10 月,开发者不可错过的开源大数据大会-2021 WeDataSphere 社区大会深圳站 了解详情
写点什么

从文科男到云安全专家,Killer 首谈企业上云利弊

2019 年 4 月 22 日

从文科男到云安全专家,Killer首谈企业上云利弊

近年来,数据泄露事件频频发生,网络敲诈勒索也正在成为“黑产”掘金之道。一旦发生此类安全事件无论对用户还是企业来说都是巨大的损失。技术人其实应该可以把好第一道关,降低安全风险。此次,我们采访了腾讯安全云鼎实验室负责人董志强(Killer)老师,希望能给读者带来一些启发。另外,他也是 QCon 北京 2019 “云安全攻与防” 专题的出品人,感兴趣的朋友可以关注一下。


InfoQ:了解到您是汉语言文学专业出身,后来投身安全行业,您是如何积累经验从外行变成行家的?文学背景对您来说有什么增益或者阻碍吗?


Killer:有次内部会议跟同事分享工作 1 年如何拥有 3 年的工作经验的话题,我提到,大家每天上班的时候做的是安全工作,出于兴趣爱好,下班之后仍会持续研究安全技术和关注安全领域的话题,所以往往能做到工作一年获得工作两年甚至更多的工作经验。


学文最大的好处就是理解能力突出一些,这在以兴趣驱动自学为主的情况下帮助较大。


InfoQ:云鼎实验室这个名字是由何而来?云鼎实验室对于腾讯云业务而言,承担着什么样的角色?给实验室的定位是什么?


Killer:实验室的名字是我的一个朋友 TK 帮助起的,他对这块比较有研究,是他三大技能之一。云鼎实验室专注云安全技术研究和云安全产品创新工作,负责腾讯云安全架构设计、腾讯云安全防护和运营工作。我们通过攻防对抗、合规审计搭建管控体系,提升腾讯云整体安全能力,通俗点说就是负责腾讯云的安全。


InfoQ:您提到了攻防对抗,能否对它进行一个简单的介绍?


Killer:目前,云鼎实验室和腾讯企业 IT、安全平台部、腾讯安全旗下的其他实验室组建了超过 5 支红蓝军团队,对腾讯云定期开展红蓝对抗演习,就 OA 办公网、云产品、控制台、容器、微服务等维度进行全面的安全对抗和问题发现,再进一步完善安全防御体系,减少安全问题。


InfoQ:2018 年您印象中最深刻的安全事件是?可否简单回顾一下?


Killer:2018 年发生了许多比较大的安全事件,比如 Facebook 陆续被传数据泄露,多家酒店集团客房预订数据库被黑客窃取,约 5 亿名客人的信息泄露。大数据时代,数据开始产生价值,黑产对于用户数据的关注度持续升温,大量的用户数据在暗网售卖。企业不管业务是否上云,客户隐私数据都应该是安全防护的重中之重。企业敏感数据识别和分级,数据访问控制和审计,数据存储和传输加密,数据脱敏等都是企业数据安全体系建设中需要重点考虑的问题。其实,长期以来,企业一直都在面临着诸多安全威胁,以黑客常用的密码破解和植入后门为例,云鼎实验室每月为用户检测木马文件 70 万个,暴力破解数百亿次以上,针对每天数百起的入侵挖矿事件,快速响应成为衡量团队能力的关键指标。


InfoQ:您现在负责云安全方面的工作,能否讲讲企业服务上云之后,对安全提出了哪些新的挑战?


Killer:安全体系建设会有较大的变化,在企业用户从传统 IT 架构向云化迁移的过程中,架构、流程、文化的变化都会带来新的问题。大部分中小企业并没有体系化的安全建设经验,向他们提供安全能力,落实安全工作面临比较大的市场教育难度,其中上云带来的业务模式对安全也有比较大的挑战,主要有以下 3 点:


(1)开发流程变化:传统企业应用技术堆栈较厚重,系统开发和维护生命周期长,企业云化的最大驱动力来自于业务快速变化发展的情况下,对于 IT 需求交付速度和改善效率提出的要求。为了应对这种变化,云化应用更多采用了 DevOps 等敏捷开发模式取代了瀑布模型等传统应用开发模式,相应的开发流程、工具、技术平台也随之变化,例如从 BS/CS 架构转变为微服务架构,这个变化过程无论是对企业还是对安全工作都来了新的挑战。


(2)系统架构的变化:随着开发模式的改变,系统的技术栈和底层平台也会随之发生变化,传统的网络安全域隔离和防火墙被 VPC 所取代,企业所应用的安全产品、策略和管理思想也都需要跟随这种变化。


(3)数据治理和安全责任模型的变化:在传统企业中,企业主体既是资产和数据的所有者也是控制者,在云上根据云服务模式的差别,资产和数据的责任矩阵会和传统私有 IT 环境发生较大的变化,此外还有数据跨境流动和不同区域内标准法规的差异,这些都给企业数据治理带来了较大的挑战。上面这些问题都是在云化过程中企业和安全团队面临的新挑战,既有合规、治理问题,也有流程、技术问题,需要云安全团队和企业协同解决。


InfoQ:企业的一般性安全防护部署相较于云上的安全部署,有什么优劣势?


Killer:一般企业的安全防护措施通常会在网络和系统上部署大量的盒子和 Agent,容易形成产品的堆砌,导致功能重叠和性能问题。云平台对安全功能实现了整合,可以嵌入式部署,既简化又高效。


通常,企业安全管理者需要从网络、服务器、操作系统、虚拟机等基础架构到数据、应用、终端等 IT 各个层面去全面考虑安全防御体系构建问题。对云平台而言,基础架构安全由云服务商统一提供,企业安全管理者可以把时间和精力更多的用在更为重要的业务,应用和数据安全领域。


另外,对于 DDoS/CC 等攻击,通过网络单节点设备防护难以达到理想的效果,云防护可以实现流量和网络负载,通过云服务商的网络节点和带宽资源,进行近源流量清洗,保证业务正常运行。


综合来说,云上的安全方案相较于过去企业的防御体系更标准化、组件化和一体化,使得企业安全运维管理更集中和高效。


InfoQ:面对攻击威胁,在事前、事中、事后应该做哪些防御、抵挡的措施?


Killer:事前、事中、事后三条线,需要结合风险管理模型和持续改进方法去综合考虑。


事前:要做风险评估、预测和风险处置计划落地,包括:资产的盘点,威胁和漏洞情报收集和分析,资产风险分析与预测,建立专业的安全组织管理体系,安全技术防御体系,安全运维流程体系,构建安全基线,建立安全测量和 KPI 指标,构建安全合规审计体系。此阶段考验的是企业风险预测能力和安全体系架构能力。


事中:要做风险实时监控和分析,此阶段要聚焦:安全日志和流量分析,安全事件运维管理,态势感知,操作审计,UEBA 等。此阶段考验的是企业安全大数据分析能力,自动化风险阻断和控制能力,安全运维能力。


事后:要做事件诊断和分析处置,残留风险处置,防御体系优化和改进,取证和溯源分析,风险二次评估,安全防御体系补充和增强,此阶段考验的是企业安全体系优化改进能力,考验安全团队安全研究能力。


InfoQ:云平台安全建设方面,针对用户和企业安全防护的问题,您有什么建议?


Killer:以企业为例,第一,一般来说要从合规和安全管理的角度入手,把资产、配置和基线做好,建立安全管理的基础。第二,建立完善的漏洞运营管理体系,结合威胁情报,实现漏洞全生命周期闭环管理。第三,可以建立信息安全渗透测试机制,通过安全审计构建事件发现和溯源能力。第四,持续对 IT 系统进行安全检查和优化改进,持续强化监控和响应,保持最佳的风险控制和安全防御能力。


InfoQ:您认为未来的黑产防御应该是什么模式?


Killer:几个方向,从法律法规的角度来说,针对黑产的司法打击会越来越严厉,相关司法条款也会越来越细致;从数据层面来说,未来情报共享和数据互通会成为标配,越来越多的企业将共同为黑产打击贡献力量;从产品的角度来看,安全机制和组件会越来越贴近业务本身,安全产品运营化成为常态,这将对安全从业人员的数量和综合能力提出更高的要求;从技术方面来看,以攻促防会成为常态,漏洞和安全技术研究的成果转化模式更优。这些综合起来就是未来几年内的的防御演进模式。


受访嘉宾介绍:


董志强作为行业享有盛名的大咖,长期关注恶意代码变化趋势,是拥有十五年信息安全从业经验的云安全专家。他行事低调,对工作热情饱满,多次受邀作为嘉宾出席各类大会,并发表了精彩演讲。从 2006 年创建“超级巡警”,2007 年当“熊猫烧香”几乎肆虐了整个中国,“超级巡警”的“先发制人”取得了巨大成果。 2012 年加入百度,负责百度安全海外市场。2016 年加入腾讯,是腾讯安全云鼎实验室的掌门人,专注于云领域前沿安全技术研究与创新、安全漏洞研究和处置、云架构和解决方案规划设计、云标准化和合规体系建设等工作。


2019 年 5 月 6-8 日, QCon北京2019 将在北京国际会议中心举办。由董志强(Killer)老师担任出品人的 “云安全攻与防” 专题将给你送上一桌云安全技术大餐。本专题包含对云上数据泄露问题探讨,对网络黑产的透视,对中小互联网公司落地云安全的建议,还将教你如何使用流量分析解决业务安全问题,帮你在云环境下构建更好的防护。


更多会议专题, 点此了解 。大会报名现已进入倒计时,团购可享折扣优惠!席位有限,马上拿起电话联系票务小姐姐 Ring 吧:电话/微信:17310043226


2019 年 4 月 22 日 13:493905

评论

发布
暂无评论
发现更多内容

浪潮云向前进一步,又向后让一步

浪潮云

云计算

❄️【程序员必看系列】开源项目有盈利模式指南

李浩宇/Alex

开源 程序员 盈利模式 5月日更

千万级学生管理系统的<考试试卷>存储方案

唐江

架构实战营

Python 协程

若尘

协程 Python编程 5月日更

位列第五大生产要素,大数据该如何突破隐私安全魔咒?

CECBC区块链专委会

成功产品三要素

lenka

5月日更

丰田汽车选用Mobileye和采埃孚的安全技术

新闻科技资讯

数据挖掘从入门到放弃(五)seaborn 的数据可视化

数据社

机器学习 5月日更

Flutter开发:Failed to retrieve the Dart SDK…的解决方法

三掌柜

5月日更

🚄【Redis 干货领域】从底层彻底吃透 AOF 重写 (源码篇)

李浩宇/Alex

redis aof Redis 协议 Redis 核心技术与实战 5月日更

数字化战争即将开启,区块链将成为有效防护壁垒

CECBC区块链专委会

JavaScript 类型化数组

空城机

JavaScript 前端 5月日更 类型化数组

集成学习案例一 (幸福感预测)

容光

数据处理

Rust从0到1-错误处理-panic!

rust 错误处理 Error 不可恢复错误

进程内缓存助你提高并发能力!

万俊峰Kevin

Go 缓存 微服务 本地缓存

冈萨雷斯《数字图像处理》学习总结及感悟:第一章 绪论 百闻不如一见

老猿Python

图形图像处理 数字图像处理 冈萨雷斯

网络攻防学习笔记 Day18

穿过生命散发芬芳

5月日更 网络攻防

架构学习笔记:架构定义

风翱

架构 5月日更

docker(centos系统)安装vim工具

liuzhen007

Docker 5月日更

Golang List, Ring and Map

escray

Go 学习 极客时间 5月日更

android端音频采集与播放

floer rivor

android 音视频

论Http、Socket、WebSocket、WebService(SOAP)之间的区别

Damon

5月日更

人人都在谈的图数据库到底是个啥?

华为云开发者社区

大数据 数据结构 数据 图数据库 华为云图引擎图数据库GES

Unix/Linux 编程:网络编程之 线程池

赖猫

Linux Linux服务器开发 Linux网络编程

霸榜GitHub的阿里内部Spring Boot实战文档到底有多强?

云流

Java 架构 面试 微服务

《冰河的渗透实战笔记》电子书,442页,37万字,正式发布!!

冰河

网络安全 信息安全 渗透测试 网络攻防 互联网技术

url踩坑记录

ES_her0

5月日更

Dubbo 负载均衡

青年IT男

dubbo

“读万卷书,行万里路”,让你收获一个不平凡的人生

小天同学

读书 成长 旅行 5月日更

分布式事务与分布式系统

邱学喆

分布式事务 raft CAP PAXOS 副本一致性

NumPy之:ndarray多维数组操作

程序那些事

Python Numpy 程序那些事

开源中间件技术学习路线

开源中间件技术学习路线

从文科男到云安全专家,Killer首谈企业上云利弊-InfoQ