RSA 2021會議進行到第三天，來自研究機構、行業聯盟、專業公司等不同背景的演講嘉賓，圍繞云安全、區塊鏈、量子計算等多個主題方向，從不同層面分享了發展趨勢及獨到見解。

01 演講主題：《將MITER ATT＆CK?框架用于云威脅調查》

演講者：Jasdeep Basra& Tanu Kaushik 加州大學伯克利分校研究中心主任

MITER ATT＆CK云矩陣將針對云的已知攻擊行為匯總為一種結構化列表，主要內容包括10大戰術和41項技術。10大戰術為：初始訪問、持續性、特權提升、防御規避、憑證訪問、發現、橫向移動、收集、滲出、影響。每一個戰術對應多項技術，從而形成攻擊行為知識庫，用于攻防能力覆蓋、情報分析、威脅狩獵及攻擊模擬等領域的評估。云矩陣如下圖所示：

企業可以將ATT＆CK框架應用在安全工作的多個方面，包括確定當前部署的安全產品或工具是否存在欠缺、安全策略實施、威脅建模、量化與采用云服務等新技術相關的風險等。但是在使用ATT&CK中，也存在一些問題，比如缺乏與安全產品的互操作性、映射到技術困難、誤報過多等。87%的企業認為ATT＆CK將改善云安全性、79% 的企業覺得ATT&CK增加了云應用的舒適度，69% 的企業認為使用ATT＆CK可以更輕松地將SOC外包給提供商。演講者提出，企業應使用ATT＆CK框架進行威脅調查，調查所有數據源中威脅，從而實現自動化防御。

02 演講主題：《數字可視化：以包容和機會平等來彌補技能之間的差距》

演講者：Kris Rides（CEO&Founder, nextCISO)、John Yeoh(Global Vice President, Research CSA)、Jenai Marinkovic（CISO & CTO&Founder, nextCISO)

來自CSA和nextCISO的三位安全專家，結合自己的經歷和見解一起暢談了在數字化發展浪潮下對于多樣化勞動力和多元化安全技能的構想。其中談到通過七個步驟來構建一個多樣化的、面向未來的、可靠的網絡安全人員隊伍。七個步驟具體包括：積極尋求各種形式的多樣性人員；在安全職業生涯初期就學習企業業務和關鍵流程等技能；形成具備創造力的設計思維；學習演講技巧、談判和對復雜問題的解決能力；學習主要的網絡安全框架（SOC，ISO，NIST）、風險管理和隱私保護等安全基礎；學習包括云計算、機器學習和人工智能等在內的新興技術技能；積極地確保學生有機會從事針對不同客戶的工作；通過端到端的信息審計以及ISO 27001 ISMS的開發項目等，以尋求通過各種形式參與到客戶的工作中。

多樣化的勞動力對企業來說不僅僅是一種競爭優勢，而且對人類創新發展至關重要。通過積極培育多樣化的網絡安全工作人員，提供平等的工作機會，并通過創新實現更多新發展，這是我們為進入到下一個發展階段做好準備的關鍵。

03 演講主題：《區塊鏈安全保障與運用》

演講者：Adrian Bednarek（CISO，Overflow Labs）

確定私鑰唯一是保護區塊鏈上資產安全的關鍵。擁有數以億計的比特幣/以太坊賬戶，但在生成私鑰時是隨機并有可能出錯的。演講者介紹了密碼學及區塊鏈通用知識、分析了區塊鏈生成私鑰、從私鑰派生橢圓曲線公鑰、EC公鑰派生以太坊地址的三個步驟（如下圖所示），并以以太坊為例，從hackers視角描述運用區塊鏈不良隨機數生成弱點，構建發現弱私鑰的安全保障過程，重現了如何檢查生成的比特幣/以太坊密鑰、如何掃描 340 億個密鑰，從而發現732個私鑰的安全實踐。

04 演講主題：《自動化和云原生時代的知識冰川》

演講者：Emily Fox 云原生安全的聯合主席

隨著自動化技術的不斷發展，攻擊復雜度也在不斷降低。回顧歷史，自動化開始于1940年-1950年期間，但那時還只停留在編譯代碼和編程測試階段；進一步發展是在1960年-1970年，Email、網絡游戲、微處理器開始盛行；安全概念則出現于80年代，C++、1986年計算機欺詐和濫用法案、字（詞）處理器使人們開始關注安全性；而由于1990年計算機的爆發，Linux&Java、Web瀏覽器、Wi-Fi、在線交易等紛紛涌現；在Y2K時代，重點更是轉向DevOps，強調快速開發和部署。

沒有知識，我們就無法獲得信息，而沒有信息，就更不可能實現安全。所以演講者提出信息是安全的基礎。正如上圖的知識冰川，我們自認為已經掌握了它的全部工作原理，實際上只是露出水面的那一小部分內容，真正的工作原理卻深藏于水下。同理，整合和自動化可以使安全管理更容易，但沒有透明度的整合和自動化則會模糊和掩蓋實際的安全威脅。

演講者建議，我們應以過往知識為基礎進行系統性思考，徹底理解業務如何工作，而不僅僅停留在認為它是如何工作的層面。同時還要培養團隊間的多樣性，拓展跨行業的技能，彼此互相學習，從而找到速度、知識和安全性之間的平衡。通過擴大反饋循環，使其具有可操作性和知識性，從而確保業務快速、安全地運行。

05 演講主題：《量子計算：破解rsa算法的新奇思路》

演講者：Anastasia Marchenkova，Bleximo量子研究員，Pendo軟件工程師

一個好的量子計算機要有定義好的量子位、能夠初始化量子位的狀態、較長的退相干時間、通用的量子門集、量子位特有的測量能力；同時也可以從量子位的規模、門錯誤率、測量錯誤率、串擾（crosstalk）、量子位的拓撲結構等幾個維度評價量子計算機的好壞。IBM計劃在2023年發布1000位的機器，而PsiQuantum聲稱5年內計劃將位數做到100萬。量子技術的發展意味著量子計算機可以用很短的時間破解之前需要上億年時間的RSA算法。

量子計算飛速發展，安全問題隨之而來。早在2016年年末，NIST就開始組織“后量子密碼標準”的制定；2020年7月，評選標準出臺，經過公開評選，26個候選算法剩下15個，基于晶格、基于糾錯碼和基于多元的加密成為最有可能的候選算法。而最新標準將于2022年發布，最終選出的算法必須既能經得起量子攻擊以及傳統的經典攻擊，同時保持足夠快的速度，因為加密算法需要在網絡、智能手機、傳感器和許多其他計算能力有限的設備上運行。