5月6-8 日,QCon 全球软件开发大会(北京)2019在北京国际会议中心举办,100+国内外资深技术大咖带来涉及 26+热门领域的重磅议题分享。
大会第二天的“云安全攻与防”专题论坛上,腾讯安全云鼎实验室负责人董志强(Killer)作为专题出品人,携手业内经验丰富的安全专家共同带来了一场干货满满的议题分享,内容包含对云上数据泄露问题探讨、对网络黑产的透视、对中小互联网公司落地云安全的建议、以及使用流量分析解决业务安全问题,希望帮助企业在云环境下构建更好的防护。
姚威:
云上数据安全取决于企业自身的角色
(凌晨网络科技CEO 姚威)
数据作为企业的核心资产,云端数据安全的关注程度越来越高,把数据放到云上是否安全成为各个企业思考最多的问题。
姚威认为:
云安全的‘现实问题’在于要认识到‘角色’的重要性,云厂商扮演什么角色?云用户扮演什么角色?就像买了个云主机后是买了一套住宅还是租用了一套商铺?住宅被盗大多数是物业不行和自身门锁防盗出现问题,而商铺天然要对外做生意,来往人流很多,那么店主自身的安全意识就尤为重要了。
云的安全性毋庸置疑,目前主流云厂商几乎都通过了行业内的权威安全认证,并建立了完善的基础安全服务,但用云的企业并未做到“自我防护”或“功能的正确使用”。姚威通过剖析典型的云上数据泄露事件发现,主要问题都集中在企业的安全意识和习惯。
姚威表示,类似的案例还有很多,诸如Hadoop,MongoDB、ElasticSearch的未授权访问,未授权数据下载这些问题是因为用了云才出现的问题吗?实际“是因为谁用了云服务,而不是用了谁的云服务”。
喻峰:
安全人员要用好“公告-分析-捕获”三板斧
(腾讯高级工程师 喻峰)
在纷繁复杂的互联网中,流量是衡量这个世界活跃度的关键指标。面对网络虚假流量带来的巨额利益,不法分子利用高科技手段制造恶意流量,破坏网络秩序,无孔不入。数据显示,2018年全球互联网中20.4%的流量是由机器恶意制造的,这给各种互联网企业带来了巨额损失。
喻峰介绍:
目前,网络黑产已经形成了完善的产业链。主要分为网络攻击和业务攻击两类,网络攻击通过端口扫描、暴力破解、漏洞利用等手段进行撒网式攻击。而业务类攻击则主要从帐号类攻击、恶意爬虫、流量欺诈等角度影响企业正常业务,从而导致无价值用户和垃圾数据泛滥、营销费用浪费、数据流失等问题。
同时喻峰也给出了反制的建议:
在愈发复杂的网络安全环境下,安全从业人员要合理运用“公告-分析-捕获”的云安全研究三板斧,联动云安全的各方力量,不仅对已知的恶意流量进行公告和分析,更要主动捕获恶意流量,化被动防御为主动防御,切实保障企业的网络和业务安全。
白嘎力:
中小互联网公司建设云安全要站在攻击者的视角思考
(Rokid信息安全总监白嘎力)
Rokid信息安全总监白嘎力表示:
中小互联网企业落地云安全的难点在于四个维度,即环境纬度,企业使用的公有云、混合云、私以及其他虚拟化技术等多种形式。业务方面也涉及数据库类型多、业务应用多、操作系统系统兼容等;运维层面要考虑端口、服务、版本、ACI控制、资产管理多样性;攻击层面要注重漏洞扫描、DDoS、内部攻击、身份验证等问题。
在这种挑战下,白嘎力认为企业的安全建设要遵循“1234”的理念。整体防护是中心;攻防平衡原则和自主可控原则是2个基本点;还要抢夺网络边界、内部纵深防御体系、取证溯源三个重要高地;要站在攻击者一方思考四个假设——假设系统一定有未发现的漏洞;假设系统一定有已发现但未修复的漏洞;假设系统已被渗透;假设员工并不可靠。
“想攻击者所想, 进而建立安全架构才能知己知彼”,白嘎力表示。
李昌志:
流量分析或是解决业务安全问题的一条捷径
(长亭科技产品技术总监李昌志)
以“薅羊毛”为例,不同场景的“薅羊毛” 是同一个问题吗?“薅羊毛” 问题的本质是什么?不同的“薅⽺毛”问题有哪些共性?是否有通用的解决方案?
长亭科技产品技术总监李昌志表示:
错综复杂的业务类型以及攻击方层出不穷的攻击手段是企业在业务安全上的难点,要想解决业务安全问题首先需要“理解业务”。对于业务风控而言,需要了解某个接口接受什么参数,返回什么内容;调用接口会提供什么功能;可实现类似功能的接口还有哪些等。
虽然面对变幻多端、错综复杂的业务没有省力的解决方案,但依靠Web网关做流量分析是解决业务安全问题的一条捷径,但同时要保证流量分析框架的接口足够通用。
目前行业内大部分业务普遍面临着由不同业务场景带来的业务安全问题,此类问题既重要又很难找到一劳永逸的方案。
像 Load Balance,WAF 这些类似 Web 网关的云基础架构,有着对所有 HTTP 流量的处理能力,因此,由此对抗业务安全风险有着天然优势。依靠 Web 网关集成实时流量分析框架,通过简单的分析策略就可以解决众多复杂的业务安全难题。
四位嘉宾通过不同的角度阐释了云安全,毫无疑问,云安全的重要性正在引发来越广泛的关注,每个议题都传递出企业应加强安全意识和实战演练的必要性。
腾讯安全云鼎实验室作为行业内关注云安全体系建设,专注于云上网络环境的攻防研究和安全运营的团队,希望通过与QCon共同策划本次专场议题,更好地推动云上安全生态的构建。
在即将到来的上海1024GeekPwn上,腾讯安全云鼎实验室将与极棒联合发起首个云安全挑战赛(报名戳这里→ GeekPwn 2019国际安全极客大赛),邀请全球安全从业者通过实战的方式,发现云计算中存在的漏洞,推动云安全建设,关注云安全的企业与安全爱好者不容错过。