結構安全大會：自動化、人工智能及機器人學習將擔起安全重任

結構安全大會日前在美國舊金山召開，自動化、人工智能和機器學習是此次大會的主題。

對于商業科技領導者來說，安全與自動化是混合在一起的，此為底線。對于技術買家而言，竅門則是要搞清楚什么平臺是合法的以及什么只是純粹營銷和流行用語而已。

我們來看看結構安全大會的要點。

自動化、自動化、自動化。私人股本公司Blackstone首席信息安全官JayLeek表示，他的公司正在開展有關調研自動化、機械性安全任務和其他方面的工作，目標是緩解安全人才危機和提高生產力。結果：Leek的安全分析師在做更有價值的工作，最初的調調研現在只需要40秒鐘。

筆者的同事給出了這樣的描述：

盡管Leek說該公司將分析師的生產力提高了3倍多，其實這些工作的最大價值是為標準操作帶來了一致性。例如，有了調研一致性，下層員工可以做更有意思的事情，而高級員工則可以被解放出來去做更深層次的工作。

安全需要以情報為動力。Rally風投老總及前RSA負責人Art Coviello表示，太多的供應商聽起來都大同小異。他過濾新的安全廠商的準則是，供應商必須提供對現有的安全控制有重要改善、能夠為當前系統增加價值以及能提高成本效益和效率。最后一點非常重要，因為設計到自動化。他表示，“這一塊是個爛攤子，攻擊面成指數增加。防御需要以情報為動力。”

算法和人工智能將成為安全與防御的關鍵。Cylance首席執行官Stuart Mc Clure表示，機器學習是一門真正的科技，“機器學習必將挽救整個安保行業”。他表示，安全必須有人參與的看法過時了。McClure認為，機器學習和人工智能將對安全產生巨大的影響。

安全廠商將面臨洗牌。RSA首席策略官Nilofar Howe表示，安全行業需要注入創新元素。業界的1700家公司是否有能力交付仍不明朗。他表示，“業界現有1700安全公司，而90%的公司無利可圖。這些公司在市場上待了12年之久，洗牌的時候到了。”

開源在安全方面將擔當自己的角色。大會的一個安全工程師討論會概述了開源軟件在特別安全領域的重要性。例如，Uber的Hudson Thrift表示，Uber公司開源了一個用于雙因素身份驗證的腳本；如果硬件插入USB盤后不被認可，就需用雙因素身份驗證。他表示，“軟件有用得上的地方，但一門業務是不能建于軟件基礎上的。”Slack的Leigh Honeywell也特別談到發布到社區的一個腳本，腳本令社區可以將秘密保存在Slack上。開源安全軟件最難的地方是要與安全前沿保持同步。Facebook的Nick Anderson表示，Facebook在開源應用程序前會仔細審查代碼。

代碼和更佳的流程管理必須解決安全問題。大會的另一個討論小組上有Lookout、CloudPassage和Sqrrl的出席，小組圍繞如何在代碼和開發實踐中防止安全問題的出現展開了討論。Leek做的有關自動化的發言引發了一輪新的討論。結論是：機器學習和代碼最終必將抗衡惡意代碼。我們現在已經到了這一步了嗎？還沒有。