前 言

RSAC 2020组委会收到了2400份世界网络安全专家提交的演讲申请。基于申请者提交议题的汇总整理和分析，RSAC发布2020年网络安全行业10个趋势，这是全球网络安全专业人员对2020年乃至今后行业发展的判断。

1、人是安全要素

RSAC 2019大会上，女演员、作家兼制片人Tina Fey在演讲时宣称，影视行业与网络安全之间的交集很少。但随着RSA会议主席休•汤普森（Hugh Thompson）与她的深入探讨，人类一些行为具有超越时间、空间和行业的共性内容，这一观点得到彰显。也许正是这次对话，帮助确定了RSAC 2020的主题: 人是安全要素。在近 2400 份提交申请中，“人是安全要素”跨越了行业和机构，针对人的行为带来的挑战和成功问题，与针对数据、威胁、风险、隐私、管理和团队的探讨交织在一起。绝大多数提交的演讲侧重将人的影响作为一种手段，帮助了解如何更好地利用共同框架、为风险管理决策者提供信息、缓解新的和新兴威胁以及建立以安全为中心的高效文化。提交内容还对使用软件和平台（有意和无意）利用人类弱点的现象进行探讨，反映出对隐私的影响，以及使用机器学习的潜在机会。对"人是安全要素"的粗略描述，旨在揭示阻碍安全项目成功的明显麻烦。

2、实现产品设计、开发和运营安全

RSAC 2020 年提交的议题中，出现更多针对产品安全开发的深入探讨，因此RSAC 2020增加了针对产品安全和开源工具的讨论环节。  讨论环节将从身份、人工智能、隐私和SOC的角度探讨用户体验设计，议题提交者知道如何确保安全产品在不断扩大和连接的供应链中是安全的。来自不同地域和行业的产品开发人员的前瞻建议，旨在帮助其他人在安全开发生命周期与框架、保护互联产品和服务、维护安全开源代码和对官方 SCPS（首席产品安全官）日益增长的需求等领域，成功与失败的经验中，学习到所需的知识。许多议题还认识到在如何最好地使用、维护、测试和认证开源代码安全方面，机构面临的挑战，并提出了最佳实践的注意事项。

3、IT和OT融合的安全

随着物理世界和网络安全的不断融合，安全职能的角色和责任也在不断演变。很多首席安全官的职责跨越物理和逻辑安全，关于工控系统的对话越来越多，这在一定程度上要归功于 NotPetya勒索病毒。IT/OT 融合的挑战之一是，它们是两种非常不同的文化和供应链。因此这种融合也推动了文化变革，以推动更多协作。融合也超越了工控系统，今年提交的议题中，5G话题也呈上升趋势；由于对供应链风险，以及确保关键网络危机中正常运行的担心，有关智能家居、智慧城市的议题也持续上升。

4、软件工程流程安全

与上个趋势相关，我们观察到以DevSecOps为中心的议题在持续增长和走向成熟。开发人员和安全团队的继续努力，确立了安全在DevSecOps领域的地位，以及构建功能和确保安全的要求。风险管理、治理和合规性话题在DevSecOps背景下进行探讨，传统上“不相关”的两个人群发现，可以进行富有成效的合作，这是在组织内统一沟通、流程和框架，来实现安全产品的积极推动。针对这一主题，另一主要演讲是学习如何找到、聘用和培养开发人才和团队。

5、合规和隐私的交织

作为 GDPR 的合乎逻辑的副产品，今年提交的议题表明，围绕框架的协同努力，推动了隐私的操作化，以及后继的自动化。与隐私相关的提交议题的风格和类型发生明显变化，反映出就隐私对产品、服务和组织相关影响的日益成熟和理解。这种成熟度似乎也带来了更多技术的议题，包括同态加密。过去，隐私是“良好企业公民”可有可无的特质。现在随着企业寻求保护用户的隐私，隐私问题有成为核心业务和安全话题的趋势，这不仅是因为合规问题，还因为可以带来业务的差异化和正面的用户体验。我们看到企业内的“隐私”和“安全”职能部门正以新的积极方式紧密合作。RSAC 2020所处的世界充满针对隐私问题的讨论，今年大会提交的议题重点探讨了GDPR的挑战以及计划之外的后果。

6、威胁情报和共享

根据今年收到的提交材料，安全专业人员显然看到了建立集体网络防御和公私协作的价值。也许是对利用技术框架和机制实现防护的更加有信心，今年我们似乎再次看到分享情报的价值。随着对欺诈和身份问题的日益关注，我们看到更多与用户行为分析相关的议题，这表明行为科学与网络威胁之间的紧密联系。许多议题在谈到人是安全要素时，指出了威胁情报和共享的力量，同时认为需要不断提高安全团队的技能。随着AI的不断发展，我们也看到更多自动化方面的议题。威胁情报依赖于信任，尽管人工智能具有信息的潜力，但自动化与人类之间必须保持平衡。

7、框架、框架还是框架

可能是机构内以及跨机构间流程与协作出现规范化，进而实现自动化的趋势，2020年的很多议题提交者都希望对框架话题进行更深入地探讨。这些议题同时探讨了软硬技能。我们看到了许多有关MITER ATT＆CK框架、NIST网络安全框架、竞争性安全文化框架（CSCF）和信息风险因素分析（FAIR）框架的议题。也有很多人提交了隐私框架的议题。这些框架的持续开发和应用，以及每年的快速发展和演进，背后是对更高效治理和改进风险管理的渴望。

8、安全意识和培训

考虑到RSAC 2020的总主题，在今年提交的演讲中看到安全意识和培训主题增加也就不足为奇了。某些大会委员会成员最初将安全意识培训归到 “人是安全要素”论坛环节，但威胁对安全意识培训却不会有任何歧视。随着我们世界的连接日益紧密，日益依赖连接设备以及人工智能进行决策，因此，我们需要打破对意识和培训的传统看法。由于认识到培训的价值，今年的很多主题探讨网络靶场，兜售靶场对开发和培养安全技能的价值。一些议题探讨安全意识的道德和伦理问题，而另一些议题强调需要更多关注职场压力和心理健康，尤其安全从业者。

9、沟通

今年的许多议题都强调了清晰沟通的重要性。为了有效地完成工作，首席安全官需要对进入其职权范围的内容都要有所了解。有多个提交的演讲议题，对如何为担任首席安全官做好各种准备提供了指导。相关议题为CSO和CISO提供了所需的多种方法：如何在作为广泛供应链一部分的组织上下、内外进行沟通。10、专业人才培养和安全队伍建设

企业试图弥补不断扩大的人才缺口。吸引和留住人才的需要，以及多样性的定义本身已经超出了性别的范围，不仅涉及种族、年龄和民族问题，还包括人的思想多样性。今年提交的议题反映出，我们在学习、交流，彼此间以及与技术的互动方面，已经内化了对"人"的含义的理解。议题提交者从个人如何做好工作，以及团队成员如何高效互动方面进行了深入思考。此外，还有议题还探讨了如何雇用、培训、留住和激励人才的问题。

文章来源：首席安全官，转载请标明出处，发布此信息的目的在于传播更多信息，如有侵权请联系删除。