當地時間2月24日－28日，網絡安全行業(yè)最受關注的年度盛會，RSA網絡信息安全大會在美國舊金山舉行。作為網絡安全行業(yè)的重磅峰會，每年的RSAC信息安全大會都會吸引眾多全球知名信息安全企業(yè)、行業(yè)決策者和資深專家學者參會，討論網絡安全的最新趨勢，展示創(chuàng)新科技。

為了對本屆RSA大會的亮點以有更深一步的了解，并對今年的網絡安全新趨勢有進一步的洞察，本次訪談我們邀請到了四位國內網絡安全專家，分別是奇安信品牌及營銷中心的王培、山石網科聯合創(chuàng)始人兼首席技術官劉向明、綠盟科技首席技術官兼國際業(yè)務首席運營官趙糧以及青藤云安全COO程度，共同探討新形勢下的網絡安全！

以下為采訪實錄：

IT168記者：參加今年的RSA大會，最大的感受是什么？

奇安信品牌及營銷中心 王培：

因為今年冠狀病毒疫情的影響，參會的觀眾及參展的廠商比去年下降不少，另外一點，從技術方向上來看，今年我的感受是沒有看到就讓人特別眼前一亮的新技術，基本上還是在原來非常熱點的AI、人工智能、機器學習等方面有一定的深化和落地。

山石網科聯合創(chuàng)始人兼首席技術官 劉向明：

今年RSA的參會感受主要有以下幾點：

首先，網絡安全的熱度還是非常強，這次的參展廠商有非常多的全新廠商（之前沒有見過的廠商）來參展，這說明了在過去幾年之內，對這些廠商的一些投入、投資在今年可以看出他的成效。

其次，我們看到了非常多的國家和地區(qū)都有集中的展位，比如以色列、加拿大，包括日本、韓國之類的國家和地區(qū)，至少有大概七八個甚至可能十個左右的國家地區(qū)的集中展開，這證明了這些網絡安全企業(yè)在世界各地都得到了蓬勃的發(fā)展。

所以可以看出來，網絡安全現在不僅僅在行業(yè)本身非常熱，而且在世界各地都是一個非常熱的話題。

青藤云安全COO 程度：

今年大會的主題是以人為本，它確實全部是依繞這個主題展開的，包括大會的開場演講，包括設置的一些活動，包括一些關鍵詞，都有所體現。另外還有一些活動上的體現，比如今年有一些新的活動，比如說Engagement zone，RSA會議本來就是在美國的安全圈或者全球最大的一個安全盛會，能夠給大家提供面對面交流的機會，今年大大會專門從形式化的角度把這個確定下來。還有Braindate這種，就是頭腦風暴，類似于一個小主題，大家可以約三四五個人，然后去聊一些事情，我覺得這是一個很好的現象，能夠讓安全從業(yè)者有一個很好的溝通的平臺，而且是跨公司，甚至是跨國籍、跨地域的方式去溝通，對于大家的這種social或者connection都會有一個很好的幫助。

IT168記者：今年RSA大會的主題是“Human Element”（以人為本），結合當前網絡安全市場，談談您對這一主題的理解。

奇安信品牌及營銷中心 王培：

在2017年的時候，我們就提出了人身安全尺度的一個大會主題，跟今年RSA大會的主題不謀而合。其實在網絡安全領域，網絡安全的本質其實是人與人的對抗，人是網絡安全里面最薄弱的一個環(huán)節(jié)，所以今年的主題是，不管你是安全從業(yè)者還是普通人，其他行業(yè)的人，都需要去加強安全意識，要提升對安全的認知度，建立一個安全的文化，把安全風險降至最低。

山石網科聯合創(chuàng)始人兼首席技術官 劉向明：

在近三四年之內，包括廠商、客戶，對于AI在網絡中的應用都非常接受。在這個前提之下，

我想RSA的承辦方、主辦方也覺得，光有AI還是不夠的。實際上，目前 AI在網絡安全中還僅僅是一個輔助的作用，真正還要靠人在看了AI的系統輸出結果以后去做一個判斷，這到底是個真事件還是一個假事件。如果是真的事件，如何再去做分析，去挖掘，這也需要一個人去應用一個系統才能達到的一件事情。

青藤云安全COO 程度：

從CSO的角度來看，本質上來說應該有三個大的方面去來思考這件事：

第一：可能就安全產品，我們最關注的是安全產品和技術；

第二：是企業(yè)內部員工的培養(yǎng)和培訓；

第三：外包團隊的駐場，比如現在我們經常提的，比較熱的MDR、MSSP這種類似的服務。

我覺得跟人相關的解釋包括兩個方面，不光是只依賴于產品技術，其實對人的培養(yǎng)、培訓，包括對內部員工的安全意識的培訓，從對人的這些關注度，可能是今年比較重要的一個主題。

綠盟科技首席技術官兼國際業(yè)務首席運營官 趙糧：

今年的主題是針對前面三年五年十年安全實踐的反思，或者說不得不進行的一次回歸。安全團隊、IT團隊、企業(yè)員工、企業(yè)的最終用戶，任何一個環(huán)節(jié)在使用過程當中因為安全意識問題、安全技能問題、安全工具問題、安全運營和事件響應問題等出現紕漏，都會造成最終安全體系的失敗。所以本次展會Human Element的主題能夠提示整個產業(yè)界，提示甲方和乙方一起關注“人”這個更重要的因素，一起加強安全產品的設計、安全產品的使用、IT應用的設計、IT應用的開發(fā)，把人的因素更加完整地集成到各個生命周期當中去，更有助于安全整體投資的回報和整體安全體系的運營效率。

IT168記者：結合本屆RSA大會，請您預測下，今年網絡安全市場的主要發(fā)展趨勢是怎樣的？您覺得今年RSA上有哪些新的安全技術值得我們學習？

奇安信品牌及營銷中心 王培：

從國際的發(fā)展趨勢來看，因為在美國的成熟市場，云的使用和SaaS的使用是非常成熟的。這也造就了很多公司，推出了這種SaaS應用安全的解決方案，我覺得這在美國成熟市場是一個非常重要的發(fā)展趨勢。再反觀中國市場，基本上因為我們的SaaS業(yè)務沒有起來，所以我們也很少看到SaaS安全的提供商。鑒于本次疫情的影響，很多人都選擇了在家做遠程辦公，我相信這是一個良好的開端。

山石網科聯合創(chuàng)始人兼首席技術官 劉向明

在這個技術的發(fā)展方向方面，我覺得還是著重于兩個端，一個端是用戶的端，另一個端是在用戶應用安全和數據安全的端。在用戶安全端點方面，現在國外比較熱門的一些領域，包括了零信任，所謂的Zero trust，以及與各種各樣的身份認證，對身份的保護，對身份認證的元素的保護，這個都是現在在國外相當熱門的。在應用安全方面就比較多樣化，它包括了對應用本身的保護，包括云的安全、容器的安全、對代碼安全的檢測，同時也包括了很多數據安全的新技術。從技術的方向講，應該說像一些傳統的熱點，像AI、SaaS安全仍然是這次會議非常熱的一個話題。

同時也有一些比較新的技術出現，比如說像公司對于內部員工的安全的管理，以及對內部公司對于用戶數據的管理。因為美國是一個對合規(guī)相當關心的國家，對合規(guī)的一些要求也比較嚴格，所以公司對這方面也都是需要投入。

青藤云安全COO 程度：

美國的觀點跟中國的觀點可能不太一樣，可能國內的觀點大部分只是關注于十大創(chuàng)新廠商，感覺他們是代表所有的創(chuàng)新方向。但實際上來說，我看了一下，今年的十大創(chuàng)新廠商其實大部分都是在解決老問題的一些新方法。可能新問題暴露的一些問題，并沒有在這個臺面上，或者沒有在這十家廠商有所體現。

我覺得這個方向就是國內的人去看這個東西，跟國外確實有所偏頗�？赡芪铱磭�外的這些廠商或者媒體，他們關注的都是一些新問題的安全，比如IOT的安全問題，現在比較關注的就是對細分領域，比如說車聯網Auto mobile的安全，包括醫(yī)療設備的安全、5G的安全、AI的安全， 他屬于這種關注于新的安全問題�？赡苓@本身就是一個新的趨勢，可能解決老問題的一些新方法也是一種趨勢。比如今年Innovation Sandbox最終的獲獎者本身就是一個用機器學習的算法解決GDPR或者Privacy的一個廠商。我覺得他就是解決一個老問題，但是用了一個AI的算法去解決。

對于我們來說，參照意義是有一些，但實際上來說，可能中國因為沒有這種執(zhí)行難度非常高的合規(guī)的東西，所以可能對我們是適用度不是特別高。比如今年進入Innovation Sandbox的十大廠商，做SaaS安全的，做其他類型的安全的，可能在中國SaaS環(huán)境都不存在，大家已經達成共識了�？赡芤�這個環(huán)境成熟之后才會出現安全。安全對于基礎設施、新的應用場景依賴度非常大，且是相對來說比較滯后，不可能這東西還不存在我們就考慮安全問題。大部分的情況都是屬于這種先業(yè)務或者先技術來蓬勃發(fā)展之后，才會有新的安全解決方案。

IT168記者：每年的“RSAC 創(chuàng)新沙盒”大賽都是RSA大會的熱點話題之一，對于Securiti．Ai的本次奪冠，您有哪些想法？

奇安信品牌及營銷中心 王培：

Securiti．Ai是做Privacy和隱私保護，以及GDPR合規(guī)的公司。我們也做了一些分析，因為美國成熟市場合規(guī)是強驅動，他前景非常廣闊，而且能在市場上能夠在短時間內賺到營收。 這是美國成熟市場客戶的剛需。

反觀回來，我們可以把它歸類成是一個數據安全的市場，他其實屬于數據安全的一個大范疇，包括如何保護個人數據、個人隱私。解決方案方面，我認為從技術上來講沒有特別亮的亮點。但他的確符合美國成熟市場合規(guī)的要求。

雖然國內也有相對的法律法規(guī)，但是基本上還沒有上升到美國的高度。在美國一旦觸發(fā)法律法規(guī)，丟失了用戶的數據，將會面臨很高的罰金和罰款，甚至會讓公司的CEO下臺。所以處罰力度會很重，這就逼迫了甲方用戶非常重視合規(guī)的需求，一定會去大量的投入。Securiti．ai獲得本年的RSA冠軍說明資本市場還是非常看好這個市場的潛力、市場容量。

山石網科聯合創(chuàng)始人兼首席技術官 劉向明：

實際上在國外，公司在合規(guī)性方面的要求比較多，在美國有對醫(yī)療的一些信息的保護。在歐洲也有GDPR，這些硬性條例的推出對企業(yè)的合規(guī)性來講是非常大的挑戰(zhàn)。所以企業(yè)的CISO對安全的投資方面，合規(guī)性是個硬需求。

在這方面來說，Securiti．ai給了一個對隱私數據保護非常好的一個手段，雖然從我們的個人的看法來說，也許他這個所謂的技術含量并不是一定很高。但是他確實滿足了企業(yè)的剛性需求。

綠盟科技首席技術官兼國際業(yè)務首席運營官 趙糧：

Securiti．ai用機器學習、人工智能等新的技術，把散落在互聯網當中的各種各樣的隱私信息進行發(fā)掘、分類、索引。并且呈現給用戶，讓用戶有條件、有工具去找到這樣的數據并消滅它。這是很好的一個技術服務，但是對于中國的產業(yè)界來講，我寧愿用另外一個方式來解讀。

大家知道在灰產當中，在DarkWeb當中有非常多的這樣的隱私信息散落，并被用來交易。他們不僅僅只是用于非法業(yè)務，而且依然被用來做滲透、用來做入侵、用來做社會學工程（攻擊）。比方說攻擊者詳細的掌握了你個人的信息，那么犯罪分子就比較容易獲取你的家人信任，從而獲取安全管理員的信任。所以說，去挖掘互聯網、DarkWeb上的這些信息也有助于保護我們的網絡安全。對于我們中國的產業(yè)界來講，這預示著有更多創(chuàng)業(yè)者有機會來找到這樣的隱私數據、個人數據，然后把它們消滅掉。

青藤云安全COO 程度：

Securiti．ai就是用新的方法去解決老的問題，就是解決這些GDPR 、Privacy這種合規(guī)的問題。

作者：高博