RSA 2020这场全球性安全盛会将于美国当地时间2月24日8点（北京时间2月25日0点）在旧金山正式开幕。会议时间长达5天，从2月24日至28日。大会包含了研讨会、沙箱创新大赛、培训和教程、主题演讲、课堂等不同类型的活动。

在此，FreeBuf将联合百度安全对此次大会进行图文直播，为各位Buffer们带来第一线的现场资讯。即使不出国门，也能随时了解全球安全行业的新兴技术和安全实践。

因本文直播内容较长，Buffer们可参考右下角的“文章目录”进行观看！

 —— ——以下为图文直播正文部分，将置顶最新内容—— ——

RSA 2020大会五日图文直播到此结束，感谢大家的持续关注，下拉文章可进行直播内容回顾哦~

第二个演讲议题是《你能停止愚蠢》，这个议题听起来似乎是一个很有意思的话题。由GO Consulting International负责人Brown博士和TrustWaved首席安全负责人IRA WINKLER带来，Ira认为现在的最大的问题不是由用户导致的，在研发产品的时候，用户培训也应该是工作的一部分，他以潜水教学为例进行讲述。随后，Brown博士以737-max为例，她认为90%的安全问题是由系统环境导致的，10%由个人行为导致。但是生产者的安全意识对系统是十分重要的，在安全事件发生后要智慧地选择策略来减少损失。

主题演讲2

今天是此次大会图文直播的最后一天了，直播主要还是以现场的主题演讲为主，首先主播们给我们带来的第一个议题是《协作改善开源安全性：生态系统如何逐步发展》，来自微软Azure的CTO Mark Russinovich和大家聊一聊开源软件的安全，首先Mark谈及软件的供应链安全，以食物链安全作比，提出一些安全防治办法。随后，告诉发现漏洞的工具，并在现场演示了一遍。接着谈到依赖管理，以Electron为例，列举了其中的48个依赖项。再来，Mark说到建立安全系统和package的管理，他认为要开启2FA以提高安全性。最后，Mark举例阐述了SBOM的实践，继续用食物安全的响应跟踪类比软件安全的响应跟踪。业界应该共同合作抵御软件安全问题，为用户提供安全的产品。

主题演讲1

大会第五日

大会第四日的图文直播到此结束，感谢各位的持续关注，可下拉文章进行回顾哦~

今日直播的最后一场议题《5种最危险的新攻击技术及其应对方法》，参加者分别为SANS学院的创始人Alan Paller研究员、指导员Ed Skoudis、高级指导员Heather Mahalik以及Johannes Ullrich。三位演讲人分别阐述，C2攻击、LOLBAS攻击、供应链攻击、移动设备攻击、企业漏洞等五大网络威胁及其防御措施。

主题演讲4

第三场议题《重要的边界：安全性的下一个前沿》，由嘉宾Fortinet的CEO Ken Xie带来。演讲伊始，他先用案例讲解了他眼中的三代网络安全，以及我们当前面临的越来越多的威胁，他认为首先网络安全的范围不断扩大，其次边界安全和云安全同样重要，最后，业界逐步沉淀出少量的能够集成化自动化完成网络安全的厂商。

主题演讲3

同场议题的第二位登台者来自General Motor的CEO Mary Barra，她认为用来解决当前的堵车、污染等现实问题的新技术也会带来网络安全问题。对于汽车行业而言，网络安全需要整个行业、学术界、合作伙伴的协作。她以GM的自动驾驶为例进一步分析了网络安全的重要性。

接下来第二场演讲议题《近20年内：过去和现在的安全挑战》开始，首先登场的是Akamai CSO，他从信息的安全三维模型入手，并发问：我们如何去验证网站的有效性？如何确保浏览器里没有攻击者注入的代码？以ddos为例，他讲述了安全防御的方法和市场价值。其次，他认为企业加密是未来的一大挑战，特别是和IoT、5G等这些新技术的碰撞。

主题演讲2

在演讲的最后，Robert简要介绍了MITRE的ATT&CK，同时以乌克兰的案例说明复杂的攻击往往也是需要多步协作的。他给出了攻击里面的典型技术和策略，列举了一些工业系统中的反面案例，比如威胁直接从互联网访问工业系统，或是因供应商有访问权限而导致的攻击机会等。

随后，Robert对当前的工业基础框架表示乐观，但实际问题仍然存在，就像下图的冰山一样。他列出了相关的11种威胁分类，其中两种是在2019年发现的，分别是Parisite和Wassonite，他们分别利用VPN漏洞和攻破IT设施进行信息获取。令人惊讶的是其中七种还会相互借鉴和学习。

今日的直播主要围绕四个主题演讲进行，首先第一场议题是《工业网络威胁态势：2019年回顾》，Dragos CEO Robert Lee从IT和物理系统的角度，来回顾2019年的一些数据，给了一些总结和建议。随后，Robert开始告诉大家目前已经发布的针对工业界系统的威胁影响不大，但是非常频繁。以伊朗攻击沙特为例，提醒人们的是要理解攻击的根源，这和检测攻击本身一样重要，攻击者也是人，从这点入手阻断他们第二次攻击的机会。

主题演讲1

大会第四日

今日直播到此结束，大会议程已经过半，感谢大家的持续关注！下拉文章可进行直播回顾噢~

在RSA小组会议环节，各位安全专家围绕议题《如何降低供应链风险：封锁华为的经验教训》开展正反双方讨论。从软件开发过程到后门指控，华为都受到了严格的审查。华为是贸易战中的牺牲品还是国家安全风险，这些都尚待争议，但在这个过程中它都强调了安全生态系统的重要性。本次会议以华为为最佳实践案例研究，探讨评估安全风险，最后的结论在于要做好产品、支持安全测试、审计、制定标准，从基础开始植入安全。

CrowdStrike联合创始人Dmitri Alperovitch为我们带来了议题演讲《全球威胁简介》，他介绍了全球威胁格局中最新的攻击手法，并深入分析每个民族国家和犯罪组织的具体实例。其中，勒索软件是2019年全球网络威胁的普遍趋势，其他趋势还包括政策出台、技术防御、策略对抗等。

主题演讲

补充一波现场主播的私藏，关于第一日CSA峰会的内容，精彩值得反复品味。

大会议程即将过半，但是现场依然很多人，看来即使是新冠病毒疫情也阻挡不住安全人这颗“向上”的心呀~

现场花絮

大会第三日

今日直播到此结束，精彩纷呈不容错过，感谢大家的持续关注！下拉文章可进行直播回顾噢~

此次参展商众多，但是也有一些展商因为临时撤台而空出场地，改为休息区。

expo博览会第二波高清大图来袭，现场真的是人山人海，共享这场安全盛会。

接下来这趴，我们跟着主播来逛逛expo博览会，看看都有哪些参展商。

Expo博览会

Barker博士还认为利用人们的一些心理将会对网络安全、行为和文化产生更积极的影响，在演讲的最后， Barker博士分析了人们面对恐惧的心理不仅只是要提高人们的安全意识，更是要发挥效用，她认为破除这种恐惧心理的方法有：

恐惧信息需要强大的效能

减少噪音以便人们获取最佳信号

以积极信息和社会认同打造安全建设

为人们改变安全行为提供工具

营造积极的网络安全文化并利用它

今日直播的第二个环节是一场来自 Jessica Barker博士的主题演讲《网络安全中的恐惧与厌恶：恐惧心理分析》。Barker博士是Cygenta的联合CEO，她结合了生动有趣的PPT内容为大家分析人们在面对恐惧时的心理，人们不应该被吓到安全领域，在面对安全传递的信息时，人们应该要觉得更有力量，充满信心，有能力和这些网络威胁抵抗。她认为有时候可以用幽默的方式来传递让人恐惧的信息会更为人所接受，但有时候又会适得其反。

主题演讲

我们正处在攻击者的包围圈里，76%的人认为在2020年网络安全风险会增加。因此，网络安全是在座每一个人的故事，如何去说好这个故事意义重大。演讲者从强调叙述视角、调整安全防御、反思安全文化三个角度切入，阐述安全故事的实践方法。叙述视角让每个人参与其中，安全防御更是基础，安全文化突出其大众化走向，不再只是少数人的事。

全球网络战从过去的边缘地位到如今的核心地位，可谓是有了很大的转变。演讲者认为现在网络安全讲述的是攻防双方的故事，不再是单方面，而是一种动态的发展与平衡。接着，引用《杀死一只知更鸟》的一句话，提醒大家要从年轻人的视角去看待网络安全的世界，暗示着现在的网络安全还处在发展阶段，对于未来要有青少年般的坚定和无畏。

今日的直播将从精彩的大会开幕式开始，酷炫的屏幕灯光和特效，闪动的大会关键人物元素，热烈的现场气氛，在这时候George Takei出场，带来大会开幕致辞！人是未来安全的核心，这一主题又被再次提及！

开幕式

第二日RSAC 2020大会的图文直播即将开始，身在美国的主播们已抵达现场，现场花絮先来一波~

现场花絮

大会第二日

RSA 2020大会首日直播到此结束，感谢大家的观看，接下来几天FreeBuf都会进行持续直播，敬请期待！可下拉文章，进行大会回顾噢~

北京时间8点30分，评委们经过一番讨论，Sandbox创新大赛公布了此次十位参赛厂商的决赛结果，最终揭晓的是：SECURITI.ai ！恭喜斩获创新沙盒冠军，荣膺“RSAC 2020最具创新初创企业”。

最后一位登台的是AppOmni，Connor带给大家的是如何知道企业数据是否泄露，和Obsedian领域相似，主打SaaS，比如深度扫描SaaS API，检测SaaS访问权限。十个厂商的展示演讲在这里就全部结束了，一小时后将出结果。

代码作为企业资产的重要性不容置疑。BLUBRACKET带来的演讲强调的是对企业至关重要的存储位置和访问对象。主打实时监控代码泄露，同时提供开源软件检测、合规、常见配置错误检测等。

第八位上场的是Elevate Security，首位女性发言人登场。主讲人提出，95%的数据泄露事件是因为人为原因而导致的，演讲议题十分吻合大会Human Element的主题。因此，对于员工的安全意识进行持续监测是十分必要的。科学规范员工行为和安全意识培训的结合有利于解决这个问题。最后，她认为雇主真正做的事远比雇员知道的多少来的重要。

自动化也是当前市场的热点之一。ForAllSecure认为可以利用自动化手段监测漏洞，Brumly博士将传统的代码检查器和现在的新手段Mayhem作对比，阐述了如何尽早发现漏洞，提升代码质量。

网络钓鱼问题是让大家一直头疼的问题，在Sandbox现场，来自INKY的Dave Baggett提出，钓鱼是一个棘手的安全问题，150个客户每天会接触到100万的邮件，庞大数量的邮件让他们防不胜防。因此，INKY提出无需更改邮件系统来解决该问题，以监测代替更改，更容易部署。

第五位上场的是OBSIDIAN服务？他们对这个问题做了回答，提供SaaS访问的全景检测，云端盗号和数据共享。其中，一句演讲金句：Hackers don't breakin, they log in！让大家印象深刻。

接下来是SECURITI.ai，主打隐私防护方向的安全厂商，Rehan Jalil为大家引入新概念PrivacyOps。此外，还强调应用技术手段支持隐私合规。利用People Data Graph.做数据和用户关联自动化分析，体现不少可视化数据。利用技术支持隐私与合规需求是近几年的市场热点之一，SECURITI.ai迎合热点，势头正猛。

紧接着上场的是Sqreen，演讲主要围绕目前的应用安全领域，主讲人认为，目前的应用安全主要依赖有WAF和RASP，所以RASP+in-APP WAF的解决方案模式十分重要，关注应用安全的检测。

第二个上场的是Tala Security，主讲人提出应关注第三方Javascript安全，如今缺少对客户方JS的安全解决方案，以应对未知风险。这类需求较大的客户对象领域涵盖电子商务、金融等。

首先，第一个上场的是Vulcan Cyber，提出目前要解决的问题在于我们知晓了漏斗之后该如何去做，而现在大家往往更为关注漏洞的多少，希望找到更多的漏洞。主讲人用Apache Strusts举例，告诉大家应该关注缓解漏洞的办法，并提供多种实践方法参考。漏洞管理和修复的自动化工具平台，帮助安全和开发团队管理漏洞缓解方案。面向 DevSecOps 团队的工具，是一个目前需要工具的场景，而评委比较关注对不同场景的处理、优先级、第三方漏洞的处理。

Sandbox如往届一样，由Hugh博士开场，介绍了Sandbox的大致情况，Sandbox具有15年的历史，从一开始的30人活动到现在成为业界的榜样。此次规则和往年一样，3分钟Pitch，3分钟Q&A。

创新沙盒活动现场即将开始，人山人海的现场~

Sandbox创新大赛

美国时间上午场的主题演讲在这里就全部结束了，下午主播们将转移阵地，前往Sandbox场地，直播时间为北京时间5点30分至8点30分，持续为大家带来精彩的现场资讯！

想重温大会精彩内容的Buffer们可拖动到底部从“头”开始阅读噢~

后续两个议题分别是《第三方的安全风险：掌握防止第三方监控的一种新手段》和《安全协作开展业务》。OneTrust副总裁Kevin Kiley从VRM，即供应商风险管理入手，分析了其驱动因素、挑战以及带来的监控问题，最后提出管理风险最好的解决办法在于风险评估，有效率高达90%。最后，以AppGate产品副总裁Jason Garbis、 纽约联邦储备银行网络与IT风险副总裁David Cass、 DTCC首席信息官Stephen Scharf的联合议题《安全协作开展业务》收尾，强调安全企业之间的协作共生。

Extrahop Networks的CCO Raja Mukerji精辟的介绍，将斯坦福大学Internet Observatory的Dir Alex Stamos和他的议题《技术失势以及恢复全球竞争力的方法》带入大家的视线。Alex认为企业应该在尊重“人权”的前提下去合规。此外，关注技术的同时也要关注合规。用户的数据和收集不应该肆无忌惮，不应该屈从于技术。以下是部分演讲者的PPT内容。

短暂的休息过后，继续回归议题，Oracle云基础架构首席安全架构师Robert Clark带来演讲《网络安全时代CISO的成功之路》，演讲内容分为四个部分，即从组织化模型、功能需求、云安全、安全运营四点入手，分析了CISO应对企业网络风险时可实操的安全实践。以下是部分PPT演讲内容。

听累了议题，来插入一波花絮，一览部分国内安全厂商展台。

安全厂商展台花絮

在Armstrong的致辞发言后，CSA美洲研究部总监John Yeoh、 SecurityScorecard的CISO和威胁情报主管Paul Gagliardi、WhiteHat Security首席技术官Anthony Bettini、 微软网络安全领域首席技术官Diana Kelley、星巴克全球首席信息安全官Andy Kirklan带来联合主题演讲《准备和响应数据泄露安全事件》，其中提及防止数据泄露的方法，比如提高员工的安全意识警惕钓鱼邮件，又或是red team可以帮助企业提高产品和服务质量，数据安全保护需要云厂商和用户共同努力、加密能加密的所有数据、强身份验证等等

这场思想汇聚、交锋已然拉开序幕！

现在是美国时间上午9点（北京时间凌晨1点），CSA峰会——云上的隐私和安全正式开始。首先，SC Media编辑副总裁Illena Armstrong进行开幕发言，从业务风险、未来集中领域以及安全事业三个角度介绍了网络安全的重大意义和价值。

我们正以光速驶向安全的彼岸，请放松，并享受这个旅途！

在等待之余，来看看场外情况如何？DevSecOps session 场外展览厂商，包括synopsys、sysdig、GitLab等。

首先，跟随主播们的脚步来到的是Moscone西部的主题演讲活动现场——CSA峰会：云上的隐私和安全，从美国时间24日上午8点至下午5点（北京时间25日凌晨0点至上午9点），具体议程可点击【此处】进一步了解。大会现场尚未开始，请大家耐心等待，先来一波宣传片热场图。

CSA峰会：云上的隐私和安全

RSAC 2020现场图文直播即将开始，此次官方素材皆来自于：2020百度安全哥伦布之旅。在接下来的几天时间里，我们将提供来自RSAC 2020直击一线的现场图文直播，现在国外的一线主播们已抵达大会现场。

现场花絮

大会第一日

—— ——以上为图文直播正文部分，可由此处往上观看—— ——

作为网络安全行业的风向标，这场大会可谓是备受瞩目，参会人员逐年增长，多达上万人次，今年预计将突破50000人，全球各地的安全人士、安全厂商将再次聚集旧金山，讨论应对当今存在的信息安全问题，并带来更为先进的解决方案和产品，在信息安全这个全球化的问题面前共同商讨应对措施。

今年，RSA 2020 以“Human Element”为主题，将会给我们带来哪些新的技术、理念或实践呢？大会直播将在本文持续更新，大家敬请期待。

会议简介

RSA会议是一系列IT安全会议。每年约有上万人次参加，其主打事件是每年在旧金山举行的安全会议。

RSA 会议始于1991年，当时只是以“密码，标准和公共政策”为主题的小型加密会议，为密码学家收集和分享互联网安全领域的最新知识和进步的论坛。1995年，它成为一个年度活动，更名为RSA数据安全会议。在2000年，简称为“RSA会议”，成为全球性安全会议。

详情请点击：【RSA Conference 2020 提前早知道】

会议看点

此次大会的主题为“Human Element”，关注人的因素在网络安全行业中发挥的价值和意义。然而，除此之外，物联网、工控安全、隐私数据安全、安全基础架构、安全人才等等话题也引发热议，以下是此次大会的十大热门话题，预示着未来安全行业的趋势发展。

人是安全要素

设计、开发和维护安全产品

IT和OT融合的安全

软件工程流程安全

隐私与合规相生，与万事万物的交织

威胁情报和共享

框架和自动化

安全意识和培训

沟通

专业人才培养和团队建设

详情请点击：【从RSA 2020大会的十大网络安全热门话题看行业未来发展】

议程速览

以下大会议程以美国时间为准，大家可自行加上16个小时推算北京时间，持续关注大会精彩要点！

下载地址：

https://pan.baidu.com/s/1ppYxuyrVnarGsou0zteidw 

提取码: qt5g 

大会直播将在本文持续更新，敬请期待~