【RSA2018】绿盟在现场 |首日回顾：创新沙盒冠军诞生 区块链云安全百家争鸣

　　周一的旧金山Moscone Center，到处都在谈论着安全。Moscone Center r周边的街区多了很多安全公司的广告。展会人头攒动，站在街边，你会听到路人或热烈、或理性的从嘴里说出一些耳熟能详的名词和概念。这一天诞生了RSA2018创新沙盒大赛冠军，也迸发了关于区块链、企业级云安全和DevSecOps的思想火花。

　　创新沙盒大赛

　　下午13：30，每年的重头戏创新沙盒开始了。万豪酒店走廊上的电视，滚动播放着历年来进入finalist的公司，当前的状态和估值。

　　很多公司已被收购，在运营的公司估值也不低。今年大会的主题是Now Matters，在今日数字经济如火如荼的情形下，安全和数据隐私保护对经济创新会产生什么样的影响?如何在安全的前提下，保持风险和成本的合理平衡?今年创新沙盒的公司中，AI/机器学习理念占了半壁江山，又意味着什么?对于这些问题，相信每个人都会有自己的答案。在安全为业务创新赋能已成为安全行业共识的当下，我们应该清醒的看到，在这些挑战面前，安全行业提供的技术和方法还远远不能满足要求。

　　BigID成为最大赢家

　　祝贺BigID成为“RSAC2018最具创新性的创业公司”。来自世界各地的风险投资家，企业家和安全公司领导小组从10名决赛选手中选出了BigID作为获胜者。在过去五年中，本次比赛的前十名决赛选手已经获得超过12.5亿美元的投资。

　　比特币，区块链和智能合约的基础

　　区块链的研讨会座无虚席，内容主要涉及区块链原理、区块链安全分析，以及案例分享。从内容的深度来看，目的还是以科普为主，原因是区块链是今年第一次独立出现在RSA大会上，又是一个跨学科的综合性技术，公司CISO还不太清楚其产生的价值。但区块链能保证去中心化的信任，以及可回朔性等的技术原理，确实带来了很多想象空间。

　　在PoC的案例中，嘉宾David Chan介绍了一个去中心化的身份认证体系，能解决用户在看病时，政府、医院、药房等存储的用户身份不一致的问题，并在一定程度上提升用户体现的问题。

　　当然，需要清醒地看到区块链目前处于泡沫期，期待其解决所有问题是不现实的，区块链技术进入成熟应用前必须解决大量的技术问题，并提供合理的业务相关特性。例如在公司破产法有需要一定时间内撤销交易的规定，那么电子交易的区块链应用也应提供相关的机制，这就需要修改区块链的交易机制，或提供额外的中间件。

　　总之，从研讨会的话题和参会者的积极态度来看，区块链在国外同样引发关注。

　　CSA峰会：Cloud2018：企业级安全

　　来自CSA美国行政署的联邦风险和认证管理项目FedRAMP总监Matt Goodrich交流了《Lessons Learned from FedRAMP and the Future of Cloud in the Federal Government(FedRAMP案例学习和联邦政府的云未来)》。FedRAMP是美国版本云等保规范，FedRAMP(The Federal Risk and Authorization Management Program )联邦风险和认证管理项目是一个跨政府部门的项目，他提供了一套标准方法来进行安全评估，认证并持续监控云项目的产品和服务。

　　FedRAMP是与GSA，NIST，DHS，DOD，NSA，OMB，联邦CIO委员会及其工作组以及私营行业的网络安全和云专家密切合作的结果。FedRAMP评估过程由机构或云服务提供商(CSP)发起，使用符合FISMA并基于NIST 800-53 rev3的FedRAMP要求开始安全认证，并启动与FedRAMP PMO的合作。云服务商CSP必须对其IT环境实施FedRAMP各个安全要求，并聘请FedRAMP批准的第三方评估机构(3PAO)进行独立评估，以审计云系统安全，并采用FedRAMP提供安全评估程序包进行自审审查。

　　FedRAMP计划目标

　　通过可重新使用评估和授权过程加速安全云解决方案的采用;

　　增加对云解决方案安全性的信心;

　　使用一套经过FedRAMP认可的的安全基线标准集合来进行内部或外部的云产品认证的一致的认证方法，确保与现在最佳安全实践的 一致的安全方法;

　　通过安全评估的增加信心;

　　增加安全持续监控的自动化和接近实时的数据。

　　从目前来看，政府上云的趋势很明显，相对的，认证保护工作也都是紧锣密鼓的加强，FedRAMP和CSA云安全联盟合作，大量采用业界的力量，在认证等方法引导行业标准，并为政府上云保驾护航。国内的等保专家，可以借鉴一下美国的的做法。

　　安全多元化

　　多元化是使好的组织变得更好的核心，也是成功的要素。在今年的安全多元化研讨会上，拥有不同背景、观点和经验的发言人听取了会议参与者的意见。主题“Think Differently”，侧重于受世界变化影响的持续思维模式，这个世界正在迅速发展并引发伦理、商业、社会和情感考虑的变化，需要不断审查我们的定义。

　　DevOps Connect: DevSecOps

　　DevSecOps知易行难，Fannie Mae在实践过程中总结了一些实施原则，包括要与原有开发流程融合、加强开发团队安全培训、在编码阶段减少问题和尽力实现自动化等，值得后来者参考。

　　总结：

　　Now Matters，在数字经济的大潮下，安全行业应该有紧迫感，或迎上或被潮流抛弃。公众和社会期待着诞生更好的技术和方案。继续加油!