近年來，數(shù)據(jù)泄露事件頻頻發(fā)生，網(wǎng)絡(luò)敲詐勒索也正在成為“黑產(chǎn)”掘金之道。一旦發(fā)生此類安全事件無論對用戶還是企業(yè)來說都是巨大的損失。技術(shù)人其實應(yīng)該可以把好第一道關(guān)，降低安全風(fēng)險。在即將召開的QCon北京2019大會上，騰訊安全云鼎實驗室負(fù)責(zé)人董志強（Killer）將擔(dān)任“云安全攻與防”專題的出品人，與業(yè)內(nèi)多位安全大咖分享云安全的經(jīng)驗與做法。值此之際，infoQ也對 Killer 做了細(xì)致的訪談，這里整理出來，供各位了解。

再次介紹一下 Killer 其人：

董志強，江湖人稱 Killer，作為行業(yè)享有盛名的大咖，長期關(guān)注惡意代碼變化趨勢，是擁有十五年信息安全從業(yè)經(jīng)驗的云安全專家。他行事頗為低調(diào)，多次受邀作為嘉賓出席行業(yè)會議，并發(fā)表精彩主題演講。從 2006 年創(chuàng)建“超級巡警”，2007 年當(dāng)“熊貓燒香”幾乎肆虐了整個中國，“超級巡警”的“先發(fā)制人”取得了巨大成果。2016 年加入騰訊，執(zhí)掌騰訊安全云鼎實驗室，專注于云領(lǐng)域前沿安全技術(shù)研究與創(chuàng)新、安全漏洞研究和處置、云架構(gòu)和解決方案規(guī)劃設(shè)計、云標(biāo)準(zhǔn)化和合規(guī)體系建設(shè)等工作。

Q ?：了解到您是漢語言文學(xué)專業(yè)出身，后來投身安全行業(yè)，您是如何積累經(jīng)驗從外行變成行家的？文學(xué)背景對您來說有什么增益或者阻礙嗎？

Killer：有次內(nèi)部會議跟同事分享工作 1 年如何擁有 3 年的工作經(jīng)驗的話題，我提到，大家每天上班的時候做的是安全工作，出于興趣愛好，下班之后仍會持續(xù)研究安全技術(shù)和關(guān)注安全領(lǐng)域的話題，所以往往能做到工作一年獲得工作兩年甚至更多的工作經(jīng)驗。

學(xué)文最大的好處就是理解能力突出一些，這在以興趣驅(qū)動自學(xué)為主的情況下幫助較大。

Q ?：云鼎實驗室這個名字是由何而來？云鼎實驗室對于騰訊云業(yè)務(wù)而言，承擔(dān)著什么樣的角色？給實驗室的定位是什么？

Killer：實驗室的名字是我的一個朋友TK（嗯，大佬的朋友也是大佬，TK是騰訊安全玄武實驗室負(fù)責(zé)人）幫助起的，他對這塊比較有研究，是他三大技能之一。云鼎實驗室專注云安全技術(shù)研究和云安全產(chǎn)品創(chuàng)新工作，負(fù)責(zé)騰訊云安全架構(gòu)設(shè)計、騰訊云安全防護(hù)和運營工作。我們通過攻防對抗、合規(guī)審計搭建管控體系，提升騰訊云整體安全能力，通俗點說就是負(fù)責(zé)騰訊云的安全。

?Q ?：您提到了攻防對抗，能否對它進(jìn)行一個簡單的介紹？

Killer：目前，云鼎實驗室和騰訊企業(yè) IT、安全平臺部、騰訊安全旗下的其他實驗室組建了超過 5 支紅藍(lán)軍團隊，對騰訊云定期開展紅藍(lán)對抗演習(xí)，就 OA 辦公網(wǎng)、云產(chǎn)品、控制臺、容器、微服務(wù)等維度進(jìn)行全面的安全對抗和問題發(fā)現(xiàn)，再進(jìn)一步完善安全防御體系，減少安全問題。

Q ?：2018 年您印象中最深刻的安全事件是？可否簡單回顧一下？

Killer：2018 年發(fā)生了許多比較大的安全事件，比如 Facebook 陸續(xù)被傳數(shù)據(jù)泄露，多家酒店集團客房預(yù)訂數(shù)據(jù)庫被黑客竊取，約 5 億名客人的信息泄露。大數(shù)據(jù)時代，數(shù)據(jù)開始產(chǎn)生價值，黑產(chǎn)對于用戶數(shù)據(jù)的關(guān)注度持續(xù)升溫，大量的用戶數(shù)據(jù)在暗網(wǎng)售賣。企業(yè)不管業(yè)務(wù)是否上云，客戶隱私數(shù)據(jù)都應(yīng)該是安全防護(hù)的重中之重。企業(yè)敏感數(shù)據(jù)識別和分級，數(shù)據(jù)訪問控制和審計，數(shù)據(jù)存儲和傳輸加密，數(shù)據(jù)脫敏等都是企業(yè)數(shù)據(jù)安全體系建設(shè)中需要重點考慮的問題。其實，長期以來，企業(yè)一直都在面臨著諸多安全威脅，以黑客常用的密碼破解和植入后門為例，云鼎實驗室每月為用戶檢測木馬文件 70 萬個，暴力破解數(shù)百億次以上，針對每天數(shù)百起的入侵挖礦事件，快速響應(yīng)成為衡量團隊能力的關(guān)鍵指標(biāo)。

?Q ?：您現(xiàn)在負(fù)責(zé)云安全方面的工作，能否講講企業(yè)服務(wù)上云之后，對安全提出了哪些新的挑戰(zhàn)？

Killer：安全體系建設(shè)會有較大的變化，在企業(yè)用戶從傳統(tǒng) IT 架構(gòu)向云化遷移的過程中，架構(gòu)、流程、文化的變化都會帶來新的問題。大部分中小企業(yè)并沒有體系化的安全建設(shè)經(jīng)驗，向他們提供安全能力，落實安全工作面臨比較大的市場教育難度，其中上云帶來的業(yè)務(wù)模式對安全也有比較大的挑戰(zhàn)，主要有以下 3 點：

1）開發(fā)流程變化： 傳統(tǒng)企業(yè)應(yīng)用技術(shù)堆棧較厚重，系統(tǒng)開發(fā)和維護(hù)生命周期長，企業(yè)云化的最大驅(qū)動力來自于業(yè)務(wù)快速變化發(fā)展的情況下，對于 IT 需求交付速度和改善效率提出的要求。為了應(yīng)對這種變化，云化應(yīng)用更多采用了 DevOps 等敏捷開發(fā)模式取代了瀑布模型等傳統(tǒng)應(yīng)用開發(fā)模式，相應(yīng)的開發(fā)流程、工具、技術(shù)平臺也隨之變化，例如從 BS/CS 架構(gòu)轉(zhuǎn)變?yōu)槲⒎?wù)架構(gòu)，這個變化過程無論是對企業(yè)還是對安全工作都來了新的挑戰(zhàn)。

2）系統(tǒng)架構(gòu)的變化： 隨著開發(fā)模式的改變，系統(tǒng)的技術(shù)棧和底層平臺也會隨之發(fā)生變化，傳統(tǒng)的網(wǎng)絡(luò)安全域隔離和防火墻被 VPC 所取代，企業(yè)所應(yīng)用的安全產(chǎn)品、策略和管理思想也都需要跟隨這種變化。

3）數(shù)據(jù)治理和安全責(zé)任模型的變化： 在傳統(tǒng)企業(yè)中，企業(yè)主體既是資產(chǎn)和數(shù)據(jù)的所有者也是控制者，在云上根據(jù)云服務(wù)模式的差別，資產(chǎn)和數(shù)據(jù)的責(zé)任矩陣會和傳統(tǒng)私有 IT 環(huán)境發(fā)生較大的變化，此外還有數(shù)據(jù)跨境流動和不同區(qū)域內(nèi)標(biāo)準(zhǔn)法規(guī)的差異，這些都給企業(yè)數(shù)據(jù)治理帶來了較大的挑戰(zhàn)。上面這些問題都是在云化過程中企業(yè)和安全團隊面臨的新挑戰(zhàn)，既有合規(guī)、治理問題，也有流程、技術(shù)問題，需要云安全團隊和企業(yè)協(xié)同解決。

Q ?：企業(yè)的一般性安全防護(hù)部署相較于云上的安全部署，有什么優(yōu)劣勢？

Killer： 一般企業(yè)的安全防護(hù)措施通常會在網(wǎng)絡(luò)和系統(tǒng)上部署大量的盒子和 Agent，容易形成產(chǎn)品的堆砌，導(dǎo)致功能重疊和性能問題。云平臺對安全功能實現(xiàn)了整合，可以嵌入式部署，既簡化又高效。

通常，企業(yè)安全管理者需要從網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、虛擬機等基礎(chǔ)架構(gòu)到數(shù)據(jù)、應(yīng)用、終端等 IT 各個層面去全面考慮安全防御體系構(gòu)建問題。對云平臺而言，基礎(chǔ)架構(gòu)安全由云服務(wù)商統(tǒng)一提供，企業(yè)安全管理者可以把時間和精力更多的用在更為重要的業(yè)務(wù)，應(yīng)用和數(shù)據(jù)安全領(lǐng)域。

另外，對于 DDoS/CC 等攻擊，通過網(wǎng)絡(luò)單節(jié)點設(shè)備防護(hù)難以達(dá)到理想的效果，云防護(hù)可以實現(xiàn)流量和網(wǎng)絡(luò)負(fù)載，通過云服務(wù)商的網(wǎng)絡(luò)節(jié)點和帶寬資源，進(jìn)行近源流量清洗，保證業(yè)務(wù)正常運行。

綜合來說，云上的安全方案相較于過去企業(yè)的防御體系更標(biāo)準(zhǔn)化、組件化和一體化，使得企業(yè)安全運維管理更集中和高效。

Q ?：面對攻擊威脅，在事前、事中、事后應(yīng)該做哪些防御、抵擋的措施？

Killer：事前、事中、事后三條線，需要結(jié)合風(fēng)險管理模型和持續(xù)改進(jìn)方法去綜合考慮。

事前： 要做風(fēng)險評估、預(yù)測和風(fēng)險處置計劃落地，包括：資產(chǎn)的盤點，威脅和漏洞情報收集和分析，資產(chǎn)風(fēng)險分析與預(yù)測，建立專業(yè)的安全組織管理體系，安全技術(shù)防御體系，安全運維流程體系，構(gòu)建安全基線，建立安全測量和 KPI 指標(biāo)，構(gòu)建安全合規(guī)審計體系。此階段考驗的是企業(yè)風(fēng)險預(yù)測能力和安全體系架構(gòu)能力。

事中： 要做風(fēng)險實時監(jiān)控和分析，此階段要聚焦：安全日志和流量分析，安全事件運維管理，態(tài)勢感知，操作審計，UEBA 等。此階段考驗的是企業(yè)安全大數(shù)據(jù)分析能力，自動化風(fēng)險阻斷和控制能力，安全運維能力。

事后： 要做事件診斷和分析處置，殘留風(fēng)險處置，防御體系優(yōu)化和改進(jìn)，取證和溯源分析，風(fēng)險二次評估，安全防御體系補充和增強，此階段考驗的是企業(yè)安全體系優(yōu)化改進(jìn)能力，考驗安全團隊安全研究能力。

Q ?：云平臺安全建設(shè)方面，針對用戶和企業(yè)安全防護(hù)的問題，您有什么建議？

Killer：以企業(yè)為例，第一，一般來說要從合規(guī)和安全管理的角度入手，把資產(chǎn)、配置和基線做好，建立安全管理的基礎(chǔ)。第二，建立完善的漏洞運營管理體系，結(jié)合威脅情報，實現(xiàn)漏洞全生命周期閉環(huán)管理。第三，可以建立信息安全滲透測試機制，通過安全審計構(gòu)建事件發(fā)現(xiàn)和溯源能力。第四，持續(xù)對 IT 系統(tǒng)進(jìn)行安全檢查和優(yōu)化改進(jìn)，持續(xù)強化監(jiān)控和響應(yīng)，保持最佳的風(fēng)險控制和安全防御能力。

Q ?：您認(rèn)為未來的黑產(chǎn)防御應(yīng)該是什么模式？

Killer：幾個方向，從法律法規(guī)的角度來說，針對黑產(chǎn)的司法打擊會越來越嚴(yán)厲，相關(guān)司法條款也會越來越細(xì)致；從數(shù)據(jù)層面來說，未來情報共享和數(shù)據(jù)互通會成為標(biāo)配，越來越多的企業(yè)將共同為黑產(chǎn)打擊貢獻(xiàn)力量；從產(chǎn)品的角度來看，安全機制和組件會越來越貼近業(yè)務(wù)本身，安全產(chǎn)品運營化成為常態(tài)，這將對安全從業(yè)人員的數(shù)量和綜合能力提出更高的要求；從技術(shù)方面來看，以攻促防會成為常態(tài)，漏洞和安全技術(shù)研究的成果轉(zhuǎn)化模式更優(yōu)。這些綜合起來就是未來幾年內(nèi)的的防御演進(jìn)模式。

是不是還沒看過癮？不用急，2019 年5月6-8 日，QCon 北京 2019將在北京國際會議中心舉辦。由 Killer 擔(dān)任出品人的“云安全攻與防”專題將給您送上一桌云安全技術(shù)大餐。本專題包含對云上數(shù)據(jù)泄露問題探討，對網(wǎng)絡(luò)黑產(chǎn)的透視，對中小互聯(lián)網(wǎng)公司落地云安全的建議，還將教你如何使用流量分析解決業(yè)務(wù)安全問題，幫你在云環(huán)境下構(gòu)建更好的防護(hù)。

除以上議題之外，會議還有 100+ 國內(nèi)外資深技術(shù)大咖的實踐經(jīng)驗，涉及 26+ 熱門領(lǐng)域，也許能給你帶來一些技術(shù)啟發(fā)，干貨滿滿，不容錯過。

總結(jié)

以上是生活随笔為你收集整理的腾讯云安全专家 Killer 告诉你，企业上云怎么做更安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。