RSA 2017 上三種對安全行業發展不利的事情

每年的rsa大會，對於廠商來說都是個令人興奮的展示和交流的機會。安全產業齊聚一堂，匯報去年成果，展望新的一年。

今年的rsa，一如既往，各大優秀的安全廠商、初創公司所展示的優秀產品和創新技術，令人印象深刻，深受啟發。然而，安全產業在經營模式方面的一些弊端，也逐漸顯露出來。

過度宣傳與包治百病

每年，無數安全廠商在rsa展台上來來去去，承諾自己最新革命***將解決全世界的安全問題。當然，安全領域的創新極其重要，也是確保我們領先攻擊者的重要途徑。但是，有些廠商往往言過其實，讓公司企業在不相干的安全產品上大把投錢，卻不能真正讓自家公司更加安全。

許多業內人士都明白，安全領域根本沒有「銀彈」，廠商必須停止向企業灌輸這種東西的存在。最終，乙個有效的安全專案需要的是更加全面的風險管理方法，專注在多種不同技術的整合，以及打造強安全團隊管理這些系統上。「包治百病」式的安全手段長久以來都是低效無能的，但現在依然還能看到某些安全公司繼續這種宣傳模式。

利用恐嚇戰術做推銷

很多廠商通過恐嚇企業，讓他們相信自己需要這些工具。強調最新大型安全事件，宣稱只有購買自己的產品才能擋住該威脅。另外，暗示企業如果缺乏某個特定的安全元件，就會危及到整個企業。

真相是，大多數成熟的公司不會被唬住；這種言過其實的安全威脅，也最終會被「撲滅」。如果安全行業自身一直對威脅和攻擊採取「狼來了」戰術，恐怕最終會失去信譽，對人對自己均造成傷害。

作為安全需求方的企業，應該採取的是深思熟慮的延續性安全建設方法，不要因為害怕不買哪種產品就立馬被黑，而急衝衝購入市面上出現的每一種新產品。

**羞辱

所有的機構都面臨安全風險，雖然整個安全行業都在不辭辛勞地幫助企業避免被黑，但安全事件仍然時有發生。這時往往受害者會被業內廣為抨擊，稱他們應該部署這個產品或那個服務或某種響應。

實際上這種馬後炮根本於人於己都無益。相反，我們應該將受害公司的經歷當成行業內有價值的經驗教訓。重大資料洩露的唯一益處，是它為我們提供了用來預防同類事件再次發生的有用資訊。與其羞辱不幸中招的公司，不如將大規模攻擊當成繼續創新的動力，為未來開創更好的安全。

未來在於協同

rsa大會無疑是個很棒的盛會，上述不良方面並不能貶低它的價值。其中乙個特別激勵人心的方面就是：更多的協作。

威脅態勢持續進化是個不爭的事實。想領先不斷發展的威脅一步，全球主要安全廠商間的技術整合和情報共享，是關鍵路徑。只要每家公司都能在攻擊發生時有所感知，黑客就能被狙殺在染指下乙個目標的路上，讓其他公司免於受害。

同樣，各家公司的技術整合到一塊，可以為客戶提供更可控更易於部署的安全基礎設施，是最小化使用者額外工作的同時增強安全的極佳方式。今年的rsa大會上，很多公司響應這種觀點，並採取了行動推進廠商間協作。隨著rsa落下帷幕，希望這一趨勢在來年能持續發酵。