QCon 2019:云安全大咖们聚在一起都聊了啥?

5月6-8 日,QCon 全球软件开发大会(北京)2019在北京国际会议中心举办,100+国内外资深技术大咖带来涉及 26+热门领域的重磅议题分享。

大会第二天的“云安全攻与防”专题论坛上,腾讯安全云鼎实验室负责人董志强(Killer)作为专题出品人,携手业内经验丰富的安全专家共同带来了一场干货满满的议题分享,内容包含对云上数据泄露问题探讨、对网络黑产的透视、对中小互联网公司落地云安全的建议、以及使用流量分析解决业务安全问题,希望帮助企业在云环境下构建更好的防护。

11.jpg

 

姚威:

云上数据安全取决于企业自身的角色

2.jpg

(凌晨网络科技CEO 姚威)

数据作为企业的核心资产,云端数据安全的关注程度越来越高,把数据放到云上是否安全成为各个企业思考最多的问题。

姚威认为:

云安全的‘现实问题’在于要认识到‘角色’的重要性,云厂商扮演什么角色?云用户扮演什么角色?就像买了个云主机后是买了一套住宅还是租用了一套商铺?住宅被盗大多数是物业不行和自身门锁防盗出现问题,而商铺天然要对外做生意,来往人流很多,那么店主自身的安全意识就尤为重要了。

云的安全性毋庸置疑,目前主流云厂商几乎都通过了行业内的权威安全认证,并建立了完善的基础安全服务,但用云的企业并未做到“自我防护”或“功能的正确使用”。姚威通过剖析典型的云上数据泄露事件发现,主要问题都集中在企业的安全意识和习惯。

姚威表示,类似的案例还有很多,诸如Hadoop,MongoDB、ElasticSearch的未授权访问,未授权数据下载这些问题是因为用了云才出现的问题吗?实际“是因为谁用了云服务,而不是用了谁的云服务”。

 

喻峰:

安全人员要用好“公告-分析-捕获”三板斧

3.jpg

(腾讯高级工程师 喻峰)

在纷繁复杂的互联网中,流量是衡量这个世界活跃度的关键指标。面对网络虚假流量带来的巨额利益,不法分子利用高科技手段制造恶意流量,破坏网络秩序,无孔不入。数据显示,2018年全球互联网中20.4%的流量是由机器恶意制造的,这给各种互联网企业带来了巨额损失。

喻峰介绍:

目前,网络黑产已经形成了完善的产业链。主要分为网络攻击和业务攻击两类,网络攻击通过端口扫描、暴力破解、漏洞利用等手段进行撒网式攻击。而业务类攻击则主要从帐号类攻击、恶意爬虫、流量欺诈等角度影响企业正常业务,从而导致无价值用户和垃圾数据泛滥、营销费用浪费、数据流失等问题。

同时喻峰也给出了反制的建议:

在愈发复杂的网络安全环境下,安全从业人员要合理运用“公告-分析-捕获”的云安全研究三板斧,联动云安全的各方力量,不仅对已知的恶意流量进行公告和分析,更要主动捕获恶意流量,化被动防御为主动防御,切实保障企业的网络和业务安全。

 

白嘎力:

中小互联网公司建设云安全要站在攻击者的视角思考

4.jpg

(Rokid信息安全总监白嘎力)

Rokid信息安全总监白嘎力表示:

中小互联网企业落地云安全的难点在于四个维度,即环境纬度,企业使用的公有云、混合云、私以及其他虚拟化技术等多种形式。业务方面也涉及数据库类型多、业务应用多、操作系统系统兼容等;运维层面要考虑端口、服务、版本、ACI控制、资产管理多样性;攻击层面要注重漏洞扫描、DDoS、内部攻击、身份验证等问题。

在这种挑战下,白嘎力认为企业的安全建设要遵循“1234”的理念。整体防护是中心;攻防平衡原则和自主可控原则是2个基本点;还要抢夺网络边界、内部纵深防御体系、取证溯源三个重要高地;要站在攻击者一方思考四个假设——假设系统一定有未发现的漏洞;假设系统一定有已发现但未修复的漏洞;假设系统已被渗透;假设员工并不可靠。

“想攻击者所想, 进而建立安全架构才能知己知彼”,白嘎力表示。

 

李昌志:

流量分析或是解决业务安全问题的一条捷径

5.jpg

(长亭科技产品技术总监李昌志)

 

以“薅羊毛”为例,不同场景的“薅羊毛” 是同一个问题吗?“薅羊毛” 问题的本质是什么?不同的“薅⽺毛”问题有哪些共性?是否有通用的解决方案?

长亭科技产品技术总监李昌志表示:

错综复杂的业务类型以及攻击方层出不穷的攻击手段是企业在业务安全上的难点,要想解决业务安全问题首先需要“理解业务”。对于业务风控而言,需要了解某个接口接受什么参数,返回什么内容;调用接口会提供什么功能;可实现类似功能的接口还有哪些等。

虽然面对变幻多端、错综复杂的业务没有省力的解决方案,但依靠Web网关做流量分析是解决业务安全问题的一条捷径,但同时要保证流量分析框架的接口足够通用。

目前行业内大部分业务普遍面临着由不同业务场景带来的业务安全问题,此类问题既重要又很难找到一劳永逸的方案。

像 Load Balance,WAF 这些类似 Web 网关的云基础架构,有着对所有 HTTP 流量的处理能力,因此,由此对抗业务安全风险有着天然优势。依靠 Web 网关集成实时流量分析框架,通过简单的分析策略就可以解决众多复杂的业务安全难题。

四位嘉宾通过不同的角度阐释了云安全,毫无疑问,云安全的重要性正在引发来越广泛的关注,每个议题都传递出企业应加强安全意识和实战演练的必要性。

腾讯安全云鼎实验室作为行业内关注云安全体系建设,专注于云上网络环境的攻防研究和安全运营的团队,希望通过与QCon共同策划本次专场议题,更好地推动云上安全生态的构建。

在即将到来的上海1024GeekPwn上,腾讯安全云鼎实验室将与极棒联合发起首个云安全挑战赛(报名戳这里→ GeekPwn 2019国际安全极客大赛),邀请全球安全从业者通过实战的方式,发现云计算中存在的漏洞,推动云安全建设,关注云安全的企业与安全爱好者不容错过。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/62669.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2020 以太坊技术及应用大会·中国圆满落幕,大咖们的演讲精华都在这里了!

编辑 | 晋兆雨、Carol 2020年8月8日,【以太坊技术及应用大会中国】圆满结束,CSDN 创始人&董事长、极客邦创投创始人蒋涛、以太坊创始人Vitalik Buterin 、Unitimes、独角时代创始人姜英英、CSDN 副总裁、通证经济发起人孟岩、DeFi Labs创始人代世超、PChain 创始…

大咖们的15条产品方法论,你都知道吗?

在互联网流量红利阶段,中国的互联网行业蓬勃发展。产品经理作为互联网企业的「火车头」,在企业增长过程中承担了中坚位置。 产品经理岗位从形态不清晰,到今天大量的底层思维、方法论沉淀。群星闪烁,也积累了宝贵的行业及岗位财富。…

Cacti监控讲解

Cacti监控讲解 1、Cacti原理的概述 组件构成: 组合框架:LAP数据收集:SNMP 这个是简单的网络管理协议监控的必须使用的协议;SNMP Apache:web页面提供; 动态共享模块功能; 绘制图形&#xff1a…

不会真的有人看不懂 Linux 小白都能看懂的大数据入门(一) 图文

一、概述 1.1 Linux的历史 操作系统,英语Operating System简称为OS。说道操作系统就需要先讲一讲Unix,UNIX操作系统,是一个强大的多用户、多任务操作系统,支持多种处理器架构,按照操作系统的分类,属于分时…

我只是追个直播,结果被拉进大咖们的群面对面群聊……

这一切要从上世纪60年代讲起…… 20世纪60年代,阿帕网(ARPANET)将共享源代码、互相协作和开放通信的底蕴写入软件开发的基因中,为「开源」的概念奠定了基础。 1991 年 9 月 17 日,一位名为 Linus 的小伙子将自己写的新…

​最强全集,数据科学领域,那些你不能不知道的大咖们!

全文共8242字,预计学习时长24分钟 图源:Unsplash 是什么让数据科学成为一个性感的行业?当把海量数据注入到新兴行业中,并随之而涌现的大量令人兴奋的新技术。 如今,数据科学不再是纯抽象领域的代名词,而是随处可见。 从大型产业到学术研究,无不体现出社会对该专业领…

CXO和BATJ大咖们力荐的新书《推荐系统开发实战》发售了!

大家好,我是王老湿。老读者都知道,自从我毕业后,一直在做推荐系统相关的工作,想当初我在入门推荐系统的时候,由于当时并没有发现非常全面又不过时的相关书籍,所以学习的时候都是零零散散地来学习&#xff0…

520来 GitHub Copilot 开发者训练营,与技术大咖们约个会!

(本文阅读时间:2分钟) 官方研究显示,使用 GitHub Copilot 后: 90% 开发者表示可以更快地完成任务; 75% 开发者感到更有成就感; 73% 开发者能保持顺畅并节省精力。 看到这里的你,是不…

大咖们如何评判优秀架构师?

导语 | 成为一名优秀的架构师是很多开发者的梦想,但对很多人来说却欠缺一条可供参考的实现路径。「云社区沙龙online」邀请到腾讯云云服务器副总经理李力、贝壳金服小微企业生态CTO&腾讯云最具价值专家(TVP)史海峰、奈学教育科技创始人&a…

大咖们都在用的工具,你还不快看看?

上面这些师傅们都熟悉哪些?今天来简单介绍一些实用的工具 Nmap Nmap是一个网络扫描和主机检测工具,可以用于识别网络中的主机和服务,以及检查开放的端口、监督管理检修时间表、观察主机或管理的正常运行时间。Nmap被称为“网络管理员和安全审…

周末和技术大咖们聚餐,聊到了软件测试行业的“金九银十”高峰【内卷之势已然形成】

大家好! 周末和技术大佬们聚餐,聊到了测试行业的“金九银十”高峰就业问题,普遍认为转行和大学生入行的越来越多,内卷之势已然形成。 现在不论面试哪个级别的测试工程师,面试官都会问一句 “会编程吗?有没…

钉钉斜杠“/”开启邀请测试;用ChatGPT写一个数据采集程序

🦉 AI新闻 🚀 钉钉斜杠“/”开启邀请测试,AI全面智能化助力企业生产 摘要:钉钉斜杠“/”邀请测试开启,应用于文档、群聊、视频会议、应用开发等场景,为企业用户提供多项AI智能能力,如创作、汇…

上周 牛牛牛 的 GitHub 项目

本期推荐开源项目目录: 1. 用 AI 生成梦幻房间 2. 30 天学会 Python 3. 歌声音色转换模型 4. 场景建一个 ChatGPT 机器人 5. B站视频内容一键总结 6. Youtube 下载工具 01 用 AI 生成梦幻房间 本开源项目使用名为 ControlNet 的机器学习模型生成你梦想中的房间&…

2023大型语言模型推荐技术进展综述: 分类、进展、问题、趋势.

本文转载自: 2023大型语言模型推荐技术进展综述: 分类、进展、问题、趋势. 原文链接:https://arxiv.org/pdf/2305.19860.pdf A Survey on Large Language Models for Recommendation 文章目录 内容摘要1. 内容引言2. LLM推荐建模范式3. 用于推荐的判别式…

一个帐号多设备登录的处理

多设备登录的问题处理,远没有看起来那么简单。除了设计理念,安全方面的考量外,在技术上处理 也是个麻烦事。 列几种情况: 情况A: 同用户在多个同类型设备上登录。 如,同一个帐号在多个Android手机上登录. 情况B: 同用户在多个不同…

适合新手的mac电脑使用技巧 苹果电脑的快捷键和使用技巧

新手在操作Mac电脑是自然会有很多不适应的地方,这时候你就要学习一些关于mac电脑使用技巧啦!这篇文章主要为大家带来一些关于苹果电脑的快捷键和使用技巧,主要用于文本操作,有兴趣的朋友可以来这里了解一下哦! 移动与选取 1. 光标移动 刚从 Windows 转过来的时候可能会发…

Mac新手必看教程,苹果电脑基本使用操作,苹果电脑基本操作

现在使用Mac电脑的用户越来越多了,那么刚开始使用Mac电脑,难免会有点生疏,有些基本的设置都不是很了解,那么这里小编为大家带来一些关于Mac电脑的基本设置,Mac小白或者感兴趣的朋友都可以来看看哦! 仪表盘 …

Android利用canvas画各种图形 及Paint用法

1、首先说一下canvas类: Class Overview The Canvas class holds the "draw" calls. To draw something, you need 4 basic components: A Bitmap to hold the pixels, a Canvas to host the draw calls (writing into the bitmap), a drawing primitive …

会讲故事的Cogview --- AI绘图

此故事来自cogview.ai 网站上的用户生成 ChatGPT 教你用AI绘图说故事 很久以前,有一只小兔子,他生活在一片美丽的森林里。 来源:cogview.ai 有一天,小兔子碰到了一只小猫 来源:cogview.ai 小猫说:“来和我…

chatgpt赋能python:Python中创建画布的函数——matplotlib

Python中创建画布的函数——matplotlib Python作为一种强大的编程语言,拥有许多重要且广泛应用的模块和库。其中,matplotlib是一种用于制作高质量的图形和图表的库,而创建画布的函数便是其基础功能之一。 什么是matplotlib? Ma…