RSAC 2020主题解读：构建以人为中心的安全策略

作为网络安全行业风向标的RSAC峰会即将召开。全球各地的安全专业人士再次聚集旧金山，交流新兴的技术和安全实践。与往届关注技术方向的主题不同，RSAC 2020的主题是：“人是安全要素”——关注信息安全社区中人的价值。

业界专家认为，尽管RSAC的主要关注点一直是网络安全，“人是安全要素“的主题非常适当且及时，它带来人与技术关系的新焦点。现代网络安全倾向于关注最新和最先进的新兴安全技术，但却经常忽视人的因素。

实际上，人现在已经成为网络安全这场全球性对抗的关键要素，不仅包括安全从业者和管理者，还有受安全决策影响的机构的所有最终用户。只有在我们认识到，网络安全从根本上是人保护人，这个世界才会变得更加美好与安全。

惟有构建以人为中心的安全策略，推动安全架构融入人的因素，推动内生安全，以及推动全员的数据安全意识，才能实现更好的安全防护。

人是安全最弱一环

RSAC在发布本次大会主题时宣称，网络安全不断发展，我们不断提出旨在阻止威胁的新策略和新方法。人工智能和机器学习等新技术比以往任何时候都更有效率地与不良行为者作战。高级恶意工具的日益普及、成本更低，使网络犯罪更加平民化。“人是安全的关键要素”这一基本认识似乎已被遗忘。 

但无论是安全防护还是攻击背后的恒久力量一直都是人。即便进入安全自动化时代，我们应对网络攻击的最宝贵的武器将永远是自己。 因此，进入21世纪的第三个十年，RSAC2020成为提醒业界记起“人是安全要素”这一基本认识的好时机。

信息安全人员经常将IT中人的因素解释为“人为错误”，视为数据安全机制中最薄弱的环节。最知名黑客Kevin Mitnick在15年前曾写道：人，而非技术，才是安全最弱的一环。在其畅销书《欺骗的艺术：控制安全中人的要素》，Kevin Mitnick证实了，即便没有高级的黑客技术，社工手段依然可以导致大规模数据泄露。

的确，很多情况下，网络安全事件是由恶意或者无意的人为错误所引起的。根据IBM的一项研究，人为错误是95％的网络安全漏洞的主要原因。此外，毫不奇怪，网络钓鱼是网络攻击主要的手段，越来越多设计良好的欺诈电子邮件，诱使员工打开附件或单击链接，甚至受过训练的人员有时也无法发现。 

因此，安全行业正在越来越多地投资于相关的技术、策略和标准，以将人为风险降至最低。安全顾问和分析师将安全意识培训评选为机构防范数据泄露的最重要行动。机构部署用户行为监控、内部威胁检测和数据丢失防护工具，旨在减少人员的恶意和意外威胁。

改变的视角：人成为行业驱动力

“人是安全要素”主题的很多方面都引发深入的对话，这与来自全球各地的安全人士相聚谈论网络安全、希望进行有意义人际互动的愿望相呼应。

 过去，我们在讨论“人是安全要素”的主题时，仅关注最终用户的操作行为，但是其意义远不止于此。“人是安全要素”的主题将改变我们观察与技术关系的视角，并告知我们在更依赖技术时，需要改变思维和行为的方式。无论安全防御和攻击的每个方面都有人的因素，这一因素的深刻影响，令网络安全中没有放之四海而皆准的万灵丹。

人是网络安全中的关键要素，这就是安全人员团结在一起的原因。安全人员需要认识到，正是这样的更高要求使我们进入了这个行业，更需要认识到所采取的行动会影响到人的各个方面。

作为安全专家，我们需要权衡安全与隐私、道德与盈利的关系，需要在可用性与合规性、责任与授权之间做出艰难决策。安全专家所保护的不仅仅是数据，还有最脆弱的人以及生活的各个方面。人不仅仅是安全专家人员可以强迫遵守安全最佳实践的目标，人是有感觉、忧虑和需求的。有效的安全策略需要解决这些人的因素。

例如，如果实施了强大的密码安全策略，却未解决人寻求便利的趋势，大家将找到绕过规则的方法。比如，以纯文本形式记录下来、将密码保存在浏览器中，或者在未经批准/个人站点上重复相同的密码。安全专家，需要为用户提供有效的工具，帮助用户轻松管理密码。 

安全人员实施工作环境监视时，期望提高生产率并减少内部威胁和数据泄漏。但如果忽略员工的隐私，不仅冒法律的风险，更能制造文化上的裂痕，失去信任以及许多其他问题。这些问题将超过可以实现的安全利益，甚至引发新的安全风险。

以人为中心的安全策略

“人是安全要素”的主题意味着，制定“以人为中心”的安全策略，这是我们安全防护走向成功的关键，这不仅使用户更易于接受，从而推动其成功。正如RSAC所说：“安全是关于人保护人的事情。” 

我们应强调，网络安全架构应该为网络战士服务而不是为之制造更多麻烦。

云应用不断增长，网络流量不断增长，终端不断增加以及BYOD设备激增，网络空间正在迅速扩展。网络安全人员却面临前所未有的工作负荷：威胁的数量不断增加、复杂性日益提升，令全球机构不堪重负。

传统上，安全哲学和架构的构建没有考虑人的要素。随着越来越多的技术被添加到安全堆栈（通常以临时单点解决方案的形式来解决最新威胁），安全专业人员越来越难以保持对网络环境的整体可见性。安全产品不断集成到堆栈，网络环境的盲点开始出现。许多安全产品具有重叠的功能，导致不必要的冗余，无休止的重复警报轰炸安全团队，需要仔细地关联和分类。

我们还应该重视安全内生。在信息系统的规划和开发阶段，将安全要素贯彻其中，牢记“人为错误是安全漏洞的主要原因”，减少系统本身安全问题带来的潜在风险。国内领先安全企业奇安信将在RSAC2020展示其内生安全的理念与方案，显示国内头部安全企业，已经在从技术的跟随走向安全理念的创新与引领。

我们应认识到，数据安全是全员责任，而非仅是安全专家，需加强数据安全最佳实践的宣传。

为了获得成功，数据安全必须是一项集体努力，必须扩展到公司的各个级别。如果我们仅依靠安全专业人员和技术，从选举黑客攻击、深度伪造到信息武器化的所有问题都无法解决。 

重要的是宣传数据隐私最佳做法。只要有机会，就对人们进行教育和培训，诸如避免钓鱼邮件、检测社会工程攻击，采用基本保护措施以及报告垃圾邮件等。

此外，我们还应该增加安全意识培训的投资、推动网络安全意识培训的方式创新。将员工网络安全意识的培训超出PowerPoint模式，强调用协作、交互、娱乐、人性化和数据驱动的方式制定安全意识培训方案，正面影响员工行为，降低安全风险。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。