QCon 2019：云安全大咖们聚在一起都聊了啥？

5月6-8 日，QCon 全球软件开发大会（北京）2019在北京国际会议中心举办，100+国内外资深技术大咖带来涉及 26+热门领域的重磅议题分享。

大会第二天的“云安全攻与防”专题论坛上，腾讯安全云鼎实验室负责人董志强（Killer）作为专题出品人，携手业内经验丰富的安全专家共同带来了一场干货满满的议题分享，内容包含对云上数据泄露问题探讨、对网络黑产的透视、对中小互联网公司落地云安全的建议、以及使用流量分析解决业务安全问题，希望帮助企业在云环境下构建更好的防护。

姚威：

云上数据安全取决于企业自身的角色

（凌晨网络科技CEO 姚威）

数据作为企业的核心资产，云端数据安全的关注程度越来越高，把数据放到云上是否安全成为各个企业思考最多的问题。

姚威认为：

云安全的‘现实问题’在于要认识到‘角色’的重要性，云厂商扮演什么角色？云用户扮演什么角色？就像买了个云主机后是买了一套住宅还是租用了一套商铺？住宅被盗大多数是物业不行和自身门锁防盗出现问题，而商铺天然要对外做生意，来往人流很多，那么店主自身的安全意识就尤为重要了。

云的安全性毋庸置疑，目前主流云厂商几乎都通过了行业内的权威安全认证，并建立了完善的基础安全服务，但用云的企业并未做到“自我防护”或“功能的正确使用”。姚威通过剖析典型的云上数据泄露事件发现，主要问题都集中在企业的安全意识和习惯。

姚威表示，类似的案例还有很多，诸如Hadoop，MongoDB、ElasticSearch的未授权访问，未授权数据下载这些问题是因为用了云才出现的问题吗？实际“是因为谁用了云服务，而不是用了谁的云服务”。

喻峰：

安全人员要用好“公告-分析-捕获”三板斧

（腾讯高级工程师喻峰）

在纷繁复杂的互联网中，流量是衡量这个世界活跃度的关键指标。面对网络虚假流量带来的巨额利益，不法分子利用高科技手段制造恶意流量，破坏网络秩序，无孔不入。数据显示，2018年全球互联网中20.4%的流量是由机器恶意制造的，这给各种互联网企业带来了巨额损失。

喻峰介绍：

目前，网络黑产已经形成了完善的产业链。主要分为网络攻击和业务攻击两类，网络攻击通过端口扫描、暴力破解、漏洞利用等手段进行撒网式攻击。而业务类攻击则主要从帐号类攻击、恶意爬虫、流量欺诈等角度影响企业正常业务，从而导致无价值用户和垃圾数据泛滥、营销费用浪费、数据流失等问题。

同时喻峰也给出了反制的建议：

在愈发复杂的网络安全环境下，安全从业人员要合理运用“公告-分析-捕获”的云安全研究三板斧，联动云安全的各方力量，不仅对已知的恶意流量进行公告和分析，更要主动捕获恶意流量，化被动防御为主动防御，切实保障企业的网络和业务安全。

白嘎力：

中小互联网公司建设云安全要站在攻击者的视角思考

（Rokid信息安全总监白嘎力）

Rokid信息安全总监白嘎力表示：

中小互联网企业落地云安全的难点在于四个维度，即环境纬度，企业使用的公有云、混合云、私以及其他虚拟化技术等多种形式。业务方面也涉及数据库类型多、业务应用多、操作系统系统兼容等；运维层面要考虑端口、服务、版本、ACI控制、资产管理多样性；攻击层面要注重漏洞扫描、DDoS、内部攻击、身份验证等问题。

在这种挑战下，白嘎力认为企业的安全建设要遵循“1234”的理念。整体防护是中心；攻防平衡原则和自主可控原则是2个基本点；还要抢夺网络边界、内部纵深防御体系、取证溯源三个重要高地；要站在攻击者一方思考四个假设——假设系统一定有未发现的漏洞；假设系统一定有已发现但未修复的漏洞；假设系统已被渗透；假设员工并不可靠。

“想攻击者所想，进而建立安全架构才能知己知彼”，白嘎力表示。

李昌志：

流量分析或是解决业务安全问题的一条捷径