RSA,既可以标识一家曾经的老牌安全企业,又可以指代安全技术的核心——密码技术,同时还是安全界一年一度的优异盛会……
2009年,华尔街金融风暴蔓延的一年,ICT产业更加显现融合的一年,更是网络应用安全愈加面临各种综合、复杂威胁的一年……
没错,2009RSA,第18届安全界的优异盛会,就在当前各种信息通信技术更加走向融合,以及宏观经济环境多少制约着用户市场采购的背景下,在这个初夏、在美国如期召开了。
创造性合作(Inventive Collaboration)——RSA执行总裁指明安全未来方向
在RSA2009的开幕主题演讲中,来自RSA公司的执行总裁Art Coviello发表了他的观点:“创造性合作(inventive collaboration)”。Coviello认为目前在数字犯罪(cyber criminal)方面,攻击者已经以利益为链条联系了起来,以合作的方式来设计和实施各类攻击,形成了他们自己的价值链。而信息安全方面的各类组织、企业、专家学者等,也应该采用合作的方式来应对,这样才能够确保不落后于攻击者,更好的保护公众的利益。
在他的主题演讲“A Common Call: Architecting a New Information Security Landscape”中,他呼吁用户、政府机构、信息安全企业等各方面力量,都能够联合起来应对网络与数字威胁。
演讲的最后,Art Coviello还邀请了Cisco副总裁以及微软副总裁Trustworthy Computing 的负责人 Scott Charney共同进行了讨论,来说明合作的重要性,以及三个公司在这方面的努力方向。在随后微软Scott Charney的主题演讲“End to end Trust: A Collaborative Effort”中,阐述了微软在近几年所努力搭建的新的安全体系架构模型,并指出了在模型中,微软与相关公司的合作。
在三位安全界重量级人物的阐述过程中,也有人问到,这种合作是否只是安全巨头之间的。演讲者也指出,合作需要是全方位的,而不仅仅是限于大公司之间。其实从绿盟科技的角度,我们也是非常赞同这点的。绿盟科技2009年加入与微软MAPP(Microsoft Active Protections Program)项目进行合作,成为中国知名家加入MAPP项目的合作伙伴,从中绿盟科技可以提前获得有关微软月度安全公告的信息以评估所造成的威胁,并为绿盟科技与微软共同的客户提供更及时的保护。
除了关于创新合作方面的动向,今年的RSA Conference还有很多热点问题,比如各个专业论坛都对云计算(Cloud Computing)与SaaS中会产生的安全问题非常的关注,大家都在讨论此领域中的安全问题是否能够得到很好的解决,这可能将会极大的影响云计算与SaaS模式是否能在企业中得到普及与应用。
其他的方面,比如新型Web攻击技术、虚拟化的安全、移动安全、如何提高性价比同时降低成本、基于信誉(Reputation)的安全机制、策略与合规性以及如何使安全更为贴近业务目的及工作流都是此次会议中关注的热点。
2009RSA展会话题王:云与SaaS
纵观此次RSA 2009 Conference,云计算(Cloud Computing)与SaaS无疑是一个热点问题。你会感觉有无数的论坛与专家在关注云计算与SaaS的安全问题。不论从Keynote主题演讲中的钱伯斯、著名密码专家Whitfield Diffie、Ronald Rivest,Qualys的CEO Philippe Courtot,以及各个领域的安全专家都在讨论云计算、云安全、SaaS方面的问题。我们正在思考,但还没有明确答案的各种问题,也在各个会场被激烈讨论着。云与SaaS本已是热点,再加上安全,你能够理清思路吗?云计算、安全的云计算、云安全、Software as a Service、Security as a Service、Security as a (Cloud) Service…
焦点1:云的安全
钱伯斯在RSA Conference第二天的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”。注意,他并不是对云计算有何异议,因为老钱同志也认为云计算是不可避免的趋势,而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题,则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。“它是网络安全的噩梦,而且无法采用传统的方法来解决”。
无独有偶,在几位著名的密码专家论坛上,云计算也成为了话题。虽然专家们有的对云计算的前景非常的看到,但云计算产生了与以往不同的新安全问题也是共识。而这些安全问题,是我们无法回避且必须付出很大的努力来解决的。当然对解决云计算安全问题持悲观态度的人也在少数。
焦点2:*aaS的安全
另一个方面,SaaS也是热点议题。对于SaaS这种模式,安全问题存在与它的各个层次:基础设施、平台、上层应用。对于三个层次,所面临的安全问题是不同的。比如对于IaaS(Infrastructure as a service),数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service),数据安全、数据与计算可用性、灾倍与恢复问题则更受关注。而到了最高层的SaaS(Software as a Service),则对于数据与应用的安全问题更为关注。而且,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知,不可控的。原因在于,使用者再也无法自己实际掌握对安全便捷与数据的控制权。
观点:绿盟对云安全的认识
从我们的角度看来,云只不过是另一种数据中心,数量更多且分散的数据中心的集合,使得访问与使用更加的快速、便捷。再加上云端的SaaS应用,能够为众多企业,尤其是中小企业,带来更便捷、成本更低的、无所不在的IT服务。但同时,云计算与SaaS也带来了新的安全问题,与以往我们经验中不同的安全问题。因为在云中,没有边界,云计算与SaaS的使用者自己再也无法控制边界,控制数据,甚至都不确切的知道数据在什么位置上。而服务提供者往往还要同时面对IaaS, PaaS, SaaS三个层次的安全问题。
从云的外部,用户看不到云里面是什么样子的,也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案,从网络层到应用层,数据保护,以及可管理的安全服务。但是作为云外的用户,你真的知道这些安全特性被提供了吗?或者说,这些安全措施的结果,是你所期待,且满意的吗?这可能也是很多企业对云计算望而却步的原因,也是众多安全专家的争论所在。不过换个角度,对于很多本来就没有能力进行安全体系建设与维护的用户来说,看不清云的内部也不见得是件坏事。
随之而来的问题:云计算如何进行审计与监管?现实中的各种信息安全问题在云端依然存在,只不过之前是用户自己能看到的,而现在反而距离用户更远了,也更为离散。如果像钱伯斯说云计算可能是无法避免的趋势,当然这还要最终的用户能够认可。那么我们真的需要更多的工作,来接受这种新模式并克服它所带来的新安全问题。
未完的故事
其实涉及这方面的待解问题还有很多,比如在IaaS中,虚拟化(Virtualization) 技术被更多的应用,物理边界变成了逻辑边界,对于安全的思考也会变化。再者,除了讨论安全的云,我们也能够同时利用云计算的方式,来促进安全的发展,将安全也作为一种云计算服务。新的事物总是能够带来新的挑战,迎接这种挑战,正是我们不断前进的动力。当这些问题正在被激烈的讨论时,你,准备好了吗?
从RSA2009看安全热点
“从第一天的Innovation Sandbox,到后来的Keynotes;从与McAfee科学家的交流,到North Hall中倾听钱伯斯关于Cisco的长远计划;从展台上送出的第一份中国特色的礼品,到imperva厂商代表认出绿盟后直说”You are our competitor!”,每一步的画面都历历在目。与往年RSA Conference相比,以前一些Crossover的厂商今年选择了放弃,让今年的安全味道更加浓重。“
让我们随绿盟参展RSA的返程,回顾一下今年的RSA大会究竟有那些值得我们思考的话题。
1)WEB安全成为热点
WEB不仅在国内,乃至在全球都是热点问题,由于WEB成为获得各类信息和服务的主要应用方式,所以其蕴含的价值也越来越高,吸引了攻击者足够多的视线。这次众多厂商都提供了保护WEB安全的解决方案、产品和服务。从WEB应用的网关级防护,到WEB安全漏洞的扫描,WEB内容的安全审计,甚至WEB应用的安全生命周期管理等等,覆盖面之广,足见WEB安全的重要性。
2)身份管理长盛不衰
今年展会上的另一个热点就是身份管理,随着电子商务和企业应用的日益广泛,加上各类信息终端的出现,身份问题成为应用安全中的一个焦点,不仅各家展商提供了软件型的解决方案,而且展会上新出现了许多提供硬件方案的厂商,Ukey、智能卡,包括软硬件结合的方案都是值得关注的看点。
3)云安全与*aaS
虽然今年专注在云安全的厂商只有5到6家,但是几乎每个大型厂商都在强调云安全。一方面大家非常关心云计算的自身安全问题,尤其是云计算下的数据安全;同时大家都涉及到了如何借用云计算的思路开展诸如SaaS、PaaS、IaaS等的多种新的安全业务模式,热点必然带来了争论,有些专家甚至戏称“云计算”不如叫做“沼泽计算”,意指一旦选择云计算,由于其安全问题必然导致不可自拔的境地。
4)合规性无处不在
合规性是几乎所有展商都会提到的一个问题,不仅从商业逻辑层面合规性成为焦点,体现国家意志的政府机构也无一例外的将合规问题作为未来安全中最为重要的一个领域进行研究。此次展会上不仅有独立提供合规性咨询和产品的厂商,更多的是在其安全产品中逐步体现各领域合规性要求的产品,这种趋势在Keynotes的各类演讲中也无处不在。
5)Malware成为缺省
展会上并没有独立的Malware防护产品,但是几乎每一种产品都宣称具有Malware处理的能力,不论是发现,或是阻断还是消除。与国内不同,美国安全市场对Malware的认识非常实际,虽然有类似于Sandbox、云安全等新的手段,他们都很清晰的知道对抗Malware没有完美的方案,用户也非常理性的选择所需要的产品,而没有把Anti-Malware当作全部。
6)网络安全和社会安全
此次展会大家已经不再讨论单纯的网络安全,社会安全的意义提到了更高的层面,所谓Malware或是Web攻击,这些威胁的真正奏效都应用了大量利用社会工程学的方法;另一方面,国家对于安全的重视程度在不断提高,美国政府这次多个机构的参展以及Keynotes中对于网络战、信息监控的话题都体现强烈的国家意志。不仅如此,在谈到对于未来攻击的防护问题时,更多的学者和厂商都开始关注如何借用社会学的方法,如协同、关联等来构建新的防御体系。
7)实用甚于概念
今年RSA展会是在经济危机背景之下召开,自始自终都没有一个厂商推出新的概念,不论是展会还是Keynotes,大家都在冷静思考用户真正需要的东西,类似于国内炒作甚火的UTM概念,在国外而言都认为是不切实际的解决方案,大家更多在考虑如何利用IPS或者下一代基于应用的防火墙产品来保护自己的网络和应用。同时在硬件上也没有像往年推出更高更快更强的产品,一方面受限于硬件投资和收益的难于平衡,更重要的在于应用和内容安全的处理需要极强的灵活性和可变性,而软件较之硬件具有更多的优势。
此外,虚拟化技术、物理安全,还有安全管理……似乎,只有等来年的展会再见分晓了。
2008年WEB攻击技术TOP TEN
Whitehat Security公司的CTO Jeremiah Grossman在RAS 2009大会上做了名为2008十大WEB攻击技术的主题演讲,在研究了2008年所发布的近70种WEB攻击技术之后,根据攻击技术的新颖性、影响范围选出了其中最具代表性的Top 10。
这里的WEB安全包括了WEB服务端和客户端安全,其中浏览器以及富文本应用的安全问题是其中比较值得关注:的。
1. GIFAR攻击
这个攻击非常有趣。它的思想是将一张GIF图片和一个JAR文件拼在一起,然后命名成aaa.gif,这个新文件的前一部分是GIF,后一部分是JAR文件。很多WEB服务提供商为了安全只允许上传图片,但对文件内容的检查通常只是简单的检查一下文件头部分是否符合,因此我们新生成的文件就可顺利通过检查,从而绕过安全限制。这样一个包含有JAR内容的文件就被传上了网站,而Sun的Java解释器在解析这样的文件时,又十分“智能”的忽略了前面它不认识的GIF文件数据,从而导致JAR文件中的恶意Java脚本可以在客户端浏览器上被执行。如果这种恶意文件可以传到一些大的WEB服务网站上(例如google.com),则可能产生极大的危害。
2. 突破Google Gears的跨域通信机制
Google Gears是Google提供的一个RIA(富客户端)工具。它的跨域安全机制在某些情况下可以被绕过,攻击者可能获取受害用户在另外一个网站上的敏感数据,例如论坛、WEB邮件、社交网站等等的信息。
3. Safari 地毯式轰炸
Safari是苹果公司开发的WEB浏览器。它在处理一个Content-type无法被浏览器渲染的文件时,会自动将其保存在默认下载目录下(Windows下是桌面,OSX下是Downloads目录)。但这动作是自动完成的,并没有提醒用户,也没有要求用户确认。恶意攻击者只要创建一个包含大量引用恶意程序的网页,就可以迅速占满桌面或者Downloads目录,形成地毯式轰炸的效果。
4. 点击欺骗
眼见不一定为实,这对于网页浏览也同样适用。利用隐藏iframe的技巧,可以让你以为是在点击一个按钮或者一个链接时,实际上是在允许恶意程序访问你的摄像头或者麦克风,这样恶意网页就可以监视你的一举一动。
5. Opera 跨站脚本漏洞
Opera的opera:historysearch功能存在一个跨站脚本漏洞,通过注入一个IFRAME页面,利用opera:config功能设置email客户端改成执行任意命令,再打开一个包含mailto:的窗口,就可以执行任意命令。
6. HTML 5 结构化客户端存储滥用问题
HTML 5版本引入了几种方式可以允许浏览器在客户端主机上存储大量数据,攻击者可以修改或者读取这些数据。如果一个使用这些数据的web应用程序存在跨站脚本漏洞,攻击者就可以插入恶意代码并让其执行。
7. 通过认证后的CSS获取站点登录信息
利用标准的javascript API就可以跨域载入一个stylesheet,然后读取其中的property值。通常用户在登录一个网站前后,property值的内容会有所区别,利用这种技术可以准确的判断用户是否登录某一网站。
8. 通过SQL注入实现TCP隧道
结合Squeeza和reDuh工具,可以利用一个存在SQL注入的WEB应用来实现TCP隧道,从而绕过防火墙的的限制。
9. 改变ActiveX 控件的意图
ActiveX控件往往会提供很多强大的功能,如果一旦设计上不够小心,就会带来致命的威胁。演讲者介绍了一个实例,首先诱骗攻击者去访问一个恶意页面,诱使用户进行控件安装和升级,将一个恶意的配置文件下载到本地,配置文件已将卸载程序改成了一个任意命令,恶意页面则再度调用卸载功能,就会导致任意本地命令的执行。ActiveX控件的开发者除了要考虑不要出现缓冲区溢出等常见问题之外,也要特别小心不要被攻击者利用其提供的功能进行攻击。
10. Flash参数注入
Flash参数注入是一种新的攻击方式,可以将数据注入到一个HTML页面内嵌的flash电影的全局参数中。这些注入的数据可以让攻击者完全控制该HTML页面的DOM元素,利用flash与HTML页面之间的交互,攻击者可能造成更大的威胁。
相关链接1:RSA Conference全景扫描
RSA Conference已经有了18年的历史。绿盟科技作为少数两度参加RSA盛会的中国厂商,将向国内同行全方位透视RSA Conference的前世今生。
作为信息安全领域每年最盛大的活动,RSA Conference已经有了18年的历史。RSA大会就像安全界的奥林匹克,这里汇集了安全界最好的精英、研究机构、企业,成为了安全发展趋势的风向标。虽然每年都会在欧洲、日本分别举行,但其中最具影响力的,还是在旧金山举办的RSA大会。绿盟科技作为少数两度参加RSA盛会的中国厂商,将向国内同行全方位透视RSA Conference的前世今生。
大会起源
RSA是信息安全中一个非常著名的公钥加密算法,1977年被发明,以该算法的三位发明人Ron Rivest、Adi Shamir、Len Adleman的名字命名。该算法是目前IT系统中应用最为广泛的非对称算法。而RSA亦是美国一家著名的信息安全公司的名字,目前是EMC旗下的一个分支。RSA conference自1991年开始由RSA公司主办,最初作为密码专家的论坛,用于分享在互联网安全方面的最新技术与知识。经过10多年的发展,逐渐成为全方位覆盖信息安全各领域的专业盛会。
会议议程
RSA大会一般历经5天,分为展会与会议两个大部分,也在相隔一街的两个会展大厅进行。一边是逾期3天的市场气息较浓的厂商展览,而另一边则是学术气息主导的会议。其会议部分的设置也相当专业,分为:主题演讲(Keynote)、专业论坛(Track Session)、业内同行论坛(Peer2Peer Session)、创新沙盒(Innovation Sandbox)等。
1)主题演讲(Keynote)
汇集了来自全球安全界一些重量级人物对于安全在技术、市场、热点问题方面的观点,比如今年,Cisco CEO John Chambers、RSA总裁 Arthur W. Coviello、Symantec CEO Enrique T.Salem、RSA实验室的首席科学家Ari Juels、McAfee总裁 Dave Dewalt等都会进行演讲。
2)专业论坛(Track Session)
RSA上各领域安全专家最为关心的版块,专业论坛又细致的分为了10多个领域,包括:
1. 应用与开发;
2. 安全商业;
3. 加密;
4. 企业安全服务;
5. 精选会议;
6. 治理(Governance)– 法律、
7. 治理(Governance)– 企业与政府;
8. 治理(Governance)– 风险与合规性;
9. 黑客与威胁;
10. 主机安全;
11. 热点问题;
12. 网络;
13. 物理安全;
14. 研究成果发布;
15. 战略与架构;
这样细致的领域细分研讨,必然使得各领域专家都能够找到各自专注的方向。当你穿梭于各个分会场,可能只会恨自己分身乏术。RSA 2009中,物理安全(Physical Security)与安全治理-风险与合规性(Governance – Risk & Compliance)两项,是今年新增加的议题。这10多个领域,总共240余个研讨中,又被分成了高级、中级、未分级别三类。高级研讨的演讲者需要在这个领域具备10年以上的经验,研讨中更多的讨论深度架构、代码、工具等内容,涉及的内容也更具学术性,很少涉及背景知识。而中级研讨会专注在引入一些概念,定义,介绍一些架构等,演讲者也需要有5年以上的行业经验。而未分级的部分则往往介绍一些新兴的技术领域。
3)创新沙盒(Innovation Sandbox)
RSA Conference的特色,这个分会场利用一个下午的时间,引入了10家新兴的小公司的创新技术。他们给我们带来了新的创意、新的概念。这里的技术无所谓大小优劣,只要你够创意,并有较好的市场或技术前景,就可以在这里一显身手。而且最终的这10家候选企业,也得到了一个直接面对业内专家、媒体以及他们最迫切需要的风险投资者。通过他们一个下午的展示、5-10分钟的演讲,来阐述他们的创新与产品。最终打动专家组的公司,会获得当年的Innovation Sandbox Award奖项。这也意味着这家公司找到了更好的发展机会。
4)同行论坛(Peer2Peer Session)
这个论坛给了某些专业领域的同行近距离接触的机会。一般每个议题,只有20多席的座位,采用先到先得的方式,使得关心此专题的人士可以有一个封闭的,面对面的深入交流的机会。
除了这些公开的论坛,更有一些小范围的特殊workshop讨论,如女性安全从业者论坛,使得活跃在信息安全行业中的聪颖的女性们能够接触RSA大会的机会一同聚会。这些workshop也使得在RSA大会的主框架上,更点缀了很多有趣的环节。
虽然绿盟科技已经参加过很多世界各地的安全展会,如欧洲的Inforsec、日本的Interope、新加坡的CommAsia等,但RSA Conference却是不同的,不同就在于“专业”。每年RSA会议都能吸引到世界上安全相关的领域中最好的专家。虽然RSA Conference中的展会部分是世界最大规模的,但RSA Conference真正的主角却是密码专家、安全技术专家、各安全公司的CEO与CTO、来自大学与研究机构的学者们。正是他们的精彩演讲与技术讨论,才奠定了RSA的峰会地位。聆听各领域专家的声音,再加上宽松的交流环境,使得身临其境的参与者都能满载而归。3,4天的会议往往能够回味很久,甚至很多新创意、新技术、新产品就此应运而生。置身其中,你能切实体会到信息安全的前进脚步与魅力。
相关链接2:百家争鸣,百花齐放——RSA Conference Keynotes纪实
思科介绍了在网络安全方面的战略、McAfee分析了新型的攻击场景以及现阶段防护的思路、TippingPoint专注在如何更灵活的设置Policy等一些技术上,RSA2009的技术演讲引人入胜。
思科钱伯斯:网络将成为安全的平台
钱伯斯延续着思科的风格,大气而沉稳,且不乏和台下的观众互动。首先钱伯斯提出了我们面临的三个主要问题:1)如何使用技术手段对攻击进行防护;2)我们访问的资源哪些是可信的;3)如何“好东西”进而“坏东西”出呢?在提出三个未来可能我们面临的安全问题之后,钱伯斯高举高打,从Vision、Strategy和Execution三个角度提出了思科在网络安全方面的战略,不仅给出了12~18月的具体行动计划,还给出2~4年和5年以上的建议,印象最深的还是那“Network Becomes the Platform for Security”的口号,其实这就是Cisco基于其强大的核心竞争力在安全方面提出的宏图大略。随后,钱伯斯细数了思科1999年到2009年的成长历史,包括期间与竞争对手之间实力对比的变化,心里赞叹之余想到,或许只有这样心有多远的公司才能走的真正的长远吧。
McAfee:多层次、多关联、实时可视化的安全
与思科这样传统的网络厂商相比,McAfee CEO的演讲更加偏重于老牌安全厂商的风格,专注而严谨。从美国经济危机开始,发现就业机会在下降、道琼斯指数在下降、消费者的信心指数更在严重下降,但是与之相反,08年的恶意软件数量在上升、联邦贸易委员会的投诉在上升、数据破坏更在大幅攀升,不管是上升还是下降,都造成了万亿美元的损失。与Cisco的高屋建瓴不同,McAfee分析了新型的攻击场景以及现阶段防护的思路,最后给出了Cybersecurity需要Multi-Layered、Multi-Correlated和Real-Time Visibility的结论。也许和McAfee一样是专注于安全的公司吧,绿盟这么多年一直也与这样的大公司保持着持续的交流与合作,它提出的一些新的理念或是研发的产品都在安全行业有着启发性的效果,也是我们不断努力的方向。
TippingPoint:持续专注于IPS
紧接着McAfee做演讲的是IPS领导厂商TippingPoint,与前两家公司都不同,演讲者是其博士CEO,因为长期钻研于技术吧,所以更加的平易近人,没有西装革履,也没有太多的言辞修饰,甚至还会紧张的忘记了演讲中的下一个话题,但是他的演讲却非常精彩。尽管TippingPoint的IPS产品已经做得非常好,但是并不没有宣传很多空洞的概念,而是专注在如何更灵活的设置Policy等一些技术上,深刻的体现了TippingPoint的风格。绿盟科技目前已经在国内成为第一大IPS产品供应商,也时常与TP竞争,对于这样尊重技术并持续研究的对手,心里不由升起一股敬意。
相关链接3:RSA2009参展厂商速递
2009年RSA Conference参展商数量减少到了大约325个,但还是引人了一些新的板块和议题吸引参与者,如INNOVATION SANDBOX、物理安全和其他安全相关的热点讨论,参与这次展览的厂商涉及到从Physical Security、IT Security到Policy Compliance的方方面面。
RSA Conference一直都是全球信息安全产业的年度盛会,历年来的会议议题都涉及到当时信息安全行业的热点及趋势性问题的分析和讨论。今年,RSA会议区域副总裁兼总经理Sandra Toms LaPedis表示,一年一度的安全会议规模扩大到了17个环节和240个会议。不过由于今年受到全球经济的影响, 2009年会议参展商数量减少到了大约325个。
绿盟科技是第二次以参展商的身份参加这个产业盛会。今年的这次会议在细节方面略比08年有所缩水,但是主办方为保持RSA这个盛会的含金量,还是在今年引人了一些新的板块和议题吸引参与者,如INNOVATION SANDBOX、物理安全和其他安全相关的热点讨论。
总体来看,各大主流厂商都在本次展会上亮相,如微软、IBM、Oracle、Symantec、McAfee等具备综合性优势的厂商无一缺席,而BARRACUDA、Fortify、NARUS、IMPERVA、Qualys、Websense、TippingPoint、Radware、Bluecoat等专注于细分专业领域的安全厂商也继续展示着各自的核心产品或最新解决方案。在展会的每个研讨环节和各个机构的展台上,安全行业的各方精英们也充分展示着自己非常专业的一面,积极与同行们讨论最新的话题,切磋最近的技术心得。
参与这次展览的厂商涉及到从Physical Security、IT Security到Policy Compliance的方方面面。在主办方印发的名录中,根据各个厂商提供的解决方案、安全产品或服务的定位不同,325家参展厂商被分为73个类别,产品线丰富的厂商自然曝光率更高一些。
绿盟科技对参展厂商的类别做了一个分析,发现安全市场的焦点定位在企业市场的应用安全领域,而合规性的市场也渐渐成为重点关注的领域。在传统的安全市场领域之外,某些新的领域也吸引了不少厂商的眼球,诸如Cloud Computing、Physical Security、Virtualization、Software Code Vulnerability Analysis等。我们对各个产品领域中参与厂商的数量进行了统计和排序,如下图所示:
值得关注的是,Web应用安全相关产品或服务领域注定是近年来一个持续增长的安全市场,这已经形成了一个明显的增长趋势。不仅参与的厂商更多,而且扮演的角色也越来越细分化。从应用开发的代码审计工具开发商,到Web应用上线前的安全评估服务商,从应用保护的产品和解决方案提供商,再到本身虽不开发产品而仅利用第三方成熟产品做SAAS运营的增值服务运营商,有关Web Application Security Lifecycle的各类角色形成一个完整的解决方案链。这不仅说明这块市场的巨大吸引力,同时也证明了占据信息安全技术发展主导地位的北美同行们的精专程度,另外还反映了这些国家给这些靠技术吃饭的商业公司提供了一片生存和成长的沃土,这在国内有的时候是难以获得的,国内外的大环境对厂商的生存发展还是有非常大的影响。我们希望国内的生存环境随着行业的不断发展变得越来越好。
相关链接4:经济危机下的RSA2009
绿盟科技已经第二次参加RSA展会,也是这次所有参展的三家中国厂商中展位最大的,由于其强大的技术研发实力和中国经济在世界上不断攀升的地位,很多参展厂商都非常关注“NSFOCUS”这个品牌,甚至某些还没有进入中国的硅谷公司已经将我们列为竞争对手,也许这是有些缩水的RSA2009下另一道亮丽的风景!
时差还没有完全倒过来,加上严重的热伤风,让RSA之行的第一夜并不安稳。清晨起来洗漱,发现去年酒店还提供的牙刷、牙膏和拖鞋,今年已经通通被“裁员”了,是否又是经济危机下节省成本之举呢?
步行去Moscone Center,熟悉的街道,熟悉的店铺,只是Apple Store里没有了去年的人头攒动,挂在Cable Car上的人也少了很多,不过街上的行人依然在享受着阳光,即使是在星期一的工作日。思忖间,抬头发现到了Moscone Center,这个已经有着近18年的全球安全展会已赫然眼前,这也是绿盟科技与之第二次的相会。
Check in的过程比去年更加自动化,通过电脑自助输入自己的名字和公司,确认按钮之后,在Registion那里已经现场打印出了参展商的身份卡,整个过程不超过20秒,确实高效。继续往下走,映入眼帘的已是各大厂商的展台,一家家浏览过去,世界级的厂商一个都不少,还发现了很多以前未曾听说过的厂商,第一次来RSA的同事感叹:原来做安全的公司这么多!也许这就是硅谷的魅力吧,不断有新的公司创建,推动着整个市场和技术的发展。
RSA2009,也有一些变化。首先,展商的数量明显减少,以前展位基本利用了展馆边边角角的位置,今年却空旷了很多,据RSA组织者介绍,200年参展商数量减少到了325个;其次,厂商的展台设计明显比2008年简洁和节省。想起去年赛车、攀岩等大手笔的展台设计,今年没有特别奢侈的“亮点”。有个展台上甚至打出了这样的标语:“No frills, No big booth, We are saving money and we will show you how.”;第三,RSA展会还增加了一个环节,帮助因经济危机下岗的安全专业人员参加展会,同时还举办研讨会,提供工作机会信息并允许雇主搜索简历。
尽管从这些点点滴滴中能看到一些经济危机的影子,但是这次RSA2009却给人带来了更多的看点。从今天下午召开的鼓励创新的Innovation Sandbox环节,到扩增到240个专题的会议群,以及新增加的物理安全和IT治理的热点,无不是年度最大信息安全展带给全球新的气息。
绿盟科技已经第二次参加RSA展会,也是这次所有参展的三家中国厂商中展位最大的,由于其强大的技术研发实力和中国经济在世界上不断攀升的地位,很多参展厂商都非常关注“NSFOCUS”这个品牌,甚至某些还没有进入中国的硅谷公司已经将我们列为竞争对手,也许这是有些缩水的RSA2009下另一道亮丽的风景!
相关链接5:RSA Conference花絮集锦
国外的展会与国内的展会还是非常不同的,虽然是专业的安全展会,但是不尽都是技术氛围,其间很多轻松和快乐的元素弥漫在展会的每个角落,虽然2009年的RSA Conference没有往年展会经常出现的一些大手笔设计,或许是因为受到了经济危机的影响,但是席间构思精巧的各类展出手段却值得称道,而展会上的人又是另一道亮丽的风景。
花絮之一:大部分参展的公司都是欧美公司,绿盟科技是为数不多的中国公司。在展会上提供的纪念品是一个刺绣的工艺品,可以折叠为一个小的容器。由于带有中国文化特色,受到很多参观者甚至参展商的追捧,有一家从事邮件安全的厂商代表还拿容量为4G的U棒来与我们进行交换。
花絮之二:为了提高人气,各家安全厂商各显奇能。ArcSight居然把SMART汽车也摆出来作为奖品吸引眼球,据说这是展会的参与者奖品,大家纷纷热议,如果“不幸”获奖,该如何开回中国了?原来梦也可以这样做。
花絮之三:梭子鱼公司今年和去年一样,依旧开了一辆车到了展厅里面,不过今年是大卡车。最酷的是,梭子鱼公司每年都租了一辆车,全身涂满了梭子鱼的广告,围着场馆绕着圈的开,每次出去呆一会都看的眼晕,真是把营销做到了极致。
花絮之四:去年有开赛车的游戏,六辆游戏厅的大型赛车一字排开,美女促销陪你赛车。今年明显受到经济危机影响,展馆里没有了赛车,换成了打地鼠游戏的 (game1),不仅占用空间小了很多,也符合绿色IT的趋势呀~~~
花絮之五:相对于打地鼠的暴力运动,场馆中也不乏智力型游戏,IT和游戏的结合目的只有一个吸引你的眼球,不知道明年会不会有“连连看”或者是“找不同”呀~
花絮之六:安全展会把黑莓公司也吸引来了,宣传黑莓的企业安全解决方案,可见国外黑莓的市场应用广泛程度,以及其上承载的关键信息价值。展台上,金发美女和奖品黑莓手机一样,“谋杀”了众多参观者的菲林
花絮之七:远亲不如近邻,虽然相隔大洋千里,但是在RSA上却成为了邻居。绿盟科技展位正对面就是Tenable公司,大家熟悉的Nessus扫描器就是他们的产品,他们也算是网络安全届的元老级产品了。
花絮之八:最著名的反编译软件IDA Pro也参展了,这是长期专注于漏洞分析和漏洞挖掘的绿盟再熟悉不过的工具了。年轻的展商代表在镜头前不知道是显得有些拘谨还是要摆出一副和招贴画中人物一样的pose,说老实话,他可比那个头像帅多了~~~
花絮之九:最近国内流行魔星刘谦,没想到RSA展会上也见到了高科技的魔星。Fortify公司从拉斯维加斯专门请来了魔术师来进行魔术表演,表演结束还把道具送了一个给我们,向我们揭示了其中的奥秘,然后告诉我们:每个魔术都有漏洞。难道Fortify今天也能发现魔术中的漏洞呢?:)
花絮之十:三百六十行,展馆里快全了,这不,Radware公司的代表已经兼职干上大夫的活了,工具还挺全,白大褂、听诊器一应俱全,开始问诊了。这一看就知道是西医!
花絮之十一:本以为又是一家诊所,回头一看打扮,发现像是生物学家,研究细菌的,再问问,原来发现是做数据恢复的厂商。他们正在演示破坏并恢复硬盘数据,带着口罩和玻璃罩是不是担心暴力破坏的时候有螺丝钉误伤群众和自己呀~~
花絮之末:谁说安全界无美女,各大厂商都有自己看家的人选,长的美那叫天生丽质,关键是人家通过后天努力进入了安全界,让RSA Conference多了一丝柔美。选几位美女代表作为花絮的结束。
