RSA 2018 | 互联网需要更多正义，浅谈企业的社会责任。作为安全大会，RSA关注的主要是信息安全领域
的前沿技术和观点，但在今年的议题中也有不少关注到了企业责任和社会责任。

RSA 2018大会上，一个广受关注，也是为数不多的女性演讲者名叫莱温斯基。
没错，就是你知道的那个莱温斯基。



由于莱文斯基丑闻的影响，她成为国际知名人物。随后从事各种事业，包括以她的名字设计一系列手提包，
成为饮食计划的广告代言人，担任电视人物，然后远离公众焦点，于伦敦攻读心理学硕士。
她也因丑闻在网上被人公开嘲笑。

2014年，她以社会活动家的身份重回公众视野，讨论丑闻的影响以及反对网络欺凌。
在今年的RSA大会上，莱温斯基分享的话题也正是网络欺凌。

“互联网把人与人连接起来，大家一起拯救生命甚至发动革命运动，但与此同时，
互联网也助长了黑暗和网络欺凌。”

莱温斯基说：每天都有网民因为各种原因而受到公众羞辱，以至于他们有些无法继续生活下去。

在互联网里，羞辱的力量和隐私的侵犯已经发生了转变，这样的转变正是基于互联网覆盖的广度。

过去我们收到的羞辱欺凌最多扩散到我们的家庭、学校、小区，互联网的可怕之处在于，
这些声音会扩散至网络，以更加响亮的声音传播。

莱温斯基说，网络公众的羞辱已经成为一个行业，并且我们越是点击那些八卦新闻，
我们就会越麻木，这样的恶性循环令人担忧。

“我们对网络欺凌越是容忍，我们就越会看到网络欺凌的情况，甚至是钓鱼，骚扰和某些
形式的黑客行为 – 因为跟网络欺凌一样，这些原本都应该是耻辱的行为。 ”

莱温斯基表示，要改变这种行为我们必须改变我们的信仰。 “我们需要一场文化革命，
公众羞辱的行为必须停止。现在是对互联网和我们文化进行干预的时候了。“
网络战中的企业责任



另一个广泛关注的活动是来自34家科技、安全公司的声明。

这34家全球技术和安全公司承诺不援助政府发起网络攻击，并且不论国籍，
地理位置或攻击动机，保护所有客户。

这份声明名叫网络安全技术协议(Cybersecurity Tech Accord)，签署的企业大都是一些最大的互联网公司，
其中包括ABB，Arm，Avast，Bitdefender，英国电信，CA Technologies，思科，Cloudflare，Datastax，
戴尔，DocuSign，Facebook，Fastly，FireEye，F-Secure，GitHub，GuardTime，HP Inc，HPE，Intuit，
瞻博网络，微软，尼尔森，诺基亚，甲骨文，RSA，SAP，Stripe，赛门铁克，Telefonica，
Tenable，TrendMicro和VMWare。

在本次RSA大会上，来自微软和迈克菲的高管介绍了这份协议。



微软总裁布拉德史密斯表示：网络攻击不仅仅是对机器的攻击，它会同时波及人民。举例来说，
WannaCry攻击直接影响英国的医院病人，NotPetya让乌克兰的雇员们失业，无数例子表明，
政府间的攻击往往会对平民造成影响。这也是制定协议的初衷。

协议的四条原则包括：进行更多的集体行动和信息共享;帮助客户建立自我保护能力;
为全球所有客户提供更强大的网络攻击防御;不进行任何攻击行动。

协议中提到：“我们不会帮助政府向无辜公民和企业发起网络攻击。”

Smith在演讲中再次呼吁制定“数字日内瓦公约”，他曾在之前的RSA会议演讲中建议
各国制定战时和平时的交战规则，以保护平民免受网络冲突的影响。

当然，除了上面这些企业责任议题，厂商们的创新方案也是RSA大会的主流。

CoSoSys发布新版本迎合GDPR



受到GDPR和Facebook事件的双重影响，隐私问题也是本次RSA的重要社会话题，
趁着风口，CoSoSys发布了Endpoint Protector 5.1版，迎合GDPR标准。

新发布的Endpoint Protector 5.1有一个预定义PII的扩展列表，覆盖其他欧盟国家。
公司可以轻松地跟踪和控制更大范围内的数据。

而电子数据展示扫描可以搜索静态数据以搜索存储在网络端点上的敏感信息，然后允许
进行修复操作，可以根据周、月定时自动化运行。

AI防御工具库



IBM研究人员公布了Adversarial Robustness Toolbox，这是一个开源库，
旨在帮助研究人员提高AI系统的防御能力。

针对神经网络的攻击被认为是未来最可怕的攻击，因为AI系统越来越多地被嵌入到我们日常依赖的技术中。

“借助Adversarial Robustness工具箱，可以针对AI系统启动多种攻击，安全团队可以选
择有效的防御措施。“IBM安全副总裁兼首席技术官Sridhar介绍道。

工具箱包含许多攻击和防御方法的实现。该库是用Python编写的，
未来会加入其他数据模式(语音，文本或时间序列)的支持。

NIST发布网络安全框架1.1



美国商务部国家标准与技术研究院(NIST)在RSA 2018会议上发布了NIST发布网络安全框架1.1版。

该框架的开发侧重于对国家和经济安全至关重要的行业，包括能源，银行，通信和国防工业基础。

这个框架的灵活性非常高，任何部门都可以自愿采用。

NIST Cyber​​security Framework 1.1有哪些新特性?

框架更新基于公众反馈意见，满足各类组织的需求时仍然非常灵活，适用的技术环境多种多样，
包括信息技术，工业控制系统和物联网。”

版本1.1的更新包括：

身份验证和身份，

自我评估网络安全风险，

管理供应链和环境中的网络安全

漏洞披露。