產業安全專家談丨如何建立雲上網路安全的“第一道防線”？

“中原禍作邊防危，果有豺狼四來伐。”

現如今，上雲已成為很多企業應對複雜資料流量和追求便捷性、低成本、高效能服務的不二訴求。然而，其在助推企業發展的同時卻也不可避免地帶來了更加猛烈的安全威脅，網路安全成為了企業上雲繞不過的必選項。

雲服務商和雲使用者作為網路安全的主要參與者，前者需要提供基礎性的網路安全防護措施，加強網路安全事件的監測和處置能力；後者則需要對部署在雲平臺上的系統負責，讓系統的網路安全防護達到要求。一旦雲平臺安全措施不到位，雲服務商乃至雲使用者都極有可能成為網路崩壞的“幫凶”。隨著數字生態的不斷髮展，協同防禦和集中化管控也就自然成為了企業安全管理的必由之路。

那麼對於身處網路安全治理一線的企業和使用者來說，網路安全防護究竟有何意義？如何以較低的成本，建立雲上網路安全的“第一道防線”？在AI、車聯網、區塊鏈等熱門技術的不斷應用下，又會否有更深度的融合迭代？騰訊安全聯合雲+社群打造的「產業安全專家談」今天迎來第八期，騰訊安全平臺部應用運維安全專家甘祥將會為開發者們帶來最一線的操作指引。

甘祥，騰訊安全平臺部應用運維安全專家，18年黑客攻防對戰經驗。2005年加入騰訊TEG安全平臺部，曾參與騰訊公司歷次重大安全應急響應和國家級專案重保工作。現負責網路安全基礎設施平臺建設、安全AI研究應用、安全大資料等。

Q：近年來災難性網路攻擊頻發，僅今年以來就發生了Big game hunting勒索軟體、CapitalOne資料洩露等事件。對於開發者和企業來說，雲安全防護的重要性體現在哪裡？

甘祥：災難性網路攻擊包括資料洩露，也包括一些新型攻擊技術的使用，其本質上就是資料的安全問題，例如勒索軟體、硬碟加密等，但它們在技術上並不新鮮。從資料安全層面來講，雲作為企業級的應用，本身就有很強的安全性，不會那麼輕易地被一個病毒、一個連結搞定。即使能夠進來，也不可能把所有的備份都幹掉。所以雲先天就具備對抗資料勒索、解決資料完整和可靠性問題的能力與優勢。我覺得對於開發者來說，雲的儲存服務相當於上了個強保險，遠遠勝於傳統的單機儲存環境。

Q：在安全治理上，企業在招募安全團隊、採購安全產品、建立安全防禦體系之後，是不是就真的足夠安全了？

甘祥：企業安全裝置的疊加與堆砌，在這樣一個環境下，如果企業購入的多個硬體裝置之間沒能有效聯動利用起來，可能造成企業成本的大量浪費，但安全還是沒有得到有效保障。針對這一普遍問題，我認為有兩個關鍵點：一個是動態思維，所謂的動態就是要運營，要不斷的運營，以新的知識不斷去了解對手、瞭解黑產，不斷去迭代對抗的方式，掌握新的技術。更重要的一點是協同防禦，在實踐中我們把核心安全能力通過高度API化，在企業網路安全架構中與企業已有安全產品無縫銜接，幫助客戶全面融合盤活安全力量，並通過AI演算法深度協助各產品在細分場景中充分發揮能力，協同聯動最大化安全防禦實力。

騰訊可以說是世界上最大的網際網路攻擊“靶場”，作為騰訊的“護城河”，騰訊安全平臺部在過去10多年裡守護了十億級使用者的網路安全，其中遇到的很多挑戰是讓人覺得很興奮的一件事情，我們也一直保持著跟先進技術的結合，與時俱進，做到比黑產、比攻擊更快一步。

（騰訊網路入侵防護系統3+2+N協同防禦平臺級產品）

Q：對於開發者來說，責任邊界是一個很重要的問題。上雲之後，一旦本地伺服器的資料和儲存出現問題，那麼責任該歸誰？雲服務商在其中又該承擔怎樣的責任？

甘祥：雲服務商和雲上開發者/租戶應該在相應的權責條件下承擔有限責任，而不是承擔無限責任。

對於雲服務商來說，一般會面臨資料的儲存可靠性和資料保密性兩種情況。以後者為例，如果是因為公線導致的資料洩露，那肯定是由雲服務商來解決，畢竟使用者付出了相應的費用就該享受到相應的服務；但還有一種情況，如果是個人自己的賬號和密碼沒有得到很好的保障，且雲平臺方有相應的證據來證明己方沒有過失，那麼這時就應該承擔相對應的有限責任。此外還有一種極端的情況，在強大的自然災害下就需要商業模式的介入，用保險的方式來承擔這個問題。也就是說，雲上面不單單隻有一個雲服務商，還有相應的保險機構來提供定心丸，提供雙保險。

這樣一個責任邊界的問題，在業界已經比較明確了。

Q：騰訊以龐大的體量和多年的人力、物力、資金投入才實現了這麼強大的安全能力，那麼中小企業該如何平衡自建安全能力和安全服務商能力的抉擇？   

甘祥：中小企業需要考慮自身安全應該做什麼、哪一些安全交給服務商價效比最高等問題。安全意識，包括安全習慣、編碼習慣、口令和賬號的保密、複雜度等等安全意識，是每個初創公司都應該具備的。然後還要考慮哪些東西更具價效比，這時候就應該去找雲服務商——為什麼呢？因為它會有一套完善的診療體系。另外，只有大廠商的雲才具備這樣一個條件。騰訊20多年來各種各樣的攻擊，各種各樣型別的業務都見識過，都有清晰的案例擺在那兒，所以可以比較快的實現經驗複製、能力提煉與複用。

騰訊網路入侵防護系統是騰訊公司網路安全的第一道防線，承擔了騰訊和騰訊雲平臺安全治理、全域性流量網路入侵實時防護的重任，與此同時，我們把騰訊的網路安全解決方案也毫無保留提供給行業客戶，幫助騰訊雲客戶無一例外的出色完成國際級、省市級重要時期網路安全保障工作。

（騰訊網路入侵防護系統阻斷威脅功能展示）

在安全的重要性日益突出的背景下，幾乎所有企業都要面臨著攻防的壓力。在一些特殊場景、時間點，面臨重保的訴求。這不但是企業內生的需要，也是法律法規、國家政策、行業等外生的客觀要求。對於騰訊來說，我們的經驗就是“重保常態化”，而不是將問題積壓到重保的臨界點去解決。不僅騰訊如此，我們服務的產業客戶也同樣面臨著重保壓力，我們非常願意一如既往的為他們提供騰訊久經考驗的產品和專家支援，持續加深合作，幫助客戶打贏重保戰役。

（騰訊網路入侵防護系統重保支援圖示）

Q：在技術層面上，騰訊安全與當下熱門的AI、車聯網、區塊鏈等會否有更深的融合？

甘祥：我們一直關注新的技術，主要是從兩個方面考慮。一是該項技術本身是否有些安全問題被壞人利用來攻擊，我們如何應對；二是這項新技術是否能應用到安全領域，提升安全工作的效率。

以AI技術為例，AI技術本身的安全問題安全平臺部很早就開始關注和研究，在演算法攻擊上我們2017年就參與了NIPS的Non-Targeted Adversarial Attack比賽，在全球近百支隊伍中拿到gold；在AI工具漏洞方面，tensorflow的前7個漏洞都是安全平臺部Blade Team貢獻的；在安全工作中使用AI技術我們也做得比較早，比如DDoS的檢測，利用演算法可以做到1-2秒內檢測出來；再比如在重保中我們就用過AI發現秒撥IP繞過IP閾值封禁的情況，並快速提取出攻擊特徵下發對抗策略。

目前騰訊安全平臺部天幕團隊已將AI安全能力深度應用在網路入侵防護系統中，切實幫客戶增效並加固企業安全防線。區塊鏈技術本身就是一種應用於完整性，可靠性場景的技術，在安全場景上我們也在考慮如何應用，比如說針對供應鏈攻擊。車聯網也是如此，我們會持續學習，保持跟進。