无论是“human element(人的成分)”，还是“人是安全的尺度”。
实在所要表达的意思都是：人既是威胁网络安全的成分，又是保护网络安全的成分。
因此，人才是安全的尺度。
所有理念的演进都与技能相辅相成，所有技能的发展都与理念暗中契合。
两个理念是花开两朵，各表一枝，终极殊途同归。

从零信赖到重视“人”

韶光回到2017年，创业公司UnifyID依赖一身份安全的产品在RSAC上一举夺得创新沙盒(RSAC Innovation SandboxContest)的冠军。
UnifyID的产品是从IoT设备中网络数据，依赖100多个同步成分，并结合机器学习，而为用户构建“绝对身份”。

UnifyID向外界传达了一个旗子暗记，任何静态的、单一维度的认证因子都无法担保用户身份的合法性，必须结合多维度数据对用户身份展开持续的验证。
同样是在2017年，谷歌宣告完成了基于零信赖理念构建的新一代网络安全架构-BeyondCorp。
自此，零信赖才真的大热起来。

这两个产品都是身份安全类产品，表达的意思是“人是威胁网络安全的成分”。

还是这一年，奇安信提出了“人是安全的尺度”的理念。
奇安信集团董事长齐向东在阐述“人是安全的尺度”时候认为，面对越来越严厉的网络安全问题，人在网络安全防护中起到至关主要的浸染，亟需建立“人加系统”的新安全体系。
人类聪慧在新时期的网络安全形势中，将发挥的难以替代的关键浸染。

齐向东认为，过去，当网络攻击大面积发生、危害随机产生时，能防住99%的攻击，漏掉的1%丢失是可承受的，而APT等攻击的目标每每是毁掉某个根本举动步伐或盗取关键数据，万分之一的漏报率都可能造成严重后果，要做到零漏报率，必须有强大的安全运营团队做支撑，发挥人在个中的浸染。
此外，85%的网络安全事宜都由内部职员的轻忽大意或故意造成。

人的成分，从零信赖到重视“人”。

从“人工智能”回归“人工”智能

近几年，随着大数据、机器学习、人工智能技能的快速发展，这些技能很快被用于网络安全中，自动化开始成为技能现实并扩展到越来越多的安全行动领域。
一韶光，威胁情报技能、基于终真个检测技能(EDR)和基于流量的检测技能(NDR)以及安全自动化(SOAR)等技能不断呈现，人们对这些技能寄予厚望，希望利用这些技能把该死的威胁找出来。

人工智能自动化还可以通过自动实行繁琐的任务来帮助组织应对人才短缺。
我们将看到更多利用人工智能自动化从不同安全产品中提取数据并将它们汇聚整合到一个易于阅读的视窗中的办理方案。
这些办理方案为安全剖析职员节省了手动进出不同掌握台，关联数据以及复制和粘贴所需内容的韶光，精力。

这些技能的确发挥了非常主要的浸染，使得检测能力大幅度提升。
但无论这些技能怎么发展，有一个问题始终都没有得到很好的办理：误报率。
频繁的误报带来大量的告警，这些告警中是否隐蔽着真正的威胁，还须要大量、专业的工程师去剖析，人的成分始终非常关键。

RSA主席Rohit Ghai在RSAC 2020上阐述“human element(人的成分)”时表示，如果不重新思考网络安全文化，不像关注技能那样关注人，我们终极是无法降服网络威胁的。
Rohit Ghai认为，人工智能显著提高了攻击者和防御者的手段，将在网络安全领域发挥巨大浸染，但人类活动仍将是威胁行动成功与否的关键。

换句话来理解，便是我们要从人工智能时期回归到“人+机器”的“人工”智能时期。

“人”的故事才开始

安全的实质是人与人的对抗，而人永久是凌驾于技能之上的。

无论是“human element(人的成分)”，还是“人是安全的尺度”，都是在肯定技能的条件上，提倡重视人的主要性，包括人的安全运营和人的安全培训。

Ghai在RSAC 2020的主题演讲中也明确提出了网络安全人才多元化的哀求。
Ghai认为，网络安全行业面临的招聘寻衅每每是自身造成的人才缺口。
他呼吁安全团队须要超越传统的安全专家配置，通过改进多样性来提高办理问题的能力。

在技能作为工具不断创新升级的过程中，如何真正发挥人的上风，如何真正理解人的威胁，是我们要负责思考和解决的问题。
从2017年“人是安全的尺度”，到2020年“Human Element”(人的要素)，从东方到西方，对付理解和磋商“人”在安全中的浸染的谈论才刚刚开始。

3月24日，在环球首个网络安全行业万人云峰会上，提出了“人是安全的尺度”的BCS大会主席、奇安信董事长齐向东，将和RSAC卖力人、大会议题设置卖力人Linda Gray Martin首席在线公开对话。
两人将再叙安全中“人”故事，让我们拭目以待。

此外，在这次万人云峰会上，或将确定今年BCS2020大会的主题方向。
据悉，今年BCS2020大会将于8月25日在北京举行。