今年RSAC大会将于美国时间2月24日-2月28日举办, “ Human Element ” 的主题将关注点从技术拉到了“人”的身上。相比于去年的“Better”和前年的“Now Matters”,今年的主题颇有些探寻本质的味道和警醒意义。而处于疫情之中的中国安全从业者,也许会对今年的主题有更为独到和深刻的理解。

截至2月17日,共有681家全球顶尖的网络安全企业参会,受疫情影响参展商数量相比上一年略有下降。很多中国厂商临时取消了今年的展览,受影响的不仅仅中国企业,前两天IBM也宣布退出本次RSAConference。

我们粗略浏览今年的参展企业时,发现很多企业名字非常陌生,经过对历年参与RSAConference的企业进行了数据比对——统计结果显示今年有将近300家企业第一次出现在本次会议上,这也说明了网络安全是全球创新创业的热点领域之一。

我们用今年参展商的地址数据绘制了全球网络安全企业分布图。今年的681家参展企业或组织来自全球27个国家和地区。这张图基本与全球经济发展水平分布情况基本一致,全球的网络安全公司主要集中在北美、西欧、亚太三个区域。由此可见,网络安全产业与该地域的经济发展水平基本一致,这也符合马斯洛需求层次理论。

美国仍然是全球网络安全产业第一大国,参展企业480家,占比70%以上。以色列、德国各有30家企业参展。日韩近两年参展厂商显著增加,两国对网络安全产业的发展也是较为重视。另外,瑞典、挪威、瑞士、波兰、葡萄牙、南非、维京群岛(英属)、斯洛文尼亚、爱沙尼亚等国各有一家企业参展,网络安全呈现全球发展态势。

受疫情影响,今年中国参展企业锐减,中国参展商由去年的36家减少到8家,排在第十,这项数据并未能真实反映出中国网络安全产业的位序。今年的我国的参展企业是:

我们对今年的681企业的业务关键词及变化情况进行了数据分析,得出了2020年全球网络安全热词排行榜。

2020 TOP20 热词

Cloud security 云安全

Data security 数据安全

Network security 网络安全

Hackers & threats 黑客与威胁

Threat intelligence 威胁情报

Application security 应用安全

Endpoint security 端点安全

Governance、risk & compliance 治理、风险与合规

Risk & vulnerability assessment 风险与脆弱性评估

Artificial intelligent & machine learning 人工智能与机器学习

Risk management 风险管理

Incident response 事件响应

Zero trust 零信任

DevSecOps 安全开发运维

Threat management 威胁管理

Security operations 安全运营

Infrastructure security 基础设施安全

GDPR 通用数据保护条例

Authentication 认证

Identity management&governance 身份管理与治理

近三年 TOP20热词对比

2020 消失的热词(13个)

2020 完整热词一览

今年的热词中增量最多,即热度上升最快的3个关键词为:Zero trust(零信任)、Privacy (隐私)、DevSecOps (安全开发运维)

Zero Trust 范式转换

“Zero trust”这个在2010年提出的概念可谓十年磨一剑,现在终于成为了被广泛接受的安全架构。确实佩服理念提出者敏锐的洞察力,他发现了延续了二十余年的“城墙+护城河”防护体系的缺陷——无法满足云计算时代的安全防护需求。去年有39家公司打“Zero trust”标签,今年数量激增到91家,可以说零信任理念已被国外同行广泛接受。零信任不仅仅是技术,更是理念的转变,会成为未来十年主流的网络安全架构。

Privacy 立法与执法

这个词条是去年大热的GDPR的延续,紧随其后美国加州也颁布了CCPA法案,明确了企业数据收集、处理的方式,并规定消费者对其个人信息的控制权。在国内的《个人信息保护法》尚未出台,仍存在个人信息过度收集和非法使用的现象。在疫情期间,很多企业用大数据技术提供疫情相关信息查询的接口,使用者同时也是数据贡献者。

市场鱼龙混杂,虽国家有关部门规定需要依法依规采集数据,数据仅用于疫情防控需求,我还是有些担心。回京时,社区要求在一些小程序上填写个人信息,大局为重,虽有疑虑还是填写了。但这些单位和组织有能力保障我的数据安全么?疫情过后能不能删除这些个人信息?这都是问题。

DevSecOps 安全左移

DevSevOps的热度相比上一年也有较大幅度提升。过去的SDLC中,安全检查是最后一项工作。这个时候产品已经几乎开发完成,发现安全问题意味着返工,费时费力,妥协的方案就是补丁。

关于DevSecOps我看到过一句话能够解释这个概念,"Everyone is responsible for security."。每一个人都为安全负责,意味着将安全纳入到软件开发工作流程的所有阶段。虽然快速交付和安全交付本身存在一定矛盾,重要的是找到成本收益的平衡点。下面这张图能够帮助大家更好理解DevSecOps的理念。

声明:本文来自数说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。