RSA Conference 2021将于2021年5月17日召开，基于疫情考量，这将是RSA大会有史以来第一次采用网络虚拟会议的形式举办。组委会提前公布了本次大会的主题：Resilience，主题一如既往的抽象，让每一人可以自由地遐想和诠释。

作为安全分析与响应领域的从业者，每年我都会关注“Analytics, Intelligence & Response”论坛的动向，以便跟踪该领域的全球领导机构和厂商的新技术和最佳实践。该论坛在2021年有15个主题分享，出现频率最高的关键词有：威胁狩猎（Threat Hunting）、攻击模拟（Attack Simulation）、MITRE AT&TCK，让我们来一探究竟：

威胁狩猎：威胁狩猎出现频率最高，威胁狩猎是需要策略和技术的旋转门，以便保持领先黑客一步。Tim Bandos将为信息安全专家提供一些技巧，帮助他们规划、开发和执行自己的有效威胁搜寻技术。而Keatron Evans则从一个假设出发，假设组织的安全控制至少失败一次且允许攻击进入内网环境，从而讨论基于假设的主动威胁狩猎是什么，以及它能有多大的开放性，相信这将是一个有趣的狩猎之旅！最值得期待的是，Kristy Westphal的分享主题《Analysis 101 and 102 for the Incident Responder》，通常分析师们对于发现黑客活动都有自己的一个理论，但不知道如何去证明它。这个实验室将提供一个实际的旅程深入到分析的具体步骤。虽然分析是一种艺术形式，但也有一些方法可以让它少一些直觉，多一些科学的方法来支持一个假设。

攻击模拟：漏洞和攻击模拟测试有助于发现现有防御体系的短板，持续提升安全态势的一致性和自动化。Gartner已经发布几篇关于BAS领域的技术报告，一些创新公司已经在进行持续探索和尝试。AttackIQ公司将举办2小时的模拟实验，在紫色团队演习支持下，专注于威胁情报集成和组织威胁协同。参与者将创建符合业务需求和IT架构的仿真环境，学会更好地了解自己的威胁环境，并为制定威胁防御计划做好准备。另一方面，RSAC的Don Murdoch将从验证企业网络弹性和安全态势评估角度出发，演示如何使用紫色团队的技术，评估现有防御体系和安全流程，并构建一个持续发展的安全规划来更好地保护企业。

MITRE ATT＆CK：MITRE带来ATT&CK在本次会议上依然火热，ATT&CK提供了黑客攻防对抗的策略与技术框架，为业界威胁分析专家进行系统化研究和交流搭建桥梁。本次论坛上，MITRE的Stanley和William将带来ATT&CK的一个新表亲： Shield，这是一个全新主动的防御知识库，专注于欺骗和敌方交战的基础技术。分享将解读知识库，并说明如何从战略制定到实施过程中使用知识库，相信无论新手和高级实践者都将获得有用的资源。

综合来看，国际领先的企业和机构在建立起较完善的安全监测和响应的体系的基础上，似乎更加专注于这三个方面工作：一是通过威胁狩猎技术，发现新型高级威胁；二是创新厂商正在尝试运用攻击模拟测试技术，建立一套评估现有防御体系和安全流程的工具和方法，从而构建一个持续改进的安全规划来更好地保护企业；三是专业机构持续输出标准化攻防对抗的框架和知识库，尝试让威胁分析少一些艺术成分，多一些科学的方法。