从文科男到云安全专家，Killer 首谈企业上云利弊

近年来，数据泄露事件频频发生，网络敲诈勒索也正在成为“黑产”掘金之道。一旦发生此类安全事件无论对用户还是企业来说都是巨大的损失。技术人其实应该可以把好第一道关，降低安全风险。此次，我们采访了腾讯安全云鼎实验室负责人董志强（Killer）老师，希望能给读者带来一些启发。另外，他也是 QCon 北京 2019 “云安全攻与防” 专题的出品人，感兴趣的朋友可以关注一下。

InfoQ：了解到您是汉语言文学专业出身，后来投身安全行业，您是如何积累经验从外行变成行家的？文学背景对您来说有什么增益或者阻碍吗？

Killer：有次内部会议跟同事分享工作 1 年如何拥有 3 年的工作经验的话题，我提到，大家每天上班的时候做的是安全工作，出于兴趣爱好，下班之后仍会持续研究安全技术和关注安全领域的话题，所以往往能做到工作一年获得工作两年甚至更多的工作经验。

学文最大的好处就是理解能力突出一些，这在以兴趣驱动自学为主的情况下帮助较大。

InfoQ：云鼎实验室这个名字是由何而来？云鼎实验室对于腾讯云业务而言，承担着什么样的角色？给实验室的定位是什么？

Killer：实验室的名字是我的一个朋友 TK 帮助起的，他对这块比较有研究，是他三大技能之一。云鼎实验室专注云安全技术研究和云安全产品创新工作，负责腾讯云安全架构设计、腾讯云安全防护和运营工作。我们通过攻防对抗、合规审计搭建管控体系，提升腾讯云整体安全能力，通俗点说就是负责腾讯云的安全。

InfoQ：您提到了攻防对抗，能否对它进行一个简单的介绍？

Killer：目前，云鼎实验室和腾讯企业 IT、安全平台部、腾讯安全旗下的其他实验室组建了超过 5 支红蓝军团队，对腾讯云定期开展红蓝对抗演习，就 OA 办公网、云产品、控制台、容器、微服务等维度进行全面的安全对抗和问题发现，再进一步完善安全防御体系，减少安全问题。

InfoQ：2018 年您印象中最深刻的安全事件是？可否简单回顾一下？

Killer：2018 年发生了许多比较大的安全事件，比如 Facebook 陆续被传数据泄露，多家酒店集团客房预订数据库被黑客窃取，约 5 亿名客人的信息泄露。大数据时代，数据开始产生价值，黑产对于用户数据的关注度持续升温，大量的用户数据在暗网售卖。企业不管业务是否上云，客户隐私数据都应该是安全防护的重中之重。企业敏感数据识别和分级，数据访问控制和审计，数据存储和传输加密，数据脱敏等都是企业数据安全体系建设中需要重点考虑的问题。其实，长期以来，企业一直都在面临着诸多安全威胁，以黑客常用的密码破解和植入后门为例，云鼎实验室每月为用户检测木马文件 70 万个，暴力破解数百亿次以上，针对每天数百起的入侵挖矿事件，快速响应成为衡量团队能力的关键指标。

InfoQ：您现在负责云安全方面的工作，能否讲讲企业服务上云之后，对安全提出了哪些新的挑战？

Killer：安全体系建设会有较大的变化，在企业用户从传统 IT 架构向云化迁移的过程中，架构、流程、文化的变化都会带来新的问题。大部分中小企业并没有体系化的安全建设经验，向他们提供安全能力，落实安全工作面临比较大的市场教育难度，其中上云带来的业务模式对安全也有比较大的挑战，主要有以下 3 点：

（1）开发流程变化：传统企业应用技术堆栈较厚重，系统开发和维护生命周期长，企业云化的最大驱动力来自于业务快速变化发展的情况下，对于 IT 需求交付速度和改善效率提出的要求。为了应对这种变化，云化应用更多采用了 DevOps 等敏捷开发模式取代了瀑布模型等传统应用开发模式，相应的开发流程、工具、技术平台也随之变化，例如从 BS/CS 架构转变为微服务架构，这个变化过程无论是对企业还是对安全工作都来了新的挑战。

（2）系统架构的变化：随着开发模式的改变，系统的技术栈和底层平台也会随之发生变化，传统的网络安全域隔离和防火墙被 VPC 所取代，企业所应用的安全产品、策略和管理思想也都需要跟随这种变化。

（3）数据治理和安全责任模型的变化：在传统企业中，企业主体既是资产和数据的所有者也是控制者，在云上根据云服务模式的差别，资产和数据的责任矩阵会和传统私有 IT 环境发生较大的变化，此外还有数据跨境流动和不同区域内标准法规的差异，这些都给企业数据治理带来了较大的挑战。上面这些问题都是在云化过程中企业和安全团队面临的新挑战，既有合规、治理问题，也有流程、技术问题，需要云安全团队和企业协同解决。

InfoQ：企业的一般性安全防护部署相较于云上的安全部署，有什么优劣势？

Killer：一般企业的安全防护措施通常会在网络和系统上部署大量的盒子和 Agent，容易形成产品的堆砌，导致功能重叠和性能问题。云平台对安全功能实现了整合，可以嵌入式部署，既简化又高效。

通常，企业安全管理者需要从网络、服务器、操作系统、虚拟机等基础架构到数据、应用、终端等 IT 各个层面去全面考虑安全防御体系构建问题。对云平台而言，基础架构安全由云服务商统一提供，企业安全管理者可以把时间和精力更多的用在更为重要的业务，应用和数据安全领域。

另外，对于 DDoS/CC 等攻击，通过网络单节点设备防护难以达到理想的效果，云防护可以实现流量和网络负载，通过云服务商的网络节点和带宽资源，进行近源流量清洗，保证业务正常运行。

综合来说，云上的安全方案相较于过去企业的防御体系更标准化、组件化和一体化，使得企业安全运维管理更集中和高效。

InfoQ：面对攻击威胁，在事前、事中、事后应该做哪些防御、抵挡的措施？

Killer：事前、事中、事后三条线，需要结合风险管理模型和持续改进方法去综合考虑。

事前：要做风险评估、预测和风险处置计划落地，包括：资产的盘点，威胁和漏洞情报收集和分析，资产风险分析与预测，建立专业的安全组织管理体系，安全技术防御体系，安全运维流程体系，构建安全基线，建立安全测量和 KPI 指标，构建安全合规审计体系。此阶段考验的是企业风险预测能力和安全体系架构能力。

事中：要做风险实时监控和分析，此阶段要聚焦：安全日志和流量分析，安全事件运维管理，态势感知，操作审计，UEBA 等。此阶段考验的是企业安全大数据分析能力，自动化风险阻断和控制能力，安全运维能力。

事后：要做事件诊断和分析处置，残留风险处置，防御体系优化和改进，取证和溯源分析，风险二次评估，安全防御体系补充和增强，此阶段考验的是企业安全体系优化改进能力，考验安全团队安全研究能力。

InfoQ：云平台安全建设方面，针对用户和企业安全防护的问题，您有什么建议？

Killer：以企业为例，第一，一般来说要从合规和安全管理的角度入手，把资产、配置和基线做好，建立安全管理的基础。第二，建立完善的漏洞运营管理体系，结合威胁情报，实现漏洞全生命周期闭环管理。第三，可以建立信息安全渗透测试机制，通过安全审计构建事件发现和溯源能力。第四，持续对 IT 系统进行安全检查和优化改进，持续强化监控和响应，保持最佳的风险控制和安全防御能力。

InfoQ：您认为未来的黑产防御应该是什么模式？

Killer：几个方向，从法律法规的角度来说，针对黑产的司法打击会越来越严厉，相关司法条款也会越来越细致；从数据层面来说，未来情报共享和数据互通会成为标配，越来越多的企业将共同为黑产打击贡献力量；从产品的角度来看，安全机制和组件会越来越贴近业务本身，安全产品运营化成为常态，这将对安全从业人员的数量和综合能力提出更高的要求；从技术方面来看，以攻促防会成为常态，漏洞和安全技术研究的成果转化模式更优。这些综合起来就是未来几年内的的防御演进模式。

受访嘉宾介绍：

董志强作为行业享有盛名的大咖，长期关注恶意代码变化趋势，是拥有十五年信息安全从业经验的云安全专家。他行事低调，对工作热情饱满，多次受邀作为嘉宾出席各类大会，并发表了精彩演讲。从 2006 年创建“超级巡警”，2007 年当“熊猫烧香”几乎肆虐了整个中国，“超级巡警”的“先发制人”取得了巨大成果。 2012 年加入百度，负责百度安全海外市场。2016 年加入腾讯，是腾讯安全云鼎实验室的掌门人，专注于云领域前沿安全技术研究与创新、安全漏洞研究和处置、云架构和解决方案规划设计、云标准化和合规体系建设等工作。

2019 年 5 月 6-8 日， QCon北京2019 将在北京国际会议中心举办。由董志强（Killer）老师担任出品人的 “云安全攻与防” 专题将给你送上一桌云安全技术大餐。本专题包含对云上数据泄露问题探讨，对网络黑产的透视，对中小互联网公司落地云安全的建议，还将教你如何使用流量分析解决业务安全问题，帮你在云环境下构建更好的防护。

更多会议专题， 点此了解 。大会报名现已进入倒计时，团购可享折扣优惠！席位有限，马上拿起电话联系票务小姐姐 Ring 吧：电话/微信：17310043226