作為國際上最頂級的網絡安全會議，RSA會議通過主題演講、沙盒、數字博覽會、研討會等多種方式向全球網絡安全相關人員傳遞最新發展趨勢、熱門技術以及行業人士專業見解等內容，每天的會議內容都安排的異常豐富。在第二天的RSA會議上，針對基礎設施安全、軟件開發安全、NIST標準、DevSecOps等多個主題方向，展開了精彩紛呈的演講。

01 演講主題：《未來極限計算的網絡安全》

演講者：Dr. Anne Fitzpatrick（網絡國家安全局副密碼學國家官員）

Dr. Anne Fitzpatrick在這次演講中介紹了HPC高性能計算的發展現狀和未來的網絡安全問題，同時對HPC的未來發展進行展望。

HPC，即為High Performance Computing，具有高性能優化、包含特定硬件及軟件、規模和計算速度要出類拔萃等特點?，F在HPC領域是一個稀有但仍很重要的領域，考慮到政府投資不足等多方面原因，HPC在過去25年中很少有創新。

在談到網絡安全問題時，以Exascale項目為例，Dr. Anne Fitzpatrick介紹，雖然項目進展順利，但HPC的可靠性隨著規模的增加而降低，同時技術、社會、政治力量等因素也會對HPC的安全問題產生影響，從國家安全角度考慮，確保供應鏈安全十分關鍵。

在談到HPC的發展趨勢時，Dr. Anne Fitzpatrick認為需要用全局和生態系統思維去看待HPC的未來，HPC將從按照預制指令執行的機器轉移到基于海量數據并且可以“學習”的認知系統，這其中，通用處理器將越來越少，更多的是轉向專業化和“design your own”的模式，也許再過40年，我們將不再像現在這樣認識HPC。

立足當下，Dr. Anne Fitzpatrick認為HPC的幾個發展方向包括“泛在計算”和改進跨學科的網絡安全研究與解決方案以及重新考慮HPC勞動力的發展等。

02 演講主題：《 DevSecOps聯盟的發展現狀》

演講者：Shannon Lietz（Intuit公司DevSecOps總監）

什么是DevSecOps呢？DevSecOps是DevOps的擴展，它被認為是一種相互交織的方式開發、運營、安全。DevOps起源于敏捷文化，特別強調快速開發和部署，但在實現快速價值交付的同時，安全性軟件開發過程中也帶來了風險。因此，一些有安全問題的公司開始考慮安全的DevOps應用，這就是DevSecOps?！鞍l展、運營、安全是根本，安全和DevOps必須演變成一個新的愿景”，Shannon Lietz引用灰色文獻綜述(GLR)所選的文章。

Shannon Lietz在演講中講到：DevSecOps是伴隨著軟件質量和安全的發展而出現的，最初是為了支撐編制最“堅固”的軟件手冊，解決DevOps應用中的安全問題，所以DevSecOps的第一個成功經驗是必須與軟件看齊，把軟件質量由原來的創造價值和可用推向創造信任和便捷發展。DevSecOps另一個成功經驗是，安全專業人士越來越意識到需要在流程的早期左移，加強安全與開發人員的互動和敏捷發布，這樣能夠大大減少軟件后期返工帶來成本。隨著 DevSecOps 的成立，更多學術組織和企業對 DevSecOps產生了學術興趣和勞動力投入， Gartner 在2020年發布的應用安全有關報告中加入了DevSecOps 產品類別，進一步轉化了DevSecOps聯盟的市場效益，加速完善了產品供應鏈。

當然，DevSecOps也有失敗的經驗，需要掌握軟件開發運營全生命周期的技能，以及過程中的不可控性、假陽性、審計要求等，這些都會對DevSecOps的應用實踐造成打擊。幸運的是，經過史詩般的斗爭，DevSecOps聯盟克服了這些困難，形成了DevSecOps發展的能力、文化和技術，同時，安全運用目標更加明確，流程、基礎結構和協作也更加完善等。因此，我們更應該關注DevSecOps接下來會發生什么，就像Gartner2020年預測的一樣，DevSecOps被定義為在應用程序開發過程中應用安全的過程已成為共識，DevSecOps市場在2021-2028年期間將實現高速增長，我們主要任務就是利用新技術實現應用程序所需的安全協議和過程的自動化。

03 演講主題：《CISA如何為規劃基礎設施防護線路》

演講者：Joshua Corman（CISA醫療部門首席策略師）、Sounil Yu (JupiterOne CISO和研究部主管)

在《CISA如何為規劃基礎設施防護線路》演講中，演講者表示了解CISA在規劃基礎設施防護線路時所使用的方法，以及如何使用該方法來制定技術戰略是非常重要的。因為目前我們許多基礎設施的安全防御都是不夠的。

CISA的目標是捍衛今天，保障明天。如上圖中兩個互相倒置的金字塔，捍衛今天由上至下包括對策、情境缺失、操作混亂、無法防御的基礎設施；而保障明天由下至上則包括可靠、操作規范、情景明確、對策一致的基礎設施。

網絡防御矩陣是CISA的基礎，它能幫助機構快速了解當前的安全態勢以及如何改進?；A設施防御的質量則體現于DIE三原則，即分布性、不可變性和短暫性。將DIE應用于可防護基礎設施中更容易發現差距和機會。

04 演講主題：《三合一：三個NIST框架的分解和重組》

演講者：Dave Weitzel（MITRE政策和標準負責人）、Julie Snyder（MITRE首席網絡安全與隱私工程師/NCF隱私領域負責人)、Christina Sames（MITRE首席網絡安全工程師)

NIST的風險管理、網絡安全和隱私保護框架都是用于改進企業的風險管理，雖然框架各自不同，但它們以某種方式優勢互補，使它們成為任何組織中有價值的風險管理工具。

網絡安全和隱私兩個框架都包含核心層(Core)、概要層（Profiles）和實現層（Implementation Tiers）幾個組成部分。核心層里包含組織用于開展風險管理的一系列活動和成果物；概要層是核心層里核心的子集，用于解決達成組織目標時遇到的風險；實現層幫助組織確定是否有足夠的風險管理實踐和資源以達到其目標。風險管理框架由準備、分類、選擇、實施、評估、授權、監控等一系列步驟組成。演講者介紹了網絡安全和隱私框架如何促進風險管理活動的，比如在風險管理過程和活動中，核心層和實現層上可以提供更緊密的聯系和溝通，概要層上可以在組織任務/商業目標和網絡安全、隱私活動之間建立聯系，同時可以避免一些需求上的沖突。演講者建議，要理解三個框架以及它們之間的關系，建立框架概要手冊，明確風險管理實施步驟，將概要設計和風險管理框架應用起來，實現三個框架的融合。

05 演講主題：《工具時刻:構建您的網絡安全架構規劃工具箱》

演講者：Diana Kelley（Founder & Partner SecurityCurve）

Diana Kelley和Ed Moyle為我們介紹了在構建網絡安全架構規劃時所用到的分析工具、信息工具和設計工具，針對如何構建架構工具，以及在何時何處使用這些工具來成功且安全地實施架構進行了詳細解釋。

一個成功的安全架構應該是統一的、規范化的、并且是可重復的，在架構設計時應當遵循適應當下環境、避免過度投資以及考慮全面幾個核心原則，一個架構設計通常需要了解當前狀態、通過測量和驗證、標記未來狀態三個過程，而工具支持著每個過程。

通過分析工具，可以實現當前狀態，風險和威脅的梳理，并通過有效性、成熟度和效率三軸進行建模分析，來幫助您了解如何做一個安全任務。其中，成熟度關注的是安全流程是否可靠且具有彈性，可以參考 CMMI的成熟度或能力、流程實施和 CMMC的技術、成熟度評估等；效率關注的是安全資源被合理優化地使用，通過經濟建模工具了解了各個控制措施的成本。

通過信息工具進行收集、跟蹤和分析企業所在環境信息，然后通過可視化的指標進行展示。

通過設計工具進行建模，可幫助編纂和合并架構規劃，利用ArchiMate或UML等標記語言進行更好地設計。

最終，將分析工具、信息工具和設計工具進行有效的結合，進而充分展現可視化、頭腦映射和流程協同的作用，以此來設計最適合企業的網絡安全架構。

06 演講主題：《科學方法：安全混沌實驗&攻擊數學》

演講者：Kelly Shortridg（副總裁, Capsule8）

安全混沌工程提出了一種新的方法，利用科學的方法和攻擊者數學來形成有效的防御策略。Kelly Shortridg通過用決策樹來假設攻擊者戰略，然后探索使用這些動態威脅模型來制作實際實驗，以獲得對系統復原力的信心，并做好應對事件的準備。

一個科學的方法包括以下步驟：提出一個真實問題、提出假設、進行實驗、將觀察結果與預測相比較，并輸出報告結果，基于結果重復、不斷修正你對現實的認識等。那么什么是決策樹和安全混沌工程呢？安全混沌工程（SCE）一般使用infosec的科學實驗方法，了解系統是如何運行的，通過有計劃的經驗實驗、有意引入失敗等，創造學習文化，發現系統的真實性，提高系統的安全性。但是實驗是在假設之后進行的，那么如何提出假設呢？我們必須對現實作出假設，為我們的實驗提供信息，在沖突的情況下，還必須對對手作出假設，而決策樹是最好的方法，它通過“信念激勵”幫助人類改進假設，了解特定攻擊者。這就是決策樹與安全混沌工程。

如何使用決策樹與安全混沌工程？Kelly Shortridg講解了一個詳細的案例，利用決策樹與安全混沌工程，用完整的決策樹映射出攻擊者可能采取的行動范圍，分析攻擊路徑，在容器中構建攻擊樹隱礦工，搶占攻擊路徑的先機，加大攻擊投資和復雜度，從而讓攻擊者知難而退。決策樹攻擊路徑映射分析邏輯圖如下：

總的來講，決策樹和安全混沌工程提供一種研究攻擊價值和目標價值的科學方法論，通過明確組織目標，構建攻擊目標優先級矩陣，構造Y-響應=X-假設的攻擊函數，建立SCE實驗，形成新的肌肉記憶來應對突發事件，使攻擊事件變得無聊，同時讓我們的目標資產更安全。

07 演講主題：《開發人員不喜歡安全的十大原因與解決方案 》

演講者：Christopher J. Romeo（安全之旅CEO）

DevSecOps是構建彈性網絡提供安全能力的重要技術手段之一，Christopher J. Romeo認為Dev和Sec的連接是斷開的。究其原因在DevSecOps世界中，開發人員成為了安全人員，但開發人員不了解安全，卻經常嘗試強制執行流程和工具集，導致開發人員不喜歡安全相關工作，所以Dev和Sec的連接是斷開的。Christopher J. Romeo總結了開發人員不喜歡安全的十個原因與解決方案，提出通過協作文化解決開發人員不喜歡安全的問題，十個原因如下圖所示：

例如：沒人教我如何“安全”的問題，Christopher J. Romeo的解決方案是通過撰寫“如何做”的安全指導、授權團隊、推廣教育三步建立安全實踐手冊和培訓計劃。培養協作文化、提升同理心、與開發人員同在、隨時聽取開發人員的意見、詢問他們需要什么幫助的反饋，并制定教學和指導的解決方案，由此解決開發人員的困難，其他9個原因Christopher J. Romeo均提供了類似的解決方案。

最后Christopher J. Romeo提出需要站在開發人員的立場、與開發人員共同工作一段時間，與之共鳴，建立程序化的方法，實施解決方案解決開發人員與安全的緊張關系，使Dev和Sec建立正確的連接。