一年一度的网络安全盛典RSA大会即将在美国旧金山召开，RSA大会上讨论的议题也逐渐成为行业内的风向标。今天给大家推荐一篇行业热文，如何把握行业方向，更好的为用户服务提供方向。

文章来源：数世咨询，经授权转载，如需转载，请联系作者。

2020年RSA大会将于美国时间2月24日至28日在旧金山Moscone Center召开。每年的RSA大会都有个提纲挈领的主题，用来给大会定下基调和指明方向。

今年大会主题是“ Human Element （人为因素）”，在面对日益增长、复杂多样的网络攻击下，“人”是最强大的防护武器；在全球数字化转型过程中，从数据开发、保护、治理到利用，“人”发挥着巨大创造力与安全能力。

本届RSA大会，全球共有529家（统计时间截止到2月18日）机构参展，对比去年减少39.5%，参会机构包括安全企业、投资机构、媒体、美国联邦机构、协会团体等组织。美国官方部门有国土安全部、国家安全局、FBI、美国国家标准研究院等参展。 

本年RSA 2020参展国家共有23个，参展机构数量超过10家的国家依次为：美国、日本、以色列、德国、加拿大、英国。日本首次参展美国RSA，参展企业共30家，其中14家企业独立参展，16家企业共享展位参展。

从2020年RSA各大洲的参展比例来看：美洲占72.78%，欧洲占17.96%，亚洲占8.89%，大洋洲占0.19%，非洲占0.18%。

本届RSA的中国参展企业7家，受疫情影响大部分中国企业取消参展，较去年减少29家。本届中国参展企业分别是：360、文鼎创、飞天诚信、山石网科、广积科技、绿盟科技、奇安信。

十大网络安全趋势

今年，RSAC收到了2,400份在会议中进行演讲的申请。在最终敲定的分享内容中，RSAC总结出了十大当下的网络安全趋势：

1.人为因素：众所众知，“人”是整个安全链条中最薄弱的一环。今年的议题中，有大量内容从以人为本的角度出发，平衡IT框架、对风险管理策略进行汇总、降低新威胁带来的隐患、以及建立一个安全为中心的高效IT文化。

2.产品研发与维护的安全性：由于大量的投稿关注了产品安全开发，今年RSAC新增了“产品安全与开源工具”方面的论坛。议题包含了保护开发生命周期与框架、连接产品和设备的安全性、开源代码安全、以及日益提升的CPSO（首席产品安全官）需求。

3.IT与OT的结合：随着物理世界和网络世界的距离越来越近，CSO的责任已经不停留于网络层面，还需要承担物理层面与工控系统的安全责任。IT与OT结合的最大问题在于两者由差异很大的文化和供应链组成，而结合的关键在于如何创建一个IT与OT并存的文化。另一方面，未来随着5G、智能家居、智能城市的发展，供应链的安全性与关键网络的安全性将越来越受到关注。

4.DevSecOps：今年的DevSecOps议题涉及多个方面。除了将风险管理、合规与治理融入DevSecOps之外，还有如何通过整合组织内的沟通、流程与框架达成研发安全的产品。另一方面，如何招聘、培养DevSecOps的人才与团队也成为焦点议题。议题中还有反面的例子——通过案例来说明哪些企业反而并不适合DevSecOps。（与悬镜安全的发展方向不谋而合）

5.隐私与合规：自从GDPR问世以来，隐私与合规受到的关注日益增加：隐私一度只是一种满足政府要求的姿态，而如今的商业机构将注重用户隐私作为自己业务独特化竞争力的表现与提升用户使用体验的途径，从而紧紧抓住自己的用户群体。

6.威胁情报与分享：安全人员开始意识到，整个互联网环境的安全需要各方合作达成。另一方面，随着AI的发展，自动化能力也在增强——当然，对攻击者与防护方都是如此。当自动化与机器学习逐渐深入组织的各个流程的时候，越来越的议题开始关注机器本身的风险，从而提供最佳的使用策略。

7.框架：组织内部流程的标准化已经成为一种趋势——甚至已经影响到了组织之间流程的标准化。流程自动化不可避免，那么设定一个有效的框架就尤为重要。今年RSAC的议题在框架方面的议题涉及到了最近流行的MITRE ATT&CK Framework，还有NIST Cybersecurity Framework、CSCF与FAIR Framework。这些框架的演进都指向了更有效的治理与风险管理。

8.安全意识与培训：从今年RSAC的主题就不难想象，安全意识必然是个关键的领域。今年安全意识方面的议题从多个方面进行，其中很多议题都包含了“网络安全靶场”这个概念，其他包括了针对安全从业人员的道德安全意识、工作环境压力与精神健康等。

9.沟通：今年同样有很多议题强调了沟通顺畅的价值——尤其是对CISO与CSO而言。他们需要向上、向下，贯穿组织结构地进行沟通，还需要在组织以外和供应链相关方沟通。议题的内容不仅仅停留在语言层面如何高效沟通，还通过dashboard、指标等多种方式，指导安全人员如何展示自己的工作，最终达成相互理解的目标。

10.职业规划与工作环境：企业在寻求各种不同能力的员工，去填满技术能力上的缺口。今年的议题涵盖了从安全的角度来看个人如何完成自己的工作任务，团队又如何更高效地协同。同时，从企业角度，如何招聘、训练、留下、鼓励安全人才。

RSA安全关键词发现

RSA会议始于1991年，至今已走过29年。作为网络安全行业最具影响力的的会议，每届RSA不仅会吸引世界各国知名的互联网企业参与其中，会议中各主题演讲和参展机构所涉安全领域的安全热词也会成为大家热议的焦点。

本届RSA我们统计出近100个安全热词：

其中TOP10安全热词分别是：

从图中可以看出云安全、数据安全、网络安全（Network security）黑客与威胁名列前四，今年新增热词是黑客与威胁（Hackers & threats），云安全、数据安全、网络安全（Network security）连续三年排名前三。与去年TOP10的热词相比，GDPR《通用数据保护条例》着实在2019年成为各大数据安全厂商热议的焦点，今年却淡出视野。人工智能与机器学习终于进入本届热词TOP10，从概念到应用，AI时代是否已经到来？

数世咨询评

网络安全领域越来越重视“人”的因素。此次RSA大会的主题，与2017年ISC大会奇安信提出的“人是安全的尺度”具有同样的认识内涵。“人”不仅是安全的终极目标，也是安全的核心手段和最危险的攻击面。安全的本质是对抗，而对抗的核心是人与人的对抗。

悬镜安全有话说

本届RSA大会上，DevSecOps成为了最新趋势，人工智能也成为了新晋热词，这与悬镜安全的发展方向不谋而合。悬镜安全作为国内领先的DevSecOps网络安全厂商，一直致力于以AI技术赋能信息安全，用前沿的科技实现DevSecOps软件供应链生命周期的高级威胁检测与防御。

中国数字产业领域第三方调研机构“数世咨询”在2020年最新发布的《中国网络安全能力图谱》中，悬镜安全以领先的人工智能技术能力和创新的产品形态，被评为DevSecOps领域中最具代表性厂商。

悬镜DevSecOps智适应威胁管理体系为企事业客户提供包括威胁建模、威胁发现、威胁模拟、检测响应在内的的全生命周期安全解决方案。

包括：

* 威胁建模：悬镜夫子 安全开发赋能平台；

* 威胁发现：悬镜灵脉IAST 灰盒安全测试平台；

* 威胁模拟：悬镜灵脉PTE AI智慧渗透测试平台；

* 检测响应：悬镜云卫士 自适应安全运营平台。

数年前，在少有人知DevSecOps之时，悬镜安全便投身于此并努力至今，是由于出身于北京大学白帽黑客团队的悬镜安全，基因中充满了自信与挑战未知的勇气，我们从不是、也不愿成为跟随者。悬镜安全会一如既往，扮演好引领者的角色，在AI+DevSecOps的道路上持续努力。我们会继续拥抱并引领网络安全行业未来的趋势，只为止黑守白。