[原創]QCon 2019：雲安全大咖們聚在一起都聊了啥？

5月6-8 日，QCon 全球軟體開發大會（北京）2019在北京國際會議中心舉辦，100+國內外資深技術大咖帶來涉及 26+熱門領域的重磅議題分享。

大會第二天的“雲安全攻與防”專題論壇上，騰訊安全雲鼎實驗室負責人董志強（Killer）作為專題出品人，攜手業內經驗豐富的安全專家共同帶來了一場乾貨滿滿的議題分享，內容包含對雲上資料洩露問題探討、對網路黑產的透視、對中小網際網路公司落地雲安全的建議、以及使用流量分析解決業務安全問題，希望幫助企業在雲環境下構建更好的防護。

​

姚威：

雲上資料安全取決於企業自身的角色

（凌晨網路科技CEO 姚威）

資料作為企業的核心資產，雲端資料安全的關注程度越來越高，把資料放到雲上是否安全成為各個企業思考最多的問題。

姚威認為：

雲安全的‘現實問題’在於要認識到‘角色’的重要性，雲廠商扮演什麼角色？雲使用者扮演什麼角色？就像買了個雲主機後是買了一套住宅還是租用了一套商鋪？住宅被盜大多數是物業不行和自身門鎖防盜出現問題，而商鋪天然要對外做生意，來往人流很多，那麼店主自身的安全意識就尤為重要了。

雲的安全性毋庸置疑，目前主流雲廠商幾乎都透過了行業內的權威安全認證，並建立了完善的基礎安全服務，但用雲的企業並未做到“自我防護”或“功能的正確使用”。姚威透過剖析典型的雲上資料洩露事件發現，主要問題都集中在企業的安全意識和習慣。

姚威表示，類似的案例還有很多，諸如Hadoop，MongoDB、ElasticSearch的未授權訪問，未授權資料下載這些問題是因為用了雲才出現的問題嗎？實際“是因為誰用了雲服務，而不是用了誰的雲服務”。

喻峰：

安全人員要用好“公告-分析-捕獲”三板斧

（騰訊高階工程師 喻峰）

在紛繁複雜的網際網路中，流量是衡量這個世界活躍度的關鍵指標。面對網路虛假流量帶來的鉅額利益，不法分子利用高科技手段製造惡意流量，破壞網路秩序，無孔不入。資料顯示，2018年全球網際網路中20.4%的流量是由機器惡意製造的，這給各種網際網路企業帶來了鉅額損失。

喻峰介紹：

目前，網路黑產已經形成了完善的產業鏈。主要分為網路攻擊和業務攻擊兩類，網路攻擊透過埠掃描、暴力破解、漏洞利用等手段進行撒網式攻擊。而業務類攻擊則主要從帳號類攻擊、惡意爬蟲、流量欺詐等角度影響企業正常業務，從而導致無價值使用者和垃圾資料氾濫、營銷費用浪費、資料流失等問題。

同時喻峰也給出了反制的建議：

在愈發複雜的網路安全環境下，安全從業人員要合理運用“公告-分析-捕獲”的雲安全研究三板斧，聯動雲安全的各方力量，不僅對已知的惡意流量進行公告和分析，更要主動捕獲惡意流量，化被動防禦為主動防禦，切實保障企業的網路和業務安全。

白嘎力：

中小網際網路公司建設雲安全要站在攻擊者的視角思考

（Rokid資訊保安總監白嘎力）

Rokid資訊保安總監白嘎力表示：

中小網際網路企業落地雲安全的難點在於四個維度，即環境緯度，企業使用的公有云、混合雲、私以及其他虛擬化技術等多種形式。業務方面也涉及資料庫型別多、業務應用多、作業系統系統相容等；運維層面要考慮埠、服務、版本、ACI控制、資產管理多樣性；攻擊層面要注重漏洞掃描、DDoS、內部攻擊、身份驗證等問題。

在這種挑戰下，白嘎力認為企業的安全建設要遵循“1234”的理念。整體防護是中心；攻防平衡原則和自主可控原則是2個基本點；還要搶奪網路邊界、內部縱深防禦體系、取證溯源三個重要高地；要站在攻擊者一方思考四個假設——假設系統一定有未發現的漏洞；假設系統一定有已發現但未修復的漏洞；假設系統已被滲透；假設員工並不可靠。

“想攻擊者所想， 進而建立安全架構才能知己知彼”，白嘎力表示。

李昌志：

流量分析或是解決業務安全問題的一條捷徑

（長亭科技產品技術總監李昌志）

以“薅羊毛”為例，不同場景的“薅羊毛” 是同一個問題嗎?“薅羊毛” 問題的本質是什麼？不同的“薅⽺毛”問題有哪些共性？是否有通用的解決方案？

長亭科技產品技術總監李昌志表示：

錯綜複雜的業務型別以及攻擊方層出不窮的攻擊手段是企業在業務安全上的難點，要想解決業務安全問題首先需要“理解業務”。對於業務風控而言，需要了解某個介面接受什麼引數，返回什麼內容；呼叫介面會提供什麼功能；可實現類似功能的介面還有哪些等。

雖然面對變幻多端、錯綜複雜的業務沒有省力的解決方案，但依靠Web閘道器做流量分析是解決業務安全問題的一條捷徑，但同時要保證流量分析框架的介面足夠通用。

目前行業內大部分業務普遍面臨著由不同業務場景帶來的業務安全問題，此類問題既重要又很難找到一勞永逸的方案。

像 Load Balance，WAF 這些類似 Web 閘道器的雲基礎架構，有著對所有 HTTP 流量的處理能力，因此，由此對抗業務安全風險有著天然優勢。依靠 Web 閘道器整合實時流量分析框架，透過簡單的分析策略就可以解決眾多複雜的業務安全難題。

四位嘉賓透過不同的角度闡釋了雲安全，毫無疑問，雲安全的重要性正在引發來越廣泛的關注，每個議題都傳遞出企業應加強安全意識和實戰演練的必要性。

騰訊安全雲鼎實驗室作為行業內關注雲安全體系建設，專注於雲上網路環境的攻防研究和安全運營的團隊，希望透過與QCon共同策劃本次專場議題，更好地推動雲上安全生態的構建。

在即將到來的上海1024GeekPwn上，騰訊安全雲鼎實驗室將與極棒聯合發起首個雲安全挑戰賽（報名戳這裡→ http://2019.geekpwn.org/zh/index.html），邀請全球安全從業者透過實戰的方式，發現雲端計算中存在的漏洞，推動雲安全建設，關注雲安全的企業與安全愛好者不容錯過。