RSA会议：反思和展望

关键要点

• RSA会议常常重复前一年的话题，缺乏创新。
• 行业内普遍缺乏对成功的明确度量标准。
• 采用新技术时，很多供应商未能解决根本性问题。
• 自动化和人工智能需要人与技术结合才能有效。
• 行业对安全前景的悲观态度需要改变。
• 人才培养需要系统性的发展计划，而不仅仅是参加年会。

在许多年来参加RSA会议的过程中，我常常感到惊诧的是，去年说过的大部分内容在次年仍会重现。有时这些信息会以新名称呈现，或用不同的方式表达，但通常情况下，没有什么实质性的改变。

造成这一现象的主要原因，正如我在二十多年的安全实践中所观察到的那样：我们不知道如何衡量成功。更重要的是，几乎没有人定义“成功”意味着什么。这使得我们在推动口号而非成果的过程中，任其膨胀。

作为一个行业，我们往往是在循环使用已有的概念，而不是进行创新。再次，许多供应商在谈论零信任（zero-
trust）。这其实是我们在1990年代就开始讨论的一个概念，即最小特权原则（principle of leastprivilege）。然而我们却再次陷入讨论这个原始概念，仿佛它是新的。我们必须面对访问管理的难度，目前我们尚未找到一个好的解决方案。

更广泛的经济生态系统显然对网络安全保护取得的成果感到不满意。我们常常沿用新技术来应对这些基本问题，希望这些技术能够神奇地解决问题。

以为例，最近有不少供应商在推广这种技术，用于提升安全自动化。然而，这些工具并不是自己运作并带来魔力的。如果我们无法手动完成工作，失败的自动化只会导致更大规模的快速失败。人工智能和机器学习系统只有在人类的参与下，才能做出关于训练数据和特征的智能决策，并提供当前系统未能做到的最后一公里分析。

举个例子，我让ChatGPT写了一篇。ChatGPT文章和我写的这篇文章之间的区别在于，自动化的文章缺乏批判性分析或评论，这两者都是不可或缺的。

此外，我对我们行业传达出的绝望感到担忧。不少展位宣传了管理安全的概念，认为公司必须将所有基本工作外包给众多供应商。这个假设是：客户无法自己保障安全。我很少看到有人在谈论如何改造整体的技术和安全环境，使得这些公司能够在威胁面前保持领先，而不是屡屡响应上一次的安全事件。

最后，我要对SANS提一些意见。作为一名要管理大型团队并负责工作力量发展的负责人，我是SANS的忠实支持者，但我认为人才培养需要的不仅仅是让我员工每年参加会议。公司需要一个系统性的项目来培养下一代人才，而这不仅限于学习课程中的网络安全技能。我认为对于这个问题需要更多的关注。个人而言，这需要我花费大量时间来提升团队的能力，以达到我对他们的期望。

因此，尽管在这个活动中有很多内容都是重新讨论，且人工智能的炒作达到高潮，但仍然有一些创新的亮点值得参与者关注。

John Bambenek，Netenrich首席威胁猎人