【星际随笔之15】通俗解读让你看懂RSA信息安全大会的那些热点名词方向

星际随笔自去年年底开设以来，也受到了不少朋友的关注与好评。包括虚拟现实、云计算、人工智能、机器人等都已经涉及过了。的确这些都是近期的热门话题（比如明天谷歌围棋就要和李世石开战了，又吸引了全世界的目光）。但还有个也很有技术含量和前沿性的领域，我们也一直在关注——信息安全。

不出随笔，只是因为还没有合适的时机。正好上周开了RSA信息安全大会，就给大家解读一下大会上的热门技术方向与名词。

以下解读的方向与名词包括：APT、DDoS攻击、僵尸网络、CASB、SDS、TPM、威胁情报、EDR、DPL、鼠标劫持。

这些名词你都知道啥意思吗？如果你都知道的话，那就把这个窗口关掉吧……

如果还有不知道的话，那么可以看看我们的解读。这些名词都很生涩，乍看之下都不知道什么意思，我们尽可能通过打比方，举例子，用通俗的语言来解读，尽可能让大家都能理解，以更好地把握信息安全产业的未来趋势方向。

当然，必须承认，我们也没有做过信息安全产业，以下内容也是综合了很多资料得来的，未必准确。不到位之处请大家多指正与包涵。

APT全称Advanced Persistent Threat，即高级持续性威胁，是指利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

2010 年，卡巴斯基的一位安全专家发现在U盘上存在一种特殊的病毒——震网病毒，揭开了伊朗核电站遭受的多年黑客攻击的黑幕。某个国家为阻止伊朗核武器计划，通过APT渗透进伊朗核电站网络，导致伊朗核电计划五分之一的离心机报废。黑客从05年就开始潜伏在伊朗的核武器系统里了，通过定向对核物理研究人员家属的U盘发起攻击并传播病毒，再由U盘传播到核设施的主机上，黑客获得了对主机的控制权。黑客修改了核电站离心机的转速，比如原来正常是 30 转，改成 60 转，但是给工作人员显示的还是正常转速，工作人员根本不知道是什么原因导致的，最终伊朗核电计划五分之一的离心机报废。

另一起可怕而相似的攻击是在 2013 年，韩国农协银行。当时农协银行遭到了黑客的攻击，被黑客侵入2个月。2个月的时间里，黑客不仅破坏银行正在运行的IT系统，还破坏了全部数据副本。最终农协银行系统瘫痪，全部数据都丢失。一部分纸质数据通过人工上传回系统，而网上交易数据已经永远无法找回，农协银行不得不停业 3 天，在后期赔偿中付出了巨大的代价。

在APT型攻击中，攻击者很聪明，他们有针对的目标，在攻击的时候只针一个攻击目标，避免大量散播。当病毒被发现的时候，攻击往往已经发生好多年，攻击者把该拿走的信息都拿走了。APT攻击的目标，通常是高价值的企业、政府机构以及敏感数据信息。主要目的是窃取商业机密，破坏竞争甚至是国家间的网络战争。国家和国家之间的 APT 攻击，已经变得非常可怕。

斯诺登曾为美国国家安全局进行基础设施分析，他掌握了美国国家安全局大规模搜集个人信息的计划，这些计划中的黑客技术是很多安全专家都无法想象的。今天我们已经发现的震网攻击仅仅是美国05年的水平，安全专家说，现在的技术已经发展到即便你的电脑不插上电源线都有可能被黑客窃取到信息。（比如后面会说到的的鼠标劫持）。

「棱镜事件」爆发后，中国已明确成为遭受国际网络攻击最严重的国家之一。在APT攻击技术现状上，美国一支独秀，其他国家力量均衡。这所以形成这样的格局，是因为互联网的很多基础设施都是由美国确立的，比如基础协议、路由器、CPU 芯片和操作系统。

DDoS （Distributed Denial of Service）即分布式拒绝服务，指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

简单来讲，被攻击的对象可以比作是一家超市，黑客雇佣了大量社会小混混，这些小混混伪装成正常顾客，到店里拉住各个服务员收银员到处询问就是不购买东西，让真正想买东西的顾客买不到东西，从而达到扰乱超市正常经营的目的。

目前DDoS攻击手段呈两极化趋势，一是大流量/大包攻击，通过海量流量使得网络带宽和基础设施饱和，从而淹没网络；一旦流量超过网络的容量或者网络与互联网之间的承受能力，网络将无法访问，从而导致作为攻击目标的服务难以启用。二是慢速应用层攻击，即针对特定的应用或者服务缓慢地耗尽应用层的资源，比如，通过消耗HTTP应用的连接状态表资源，使Web应用瘫痪。

2015年锤子手机发布的时候，发布会当天的电商网站就遭到了DDoS攻击，致使客户数小时无法下单。据悉，锤子电商网站在发布会期间遭遇高达 10G 流量的 DDoS 攻击，这算是中等规模的 DDoS 攻击，攻击者大概会控制1000到1500台肉鸡电脑对锤子电商网站发送 DDoS 数据。而这仅仅是每天众多 DDoS 中的平常一起。

2014 年 12 月 20 日，阿里云发布声明称其遭受攻击峰值每秒 453G 的攻击，（国内一些中小城市总的宽带也不一定有450G）这也是历史上最大峰值流量的 DDoS 攻击。作为目前互联网攻击中最常见的攻击方式，DDoS 正变得越来越常见，也越来越便宜。DDoS 常见到像索尼这样的企业都用 DDoS 来攻击黑客网络：去年末，索尼影业被黑客攻陷，大量敏感数据泄露，于是索尼动用 DDoS 反攻存放这些数据的网站。目前甚至有黑客明码标价，打1G的流量到一个网站一小时，只需50块钱。去年圣诞节攻陷了微软的 Xbox Live 和索尼的 PSN 的中二少年黑客组织 Lizard Squad 则在网络上公开叫卖 DDoS 攻击服务，最低价格只有 6 美元。

进行DDos攻击一种方式是需要黑客控制大量“肉鸡”，或被称作“僵尸电脑”；黑客将大量主机感染僵尸程序病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络，这个网络就是僵尸网络。僵尸网络可以被利用以进行DDoS、信息窃取、网络钓鱼、垃圾邮件、广告滥点、非法投票等多种攻击行为，具有攻击手段丰富多样、隐蔽性强、有能力发动大规模攻击、以经济利益为目的等特点。

2013年有一个叫MDK的僵尸程序曾席卷全国。一个神秘团体用一款简称为MDK的后门程序，历时1年多时间，构建了一个覆盖百万用户、可远程任意操控用户手机的“僵尸网络”。被感染的安卓手机会出现在不知不觉中消耗流量，强行安装许多陌生软件，接收各种广告，手机被人操纵不听使唤等现象。MDK手机僵尸网络曾在7000多款热门游戏中植入了后门程序，用户的安卓手机只要下载了这些游戏，就会被被植入了后门程序，就会沦为任人宰割的“肉鸡”，而用户自己却根本无法知晓。（如果你的手机是安卓的，你有兴趣的话可以半夜爬起来看看手机，看它有没有在自动运行）

由此，我们大概可推出其整个僵尸网络的运作流程：运营者先是通过在正常的应用软件中植入后门程序等方式在网络上扩散僵尸程序构建僵尸网络；构建完僵尸网络后，幕后经营者通过恶意安装推广应用软件和虚增广告点击流量从开发商获得推广分成、出售用户隐私资料、盗取银行卡账号密码等方式获利，利润十分可观。

僵尸网络的命令与控制机制可以分为三大类，集中控制，P2P协议和Random（仍为理论模型）。目前对僵尸网络的检测方法有蜜罐技术、网络流量研究和行为特征分析等，但这些对僵尸网络的检测都是在遭受了僵尸网络的攻击后才被动地进行检测，较为滞后。在对僵尸网络的防御上，一方面是加强因特网主机的安全防御等级以防止被僵尸程序感染，另一方面是通过摧毁或无效化僵尸网络命令与控制机制，使其无法对因特网造成危害。但这些主要是针对集中控制的僵尸程序，由于P2P僵尸网络不存在集中的控制点，因此对P2P僵尸网络的反制将更为困难，目前也没有有效地检测和反制P2P僵尸网络的办法。

CASB全称Cloud access security brokers，即云接入安全代理。在gartner网站上的介绍如下：云接入安全代理是基于前台或以云端为基础的安全政策执行节点，位于云服务消费者和提供者之间，当云端的资源可用时将其与企业的安全策略整合连接起来。

Cloud access security brokers (CASBs) are on-premises, or cloud-based security policy enforcement points, placed between cloud service consumers and cloud service providers to combine and interject enterprise security policies as the cloud-based resources are accessed. CASBs consolidate multiple types of security policy enforcement. 

CASB最早由Gartner在2012年提出。CASB实际上属于一整套解决方案，从可视化、合规性、威胁防护和云安全保护四个核心来保障用户在使用云服务过程中的安全。以往在没有CASB的情况下，用户使用云服务时，数据和信息直接在用户的设备和云服务平台之间传输，之间往往缺乏安全防护或者防护很薄弱。这就给了黑客可乘之机。黑客只需在这之间任意找到一个弱点，就可以展开攻击，获取用户的商业机密，扰乱用户的正常运营以及达到其他目的。有了CASB之后，就相当于在二者之间建设起了一个安全防护处理中心，这个安全处理中心可以四个方面来提高用户使用云服务过程中的安全性。

一是对内部进行监控，防止源于内部的信息泄漏，掌控企业整体云服务使用和安全状况，从而建立可视化：

CASB可使企业统一查看数据、设备、用户和管理员的操作行为并了解到其内部影子IT（shadow IT）的类型、范围，使其可视化，使其看到有哪些员工使用了哪些云端应用。此外，部署在数据通道上的CASB还能够提供详细的用户和设备的日志记录，这些记录包含用户在云端应用上的详细使用记录。

二是从云服务信任评级、客户端云端的内容监控和审核日志来提供合规性管理：

接入公有云服务后，企业的数据和使用行为仍需要遵循外部法律法规和内部企业规范的要求。CASB为云端应用提供了很多合规管理，只要部署并管理好，就能减轻很多合规性的负担，弥补原本云端应用合规性的不足的缺陷。

三是借由加密、凭证化和数据防泄漏等措施保障数据安全：

企业出于监管和竞争的考虑，不论在什么位置，终端是否是用户自己的设备，数据是否是由云计算来处理和存储的，都需要对数据进行管控。CASB提供几种不同的数据安全手段，如数据防泄漏（DLP）、加密和凭证化，来实现更好的文件、业务和数据安全。

四是通过解决情报收集、账号劫持问题来保证威胁防护：

虽然云端应用可以减少很多潜在的安全威胁 (服务器、 存储和网络等等)，但是仍然有很多风险，云端服务供应商不能解决，或是单一一家不能全部解决的。网络钓鱼造成的盗号，在企业SaaS服务中仍然很常见，但是大多数SaaS厂商仍然缺乏对该风险的管控机制。

下面就是一套Office云服务提供保护的Adallom的CASB。

Adallom CASB从三个方面来检测保障安全。一是借助仪表板、审计追踪和报表来建立可视化，二是通过数据安全、eDiscovery和访问权限来保障控制，三是从异常行为、高危使用和安全事件的警报来进行数据保护。在平台框架上，Adallom CASB可以支持API、SmartPorxy或者二者混合的模式。Adallom CASB平台还可以支持扩展，组织可以将他们已有的IAM、DLP和SIEM扩展到云上，大大提高了用户的灵活性。Adallom 使用从所有部署模式得到的数据来获得深入、有价值的洞察（insight），这个洞察是关于从所有设备上获得的用户、数据、权限以及其活动的。所有洞察都是可以实施的，使得企业可以使用正确的安全政策。用户可以很容易地达到合规要求，例如云DLP，eDiscovery还有加密等。合规政策可以在Adallom的管理界面生成，或通过扩展原有的前台合规政策到云端。Adallom的独特模版使得任何应用都可以被支持，包括SaaS应用例如Box、Google Apps、Salesforce、Office 365、AWS等，甚至是企业自己开发的应用。此外，Adallom还有一个由云安全、机器学习和取证专家团队组成的Adallom实验室。这个团队与从Saleforce到微软的顶级云数据安全和云服务集团合作，分析从内部和外部所获得的安全情报源数据，以实时应对最新的安全局势变化。

代表全球新的安全技术方向的“创新沙盒”十家决赛入选厂商中，就有两家是从事CASB方向的公司，仅次于SDS方向的公司（3家）；而CASB在RSA2016第一天的全球云安全联盟（CSA）峰会上就已经成为了热点。加上近期资本市场的动态，CASB的热度可见一斑。随着IT基础设施走向虚拟化、资源化，IT业务走向云化、SaaS化，对云端和终端的身份、权限及数据安全、完整性、以及事件回溯的要求逐步成为刚性需求，CASB作为云端和终端的安全桥梁自然会迎来快速发展。

Gartner宣称，云访问安全代理位居2014/2015年度十大安全技术之首；2016年将有27%的企业把超过一半的IT运营放在云端。到2017年，33%的企业将采用云应用。而在另外一篇报告里，Gartner更是大胆的预言到2020年会使用至少一种的云接入安全代理来保障云服务安全的大企业会达到85%，而在2015年这个数字是5%。

SDS是今年RSA大会另一个热词。软件定义安全（Software Defined Security，SDS）是从软件定义网络（Software Defined Network，SDN）引申而来，并不是某种具体的软件产品，而是一种网络架构，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

简单的说，SDS就是安全硬件资源的虚拟化管理。

详细框架如下：

基于软件定义架构的安全防护体系将安全的控制平面和数据平面分离，分为三个部分：用户环境中实现安全功能的设备资源池，软件定义的安全控制平台和安全应用，以及安全厂商云端的应用商店APP Store。

首先，通过安全能力抽象和资源池化，安全平台可以将各类安全设备抽象为多个具有不同安全能力的资源池，并根据具体业务规模横向扩展该资源池的规模，满足不同用户的安全性能要求。

其次，一旦具备了底层的安全基础设施保障，安全厂商或有二次开发能力的用户可以根据特定安全业务需求，开发并交付相应的上层安全应用，以灵活调度安全资源，进行快速检测、威胁发现、防护和反馈。以往通过工程支持人员完成的人工服务，就可以通过单个安全应用或多个安全应用编排的方式交付给用户，以标准化的自动化流程完成整个项目的快速交付，在不同用户运维过程中开发的额外功能，都可孵化为该应用的标准功能，大大降低了公司的人工技术支持费用。此外，以往很多用户对产品的定制化需求往往需要花费产品线数月时间开发定制功能，但在新模式下，可由节省出的工程人员使用控制平台的应用接口开发安全应用，实现其功能，既能较快交付轻量级的应用，又能保持安全设备本身的高效、可靠。

此外，作为安全操作系统的安全控制平台，向上为应用提供编程接口，向下提供设备资源池化管理，东西向可适配不同的业务管理平台（如云管理平台、SDN控制平台和客户定制的管理平台等）。在内部，从这些不同的接口的获得信息转化成标准的安全策略、资产库信息、日志告警，并利用这些信息完成任务调度、智能决策和命令推送，将以往需要人工完成或半自动完成的管理流程转换成了接近全自动化控制。

最后，部署在安全云上的APP Store，将安全应用从云端直接推送到用户环境，改变了传统的线下安全交付模式。使得用户可以在非常短的时间内购买云端安全方案和安全服务，或更新原有的安全应用版本，以抵御互联网上大规模短时间内爆发的(1~n)-day攻击。

SDS提供了很多可改善企业安全性的优势，例如：

1.让企业可以跨越物理和逻辑界限管理特定的安全组和系统(例如，通过针对主机、应用和类似网络实体的政策)，这些已被证明很难有效地管理。

2. 简化移动、云计算和整个传统企业网络系统的动态安全域，让企业可以按意愿构建和拆除系统，同时，可以跨系统一致地执行安全政策，无论时间和这些系统的位置如何。

3.对于企业内已经部署的其他软件定义技术(例如SDN)，SDS提供与它们更好的整合，从而为入侵防御、身份和访问管理、数据丢失防护和地理位置等安全技术提供更加全面的自动化。

4.在更高层次专注于智能化，即在软件层，而不是硬件层，这允许企业架构师和安全管理人员把重点放在政策，而不是在较低水平运行系统。

SDS的缺点在于：

1.跨越可能不支持SDS的各种系统及平台配置、部署和执行安全政策时最初可能需要时间学习。

2.创建和管理安全政策可能会带来新型的复杂性。在你的企业部署该技术之前，应该明确谁、什么、何时、何地以及为什么等问题。

3.运行SDS仍将需要特定服务器硬件(在你的企业或者云中)。

4.价格可能是一个问题：虽然硬件相对便宜，大多数SDS产品都很昂贵，并有更高的利润。

5.恶意软件保护和内容过滤安全等技术的外围安全控制可能无法在这种水平扩展。

SDS由于其在控制平面上可灵活调整应用策略，快速更变安全业务，近年来迅速成为了业界热点。安全方案随着传统的数据中心的形态逐渐消失正在逐步发生变化。在基础安全层面，传统的多硬件盒子方案自然向基础设施云融合，SDS伴随着SDN的形成而产生并快速发展。

今年RSA大会上夺得 “创新沙盒”头筹的是一家叫Phantom Cyber的公司，其实就是一家SDS公司。Phantom Cyber的主要产品是“Phantom平台”，其实就是一个安全自动化和编排平台，可与企业现有的安全技术进行整合，将用户现有的各种截然不同的自有或第三方安全产品（如防火墙、终端产品、信誉服务、沙箱、SIEM等）整合为一个统一的可扩展平台。此外，Phantom依靠数字化“Playbook”(自动化安全响应的Python脚本)来执行安全操作响应，并可重复、可审计，且利用现有安全工具。Phantom公司通过逻辑架构来抽象化产品功能(通过Phantom App模式)为简单的行动，并可从Playbook进行自动化。这让Phantom可作为企业安全产品的操作系统。

除了Phantom Cyber，本次参加“创新沙盒”评选的公司还有两家公司是SDS方向的。一个是Versa Networks公司，其产品主要是让服务提供商和大型企业可基于广泛的网络功能虚拟化（VNF）技术来构建下一代WAN和分支网络。其强调在软件定义广域网（SD-WAN）和分支（Branch）网络的环境中，通过虚拟化网络功能（VNF）技术，将各种各样异构的网络功能编程通用的组件，可快速在相应的网络中部署，大大减少了企业部署相应业务的开销，提高了整个过程的敏捷程度。

另外一个是Skyport Systems公司，它开发了“超级安全”的基础设施，提供强化的内部部署服务器设备，并完全通过云计算来管理。该公司的逻辑是，所有的资源都是零信任，这样即便内部某资源被攻破，那么从该点作为跳板进一步攻击也是困难的。那么这里就涉及到软件定义的访问控制，例如如何做到“零信任”条件下各处的访问控制策略快速调整。

Versa Networks: Network and security functions in software

DLP，（Data leakage prevention）数据泄露防护又称为“数据丢失防护”（Data Loss prevention, DLP），或“信息泄漏防护”（Information leakage prevention, ILP），但不论何种叫法，都是指通过一定的技术手段，防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。

DPL是今年RSA大会一个经常出现的词。入围创新沙盒的10家公司里，有2家都是DLP相关的：SafeBreach公司、Vera公司。

据悉，因内部重要机密资料而造成重大损失的事件中，只有极少部分是被黑客直接窃取的，绝大多数是由于内部员工有意或无意泄漏造成的。

传统的资料泄密主要有三个途径：

一是使用泄漏，如操作失误导致数据泄漏或损坏或通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据；

二是储存泄露，如存储数据的服务器或数据库被共享或随意下载、被内部人员用移动存储设备拷贝走机密资料或储存资料的设备被盗、丢失。

三是传输泄漏，通过电子邮箱、QQ、微信等轻易传输机密资料或通过网络监听、拦截等方式篡改、伪造传输数据。

DLP相应的解决方案就是根据相应的泄漏途径，从数据储存、传输和使用三个方面来保障数据安全。

DLP数据泄露防护解决方案以数据资产为焦点、数据泄露风险为驱动，依据用户数据特点（源代码、设计图纸、Office文档等）与具体应用场景（数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等），在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段，为用户提供针对性数据泄露防护整体解决方案，保障数据安全，防止数据泄露。

其中由数据安全网关保证应用安全准入、统一身份认证、下载加密上传解密、提供黑白名单机制和提供丰富日志审计；数据安全隔离桌面可以保护安全区内敏感数据安全而不妨碍正常访问外部网络与资源；电子邮件数据安全防护和U盘外设数据安全防护保障数据的传输安全；笔记本涉密数据隔离安全保护系统在保证涉密数据隔离、防伪身份认证、防止数据非法外泄的同时不妨碍用户的合法使用；笔记本电脑及移动办公安全和文档数据外发控制安全确保客户在外使用敏感资料时的安全。

笔记本涉密数据隔离安全保护系统

Threat Intelligence即威胁情报是2015年RSA大会的热点，今年再次成为诸多厂商关注的话题。威胁情报是基于证据的知识，包括上下文、机制、指标、隐含和可操作的建议，针对一个现存的或新兴的威胁，可用于做出相应决定的知识。简单地说，威胁情报就是能帮助你识别安全威胁并做出明智决定的知识。

我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型的安全威胁情报。 而随着新型威胁的不断增长，也出现了新的安全威胁情报，例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报，等等。这些情报对于防守方进行防御十分有帮助，但是却不是单一的一个防守方自身能够获取和维护得了的。因此，现在出现了安全威胁情报市场，有专门的人士、公司和组织建立一套安全威胁情报分析系统，获得这些情报，并将这些情报卖给作为防守方的企业和组织。

安全威胁情报市场现在是一个很大的新兴安全细分市场。今年有多家厂商在RSA上展示了他们最新的威胁情报产品，例如FireEye的高级威胁情报（ATI+），其从FireEye全球传感器（核心是其大名鼎鼎的沙箱系列产品）中提取威胁数据，并与旗下公司曼迪昂特（Mandiant）的事件响应数据相融合，产生情报产品。FireEye目前能够提供战术、战略和运营情报。值得一提的是今年它收购了老牌的威胁情报厂商iSightPartners，使其在威胁情报方面的实力更上一层楼。

EDR（Endpoint Detection and Response）全称“终端检测与响应”，是今年RSA大会上的另一大热门话题：在大会现场随处可见“未来终端安全”标幅，相关安全展商超过130多家，表明了当今人们的安全理念正在发生改变——由原来推崇防病毒软件的防御，转为终端威胁检测和安全响应。

RSA总裁Amit Yora在大会演讲中强调到，当前安全挑战和以往相比已经发生了翻天覆地的变化，安全企业需要寻求新的途径来应对安全挑战，那就是更加重视监测和响应，仅靠拦截来保障安全是失败的策略。Gartner副总裁兼著名分析师Neil MacDonald也强调，信息安全的关键是纵深防御，单靠预防来抵御攻击是徒劳的，更重要的是快速检测和响应攻击。Gartner预计，IT安全预算将会用在安全检测和响应上的占比会从当前的10%上升到2020年的60%。

频发的数据泄露事件表明了现有安全防护手段的瓶颈。对安全厂商来说，终端上存有关于攻击的重要威胁情报。因此，在针对黑客的斗争中终端仍是争夺的重点。但是，传统的防病毒技术对高级威胁防范几乎发挥不了作用。HEAT Software在RSA上发布的数据显示，全球七百多位安全人士所关注的4大安全问题中与终端相关的有3个。

2015年，以“终端检测和响应”（EDR）命名的下一代终端产品成为各大安全厂商争夺的新领域。Cybereason、enSilo、Hexis、SentinelOne、Tanium、Triumfant与Ziften等新兴的下一代终端公司与老牌安全公司Intel McAfee、赛门铁克、趋势科技、Palo Alto Networks以及RSA Security纷纷加入EDR领域的混战。作为EDR领域代表企业Tanium，还未上市估值就已经达到了34亿美元，成为独角兽俱乐部的一员。

例如此次大会上有一家叫Carbon Black便是的EDR工具提供商，被Bit9公司在2014年收购。Carbon Black服务器既可以在本地部署，也可以作为云服务来提供。终端感应器持续记录和发送所有执行的行为、文档与注册表修改、网络连接至集中的管理平台进行安全分析。用于未知威胁检测的方法包括行为监测、传统基于声誉的IOC情报(Carbon Black提供)。订制的模式检测也可以帮助应对持续的新攻击。应对和隔离措施包括禁止可执行文件、网络隔离、过程终止和软件升级等。

从检测终端上未打补丁的漏洞和可疑事件，到隔离、调查和补救漏洞，再到事件发生后，与网络上其他人员共享攻击情报，终端响应和检测（EDR）几乎无所不做。Gartner 预计，到2018年，80%的终端保护平台将加入EDR相关的用户活动监测和取证功能，而2013年这一数字仅为5%。

TPM (Trusted Platform Module，可信平台模块) 是一个国际性的安全加密处理器的标准，这个加密处理器是个把加密密钥整合进设备的专用微处理器。TPM规范由国际行业标准组织可信计算组（TCG）制定，中国国内研究的TCM（trusted cryptography module,可信密码模块）与之对应。

TPM的主要作用是利用安全的经过验证的加密密钥带来强大的设备安全性。TPM功能的核心是签注密钥，这是在生产过程中内置到TPM硬件的加密密钥。这个签注密钥的私钥部分绝不会出现在TPM外部或暴露给其他组件、软件、程序或个人。另一个关键密钥是存储根密钥，该密钥也存储在TPM内;它被用来保护其他应用程序创建的TPM密钥，使这些密钥只能由TPM通过被称为绑定的过程来解密，TPM也是通过该过程锁定数据到设备。与签注密钥不同，只有当TPM设备第一次被初始化或新用户获得所有权时，存储根密钥才会被创建。由于TPM使用其自己内部固件和逻辑电路来处理指令，这能够抵御针对操作系统的基于软件的攻击，这意味着它可以为需要加密服务的任何进程提高安全保护。

除了安全生成和存储加密密钥外，TPM还可以通过平台配置寄存器(PCR)机制来记录系统的状态。这允许TPM进行预启动系统完整性检查，也被称为远程证明，这是一个功能强大的数据保护功能。通过将数据加密密钥存储在TPM中，数据可以有效地受到保护，其中TPM有一个参考值来检查PCR状态。只有系统状态与存储的PCR值匹配，这些密钥才会启封和使用，并且，只有在满足特定硬件和软件条件时，才能够访问系统。远程证明也可用于自修复系统。例如，当谷歌Chromebook通电时，TPM会测量BIOS。如果这个测量和PCR值不匹配，Chromebook会在继续启动之前回到上一个已知信任状态，这显著降低了设备遭受物理盗窃或软件攻击的风险。

TPM设备独特的签注密钥也意味着，它可以被用来验证设备，而不是用户。这个功能可以结合所有802.1x兼容的网络政策执行点(例如防火墙、交换机和路由器)来提供基于硬件的身份验证。无线和虚拟私有网络也可以配置为执行基于硬件的身份验证。利用硬件水平的安全服务能够提供比纯软件机制更好的保护。根据Aberdeen公司2012年的报告显示，利用这种身份验证机制创建硬件信任根基的企业遭遇的安全事故要比其他企业低50%。

TPM是多年被忽视的一个没有得到充分利用的防御工具。现在很多设备(从计算机到手机，甚至到汽车系统)都包含TPM加密处理器。这些安全集成电路提供了基于硬件的加密和安全功能，例如系统完整性检查、磁盘加密和密钥管理，并且都是以机器速度进行。全磁盘加密应用程序(例如微软的BitLocker Drive Encryption和WinMagic的SecureDoc)也利用TPM，同时，双因素身份验证中使用的与指纹和智能读卡器相关的密钥可以存储在TPM芯片中。

但TPM也存在缺点，例如，虽然数字版权管理(DRM)并不是TPM的预定用途，但一些企业还是担心隐私问题，因为它可以用来提供强大的DRM和执行软件授权来锁定内容到特定机器和识别用户活动。对于企业来说，这里的主要缺点是，通过存储密钥在终端的TPM芯片中，基于TPM的身份验证会绑定用户到单台电脑。这使得多设备使用(例如在线办公桌面)变得不可能。此外，TPM的主要目的是为密钥提供安全存储，这意味着，数据只有在静态才会受到保护，在使用过程中则没有保护。

本次展会上，首家物联网安全公司Bastille公司深入研究了的MouseJack（鼠标劫持）受到关注，即允许黑客通过无线键鼠入侵计算机的漏洞。Bastille测试发现，无线鼠标的点击信号往往不会被加密且没有身份验证机制，这就使的攻击者可利用MouseJack漏洞，通过假冒的无线电脑鼠标设备入侵笔记本电脑。Bastille已将发现包括罗技、微软、亚马逊等在内的13种鼠标和键盘都存在这种漏洞。

这种无线威胁的攻击形式，在工控领域中也有类似的形式，2013年《工业控制系统及其安全性研究报告》就曾经分析过攻击者利用现场无线网络干扰生产的攻击场景。虽然因工业控制系统工作环境相对封闭、多采用专用通信协议且很难获得系统分析样本而很少遭到入侵攻击；但工业控制系统目前普遍存在一些很严重的问题，安全性脆弱。而近期出现的乌克兰电力攻击事件，则是黑客利用社会工程学，诱惑被攻击者打开文件，运行木马，安装SSH后门，保证攻击者可以长时间控制被感染的主机。

虽然目前市面上已经有很多的APT、DDoS解决方案了，但这些解决方案还是无法从根源完全消除APT攻击、DDoS的威胁。就和当今市面上已经有很多抗癌、抗艾滋病的药物、治疗方案一样，可以减轻、在某些情况下治疗疾病，但是还是无法完完全全地治愈患者。因为解决不了，所以一直是重点……

从专业能力来看，传统防御手段由于APT攻击的出现已经失效，沙箱和大数据安全分析成为各大厂商投资的重点。回首过去几年，由于新的威胁不断出现，市场不断细分，新安全厂商层出不穷。传统安全厂商通过收购、联盟、开源、建立生态、标准布局来补齐APT防御体系的不足成为趋势。

从安全覆盖的领域来看，云、无线化、IoT的发展带来安全新机会。安全防护的范围已经从保护网络扩展到保护云以及保护联网物。安全防护的复杂度由于接入设备的多样性而迅速提升，从而导致必须依赖于安全大数据分析技术的革新，以及整网安全产品的协同和联动。云安全是其中最重要的。

云安全随云服务产业的快速发展而起，用户在将服务向云端迁移的过程中，安全防御的重点自然也要向云端迁移。

中小企业出于成本和规模考虑，也会倾向于选择公有云安全SaaS服务。此类安全云服务具有简化、弹性和便捷等特点，符合中小企业相对简单的需求。大企业虽然可能大多不愿将企业信息数据完全部署于云服务商，但是其在未来很长时间内至少会采用混合云模式，主要原因在于信息和数据安全、安全设备可靠性、安全云服务质量这几方面。

由此，CASB和SDS技术受到越来越多的关注，逐步由概念演化为多个成熟的解决方案。国内厂商在这方面虽然还比较落后于国外，但已经有在做积极的尝试了。

此外，信息安全的一块重要阵地是加密，也贯穿于各种安全技术之中，对于TPM、DLP的关注与热议久经不衰也不足为奇了。

2015年全球信息安全市场规模已经超过90亿美元，产业链竞争格局加剧，信息安全的需求和态势也在发生不断变化。RSA总裁在大会上的演讲指出了当前安全行业面临的挑战和应对的策略。他认为：

1.过去一年安全行业没有赢得攻防最后的胜利，安全行业也没有走在完全正确的道路上，随着IoT设备的普及，未来安全形势将更严峻；

2.防火墙和沙箱等防御技术并没有起到作用，安全防御是个失败的战略，快速检测及响应将迎来快速发展；3. 传统的安全信息管理系统(SIMS)不能发挥作用，在未来对网络进行分析，实现完整的网络可视化时，人工智能和机器学习将发挥重要作用；

4. 仅仅依靠技术本身也不能解决问题，要战胜黑客需要培养“创新”“专注”的文化；

5. 不能为简便监视而弱化加密，那样是十分愚蠢的。

再说下此次RSA大会的中国企业。今年有17家中国企业设立展台，而去年不超过10家。在参展商数量上，中国名列前茅。这些厂商，无论是连续数年参展的，还是首次入驻的，都展示了各自核心产品和技术。这是否说明国产安全势力正在迈出进军国际市场的步伐呢？

17家企业里，涉及的A股上市公司包括绿盟科技、启明星辰、飞天诚信、华三通信（紫光股份）。其中绿盟科技、飞天诚信等都已经连续多年参加RSA大会了，是本土安全企业海外拓展的先行者。

其他参展的知名中国企业还包括360、华为、猎豹移动、天融信等。在此不一一展开了。