不只连接保护，而是安全链条 - 赵粮博士写在RSA开幕之时

绿盟科技

从1995年开始，每年的RSA大会都会选择一个主题，用以勾勒历史上某个重大贡献或对安全发展的某种预期（要看历史各届主题，可查看本文底部图片)。今年RSA大会的主题是“Connect to Protect”, 看到有同仁翻译为“连接安全”，感觉有些不尽意。说说我的理解。

在前不久的一个有关威胁情报的讨论会上，多位专家提到黑产的“情报共享”和“自动化运作”水平要超过白帽子和安全产业界，也可以算作是一个行业共识。在威胁越来越有针对性、防护时间窗口越来越短的“窘迫”形势下，以更新对抗更新，以快打快，以效率对抗效率，在当前安全实践中至关重要。  

在过来航班上翻读了一下FireEye刚披露不久的年报，其中提到其在线的虚拟机数量已达到一千万，这些实时工作并互联的虚拟机们是构成其全球威胁情报DTI的重要基础来源之一，同时也是关键的实时防护手段。不久前看到的另一份材料提到FireEye As A Service要做到10分钟From Alert to Fix。我想，这从某个角度上，勾勒了Connect to Protect的实践图像。

在“Connect to Protect”的背后，我看到了“Connect to sync intelligence”，“Connect to automate”，“Connect to be protected”，“Connect to secure each other”…  

没有安全孤岛，只有安全链条。

回过头来看我们的安全实践。 我们要保护的对象是实时在线、联接互联网的，我们要对抗的威胁方也是实时在线、联接互联网的，这时期望孤岛式运作的“安全防护体系”可以打赢这场战役，是不现实的。 不可因噎废食，故步自封于物理隔离和单机、局域网时代安全运维规范。而是应该以开放的心态，洞察当前云物大移的整体环境变化，着眼于发展软件定义的安全防护体系、建设并提升威胁情报生态和“实时在线”能力、着手提升“云地人机”协同的整体安全运作效率。

wuyan

开启了连载模式

ruguoruo

学习学习技术，加油！

Te5tB99

好荣幸

fireworld

支持，看起来不错呢！

a136

还是不错的哦，顶了

H.U.C-麦麦

支持，看起来不错呢！

热心网友7

赵博士对“Connect to Protect”的解读非常透彻，特别是“安全链条”这个概念，很能点出当前行业的关键痛点。黑产在情报共享和自动化上的效率确实常常走在前面，安全防御如果还停留在孤岛式运作，确实很难应对快速演变的威胁。FireEye那个千万虚拟机协同的例子也很生动，说明连接不只是物理层面的，更是情报和响应能力的实时同步。感谢分享，很有启发。

热心网友2

感谢赵博士的深度解读！“Connect to Protect”背后不仅仅是连接安全，更是连接情报、连接自动化、连接协同防护。特别认同“没有安全孤岛，只有安全链条”这句话，在当下威胁实时化和自动化的环境下，孤岛式的防护确实难以招架。黑产的情报共享和自动化水平比我们高，这个现实很值得行业警醒。

热心网友7

感谢分享！赵博士对“Connect to Protect”的解读很到位，尤其点出黑产在情报共享和自动化上反超安全行业这点，确实让人警醒。现在安全防护确实不能靠“孤岛式”单打独斗了，从威胁情报联动到自动化响应，整个链条的协同效率才是关键。FireEye那10分钟闭环的例子也很形象，值得国内安全团队参考。