結(jié)構(gòu)安全大會日前在美國舊金山召開，自動化、人工智能和機器學(xué)習(xí)是此次大會的主題。

對于商業(yè)科技領(lǐng)導(dǎo)者來說，安全與自動化是混合在一起的，此為底線。對于技術(shù)買家而言，竅門則是要搞清楚什么平臺是合法的以及什么只是純粹營銷和流行用語而已。

我們來看看結(jié)構(gòu)安全大會的要點。

自動化、自動化、自動化。私人股本公司Blackstone首席信息安全官JayLeek表示，他的公司正在開展有關(guān)調(diào)研自動化、機械性安全任務(wù)和其他方面的工作，目標是緩解安全人才危機和提高生產(chǎn)力。結(jié)果：Leek的安全分析師在做更有價值的工作，最初的調(diào)調(diào)研現(xiàn)在只需要40秒鐘。

筆者的同事給出了這樣的描述：

盡管Leek說該公司將分析師的生產(chǎn)力提高了3倍多，其實這些工作的最大價值是為標準操作帶來了一致性。例如，有了調(diào)研一致性，下層員工可以做更有意思的事情，而高級員工則可以被解放出來去做更深層次的工作。

安全需要以情報為動力。Rally風(fēng)投老總及前RSA負責(zé)人Art Coviello表示，太多的供應(yīng)商聽起來都大同小異。他過濾新的安全廠商的準則是，供應(yīng)商必須提供對現(xiàn)有的安全控制有重要改善、能夠為當(dāng)前系統(tǒng)增加價值以及能提高成本效益和效率。最后一點非常重要，因為設(shè)計到自動化。他表示，“這一塊是個爛攤子，攻擊面成指數(shù)增加。防御需要以情報為動力?！?/p>

算法和人工智能將成為安全與防御的關(guān)鍵。Cylance首席執(zhí)行官Stuart Mc Clure表示，機器學(xué)習(xí)是一門真正的科技，“機器學(xué)習(xí)必將挽救整個安保行業(yè)”。他表示，安全必須有人參與的看法過時了。McClure認為，機器學(xué)習(xí)和人工智能將對安全產(chǎn)生巨大的影響。

安全廠商將面臨洗牌。RSA首席策略官Nilofar Howe表示，安全行業(yè)需要注入創(chuàng)新元素。業(yè)界的1700家公司是否有能力交付仍不明朗。他表示，“業(yè)界現(xiàn)有1700安全公司，而90%的公司無利可圖。這些公司在市場上待了12年之久，洗牌的時候到了?！?/p>

開源在安全方面將擔(dān)當(dāng)自己的角色。大會的一個安全工程師討論會概述了開源軟件在特別安全領(lǐng)域的重要性。例如，Uber的Hudson Thrift表示，Uber公司開源了一個用于雙因素身份驗證的腳本；如果硬件插入USB盤后不被認可，就需用雙因素身份驗證。他表示，“軟件有用得上的地方，但一門業(yè)務(wù)是不能建于軟件基礎(chǔ)上的。”Slack的Leigh Honeywell也特別談到發(fā)布到社區(qū)的一個腳本，腳本令社區(qū)可以將秘密保存在Slack上。開源安全軟件最難的地方是要與安全前沿保持同步。Facebook的Nick Anderson表示，F(xiàn)acebook在開源應(yīng)用程序前會仔細審查代碼。

代碼和更佳的流程管理必須解決安全問題。大會的另一個討論小組上有Lookout、CloudPassage和Sqrrl的出席，小組圍繞如何在代碼和開發(fā)實踐中防止安全問題的出現(xiàn)展開了討論。Leek做的有關(guān)自動化的發(fā)言引發(fā)了一輪新的討論。結(jié)論是：機器學(xué)習(xí)和代碼最終必將抗衡惡意代碼。我們現(xiàn)在已經(jīng)到了這一步了嗎？還沒有。