能力將會越來越強。相反,人工處置則受到人員專業技能水平、人員責任心、甚至人員性格情緒等多方面的影響。這也是為什么近年來工業界對RPA(Robotic Process Automation:機器人流程自動化)的越來越重視的原因。
而從2018年到2020年,近三年的RSAC創新沙盒冠軍都聚焦在平臺和管理相關的安全公司和產品而非傳統安全檢測類產品,就可以看出安全界和全球市場都對基于平臺的安全自動化管理越來越重視,也越來越看好。
安全說到底是由人來掌控,都需要回歸以人為本。由于人類社會的進步靠的不是改造人類這個生物體自身,而是要通過不斷的發明創造新的方法和系統來幫助和輔助人類達到一個更加智能化和高效的水平。
因此,RSAC2020以人為本的主題既是一次對人性的思考也是一次通過平臺和機器人自動化來實現對人性弱點彌補的產品展示。未來,我們相信“平臺+安全自動化”將得到市場和安全業界更加廣泛的認知,也將成為下一個安全領域的風口。