为期一周的RSAC 2016即将落幕，作为网络安全行业的风向标，在为期一周的会议和展示中，RSA继续以深刻的产业思考和前瞻性的趋势和方向把握，启迪并引领网络安全行业变革、创新和前行。

360在RSAC 2016

作为全球领先的互联网安全企业，360公司在RSAC 2016上向世界展示自己的威胁情报系统、移动安全等创新产品和技术思维的同时，也在与全球安全同行最先进的“生产力”交流碰撞，开始全面融入并引领世界前沿网络安全技术潮流，同时由多位安全专家组成的360团队也在用他们的视角深度观察和思考RSA上的趋势、潮流和亮点，以下让我们来一一了解这些安全专家眼中的RSAC2016。

每年的RSA都会提出一些新的概念，例如去年就提出了“威胁情报”，并围绕着它提出了一些新的理念，今年最大的感触是国外的很多厂商都可以迅速的把这些概念变成落地的产品，而国内安全厂商把概念变成产品的能力偏弱，有些只是在借助着这些概念来炒作。

其次，对RSA最大的印象，也是这些年一直伴随我的一个感触就是：国外通过连接、协作的方式解决了很多问题，并与黑客产业链进行对抗；而国内这种生态不是很好，这就造成了一个很大的问题：每一家的产品线都很长，缺乏协作，导致精力分散，这就很难与协作很好的黑色产业链对抗。另外国外对于创新性公司的态度是全力支持、鼓励和协作。在威胁情报、响应和自动化、工控领域都涌现了非常多的创新性公司。

从今年的RSA整体看，国内与美国在很多领域的差距明显在缩小，在某些领域已经接近甚至领先，尤其是在一些非常新的大领域新概念上，比如大数据、威胁情报等。

据统计，除了本土的美国厂商之外，中国厂商居是有展位的海外参展商中最多的。但从整体情况看，真正能够在美国落地有业务的，除了360 Total Security，绿盟科技，飞天之外并不多见。可见除了能够在RSA上的亮相之外，想做到业务的开拓，并不简单。

对于大数据安全分析领域，有更多的应用在逐步落地。在整体安全概念的理解上，主流的意见更为趋于一致，即需要形成 “Protect – Detect – Response”的链条，而之前更多的注意力被放在防护上，而随着安全形势的变化，检测与响应会有占有越来越多的比重。会上演讲中，有演讲者数次提到Gartner的观点，即2020年的时候，全球用在检测上的安全预算，会占到整体安全预算的60%。基于这种共识，安全可见（visibility）是目前从厂商到客户最亟待解决的问题。而由此引发关注的一些新技术点，如安全自动运维（Automation，此次会议上创新沙盒最后的获奖公司Phantom 就是做的这个领域），以及响应（Response）也成为大家的关注点。上述这些技术的落地，都与安全大数据的基础相关紧密，即你能够掌握更多的有价值的数据，尤其是从网络流量中还原的原始数据，以及终端采集的数据，才能够将上述的这些点做好。

威胁情报（Threat  Intelligence)依然继续成为热点，且逐渐变成很多威胁发现与安全运营管理的必备功能。

一些实力较强的公司也都在大数据安全分析方面落地了具体的实践。如思科在题为“网络安全创新”的演讲中，所倡导的安全架构，就是基于更广泛的数据基础，并在此之上进行安全可见、分析，以及产生相应的安全策略。而微软云计算Azure更是每天要处理超过10PB的数据，而在此之上也展示了他们基于机器学习的方法，对于海量用户的异常行为的识别与发现的能力。

Innovation Sandbox（创新沙盒）中的另外一个热点公司 Protectwise通过结合客户侧细致的流量还原数据，以及威胁情报，来发现各类威胁，与360企业安全的“天眼”系统颇有些相似。

另一个方面，我们也能看到，将大数据安全分析能力能够很好的整合并产品化落地到客户处，对厂商还是有比较高的技术要求。相信大数据安全分析，结合威胁情报，以及自动化分析运维，响应控制，会成为未来一段时间的主题。而这次RSA大会的主题 “Connect to Protect”，也更好的诠释了将不同来源的数据，不同的安全技术所“连接”起来以促进安全领域的进一步演进。

360在RSA上展出了DDoS监测和告警服务系统DDosMon

参观RSAC 2016的展商，明显感到和前几年的诸多不同，总结起来是几大关键词：终端强势回归，检测响应兴起，SaaS服务安全爆发，机器学习遍地开花。

从今年的RSA厂商列表当中，搜索EndpointSecurity（终端安全）关键词，列表长达数百家。从老牌的赛门铁克、迈克菲（Intel 安全）、趋势科技，到终端安全新贵Carbon Black（原Bit9），CrowdStrike，CounterTack，试图挑战传统老大们的新秀 Cylance、SentinalOne，都纷纷站在舞台中央，将各种思路的新兴终端安全机制和能力产品化，各种新产品应接不暇。

在RSA上听到最多的话是“Preventionfailed"。意思是试图将一切危险挡在组织之外的“阻拦”思路失败了。整体上说，Prevention（拦截） + Detection （检测） + Response（响应）的三位一体组合，才是Defense（防御）。对终端检测和响应，业界和客户有着一些共同的看法：优秀的EDR方案，应该具备四种能力：检测能力、快速遏制能力、分析调查能力、恢复能力。

360安全卫士和360杀毒在管理全部的几亿个人终端安全的时候，已将这种 P-D-R 三位一体的理念贯彻了很久，因此360安全卫士能够做到在不超过一个小时的情况下对新兴的威胁进行全网处置。

从RSA展会上看，NGFW这类产品在美国已经成为安全基础架构的标配组件之一，然而今年这类产品自身的创新并不多，而是更多的围绕NGFW、终端所产生的各类数据，做扩展性的协同动作。

NGFW自身的创新主要有以下几个方面：

▌美国在公有云使用上是起步比较早的，因此类似Office365、BOX、Google Drive、Onedrive、Salesforce这样的公有云服务在企业应用中比较普遍。为了对公有云的使用有效管理，NGFW增加了很多对常见云服务的识别和精细化控制上的支持。

▌NGFW对SDN环境、NFV、云虚拟化环境的支持，使得NGFW适用于更多环境，无论是物理网络、虚拟化网络、云服务平台。

▌NGFW更注重策略管理和response的编排能力，主要体现在提供API与第三方管理平台的集成化。

而NGFW周边也有如下几方面的创新：

▌Detect（检测）：NGFW本身引擎中带有IPS、AV、URL等检测机制，可以对已知攻击进行检测，但对于高级威胁，各家都在外部挂了Sandbox产品进行高级检测，以便增强整个系统对于unknown威胁的感知能力。

另外，NGFW集成威胁情报是提升产品精确检测攻击的另一主流手段。

▌ Analysis（分析）：NGFW做为Inline设备，可以进行全流量的监测，产生更多的流量、pattern信息。这些信息可以用于在外部系统（比如云）采用机器学习的方法进行建模分析，通过大数据的方式在UBA（用户异常行为检测）层面下功夫，将发现异常的能力与inline设备的实时检测解耦。

▌Response（响应）：今年获得创新沙盒冠军的公司叫phantom，他们做的产品瞄准了自动化运维。通过playbook的概念，根据一些管理员预定义的触发条件和判断逻辑进行response policy的编排，并且response的动作有很多种。NGFW等产品产生的数据送给这样的自动化运维系统，将使得更多的安全产品或者安全能力能快速的整合和打通，使得安全运维效率提高，不同领域的安全能力能够打通。

▌策略优化：Tufin、firemon等公司的产品思路能提高同时部署多台防火墙的客户在ACL策略有效性、合规、配置变更管理等复杂运维活动的掌控能力。这类工具作为辅助性的策略优化工具，将帮助管理员降低运维中对业务快速开通、故障快速诊断的难度，提高工作效率。

从RSA看，最近两年持续保持高热度的安全领域投资带来了极大的繁荣，以至于整个行业有些“失焦”：参展的新面孔非常多（无论是公司还是产品），中小厂商的展区扩了很多；前面几年有明显的关键词，例如云计算和APT，今年这种焦点关键词不够明显。除此之外，RSA上也出现了不少的新型方向: 面向物联网（IoT）和工控（ICS）开始有不少厂商出现，但目前还比较早期;物联网大多停留在方案;工控大多停留在demo；沙盘好热啊。

▌威胁情报继续保持热度：120多家参展厂商把自己打上了Intellegence 的标签，仅仅Threat 开头的新公司就有6 家；情报收集和分享的产品开始落地，很多出现和 SIEM 以及终端产品配合的例子。

▌静态防行终将失效成为共识：厂商不再迷信防御，开始向 Protect-Detect-Response全线进行投资，出现了非常多的 D 和 R 相关的产品。RSA 议题数量在 Detect 和 Response 方向上的也明显增多。

▌网络虚拟化和SDN 讲给安全带来变革：虚拟化和云计算发展网络虚拟化和 SDN 开始普及，安全厂商和国外的安全社区已经在考虑如何利用网络虚拟化和 SDN 带来的变化。创新沙盒获奖厂商就是其中自动化（automation ）的典型代表。