雷鋒網編者按:前兩年,雲計算慢慢普及,但人們對于雲安全可能不夠了解。越來越多的企業“上雲”,他們也在組建自己的安全團隊,但是,安全團隊到底應該如何建設雲安全?隻有自有的安全團隊就夠了嗎?雲安全趨勢如何?阿裡雲安全總經理肖力在 2017 年網絡安全生态峰會上對這些問題進行了回答。雷鋒網對其演講内容進行了整理,小标題為雷鋒網(公衆号:雷鋒網)編者所加。
我給中國所有的企業打一個安全分,如果滿分是 5 分,中國 90 %的企業在安全方面隻能得分 0 到 1 分,大部分企業沒有自身的安全團隊,在專業人才、安全能力建設方面其實非常弱,一些企業最多買了一些防火牆,但是這些“購買”根本解決不了企業業務在安全方面遇到的挑戰。
一些網際網路企業近兩年吸引了大量安全人才,組建自身的安全團隊,但依然面臨安全挑戰:這些團隊可能在應急能力、基本安全運維、漏洞修複方面做得不錯。但是,各行業有不同安全痛點,在專業安全的能力建設、積累上遇到很大挑戰。
隻有不到 2%的企業,包括 bat、營運商、一些政府機構,在安全方面已經投入 5 年到 10 年,每年可能超過近上億的投入,提升自身安全能力。但是,這些企業業務越大,投入越大,責任也越大,今天,不管是bat,還是其他大型網際網路公司,或是大型央企,在安全能力建設投入會更高,因為安全涉及到各個領域。
在雲計算與大資料時代,一些政策需要改變。很多公司花很多錢買很好的裝置。甚至我們開玩笑叫“羊肉串”,一個鍊路上面串了很多産品。但是,買了很多安全産品,在鍊路上導緻了穩定性問題,安全依然受到很大挑戰。
另一方面,實體隔離對蠕蟲病毒根本沒有用。移動網際網路時代,移動裝置能輕易接入内網,不管是 usb 傳播,還是需要與網際網路産生更多通信的方式,都意味着企業邊界開出了很多口子,企業如何解決這些問題?
一方面,邊界安全已經失效,在我們眼裡今天的蠕蟲還是非常簡單的蠕蟲,它一方面利用個别漏洞,另一方面可能利用一些密碼就輕易突破各個企業,甚至包括一些國家的内網。
可以預期的是,通過自動化滲透技術,加上一些勒索加密技術,更多更智能的自動化蠕蟲會爆發,對網際網路上的所有企業都是一個巨大挑戰。
這張圖左邊是一家網際網路公司網絡拓撲圖,上千個節點可能利用一個圓圈,這個圓圈在bat做了很多的防護,但是内部聯系雜亂無章,不管是攻擊者還是蠕蟲,隻要突破了邊界,内網一覽平川。
這張圖右邊是另外一家全球高安全等級公司的内網拓撲圖。未來企業内網需要非常系統的架構性思考與架構規劃。在整個業務的闆塊,需要良好分類,以及自動化的東西向流量的隔離,包括更智能的隔離政策,幫助企業做内部防禦政策。
在該内網拓撲圖中,每一個區域都是非常獨立的業務闆塊。每一個闆塊間設定了一些名單政策,如果有異常流量,企業在第一時間就能知道。接下來,企業東西向流量自動合力技術會發展得越來越快,這也是未來企業需要思考的内網安全政策。
大家都覺得安全營運很重要,出了問題後,企業請安全廠商第一時間做應急,實際上大家要思考——重視安全應該要做到防患于未然,企業出了事情以後修複成本是最高的,高到企業無法承擔。
以 ddos 為例,在蠕蟲爆發前 28 天,漏洞已經被大家知道,整個安全營運團隊對漏洞進行了詳細的分析,評估了漏洞的危害,通知了雲上的企業使用者,同時第一時間幫助他們修複漏洞,是以當蠕蟲爆發時,雲上這些企業幾乎沒有受到什麼影響,這就是安全營運的能力。
另一方面,很多企業在做 sdl,做安全開發流程。但是大家思考一個問題,安全開發流程大部分專注在黑客、白客的檢測,上線之前發現漏洞,降低風險。
經常有人忽略一個點,sdl的根源是什麼?開發工程師産生了大量的漏洞,漏洞都是開發功能産生的,我們永遠在後面,不斷發現漏洞,其實都是亡羊補牢。是以在不同的流程中,大家要思考,整個安全的根源在哪裡,從根源解決問題。
并不是買的全球最好的安全産品就搞了企業安全,何況今年在 rsa 的會上,各個領域的産品看得我眼花撩亂。我很難分辨,哪些安全産品是最好的,是以從安全産品的角度來看,大家一定要思考——并不是買最好的安全産品,企業安全就 ok了。
企業要達到最好的安全效果,一定要有兩個必要條件:第一,需要類似于 ak47的超級武器;第二,除了ak47,還需要有會用 ak47 的人。
很多企業隻是買了産品,但是“買了一個産品放在那裡就行”實際是一個誤區。在安全營運領域,攻防是對抗的過程,今天安全并不代表明天就安全,需要營運團隊不斷了解對方的攻擊招數,第一時間響應,一定要防患于未然。
藍軍一定是未來每家企業安全體系中非常重要的一個環節。有三點理由:
第一,每一家企業都需要藍軍、通過衆測來發現漏洞,不能光依靠自己的安全團隊,要期待全球幫助自身盡早發現漏洞,隻要比攻擊者更早發現漏洞自然就安全了。
第二,安全都是做防禦的。防禦體系到底有沒有效果?需要不斷演習,這種演習需要企業組建一支非常高效,有能力的藍軍的隊伍,也可以利用整個生态的力量,安全公司也好,外部的力量也罷,不斷檢驗防禦效果。
第三,從藍軍的角度看,藍軍擁有安全溯源的能力。如果一個攻擊者天天盯着你的企業,今天發起了攻擊,你的防禦非常好,營運也很厲害,都防住了。明天又來一撥,又防住了。但是,總有一天攻擊者能把你搞掉。企業自身要有複原能力,要知道今天、明天打你的那個團夥是誰,要通過與公安機關合作來有效打擊對方,對攻擊你的團夥有威懾力,這樣别人才不敢搞你。
從攻防對抗角度看,企業隻要發現攻擊者,這個戰鬥已經結束了。但是,企業往往因為看不到對方,對手已經潛入到内部,拿到資料走人了,是以,“看見”能力非常重要。但是,所謂“看見”能力,現在大家對此還有一些誤解。
感覺其實有兩個關鍵點,第一個關鍵點号稱“态勢感覺”,是不是擁有企業全局非常關鍵。很多安全廠商說,我在你所有的伺服器上都裝了裝置,我給你搞一個态勢感覺,其實不是的,你從企業視角來看,一定要擁有對業務、應用、系統、網絡流量等打通來看的能力。而且,态勢感覺不光是防黑客,還要防有惡意的員工,甚至是内鬼、間諜通過業務漏洞來拿服務資料,避免是以給企業造成很大的損失。企業感覺第一條——一定要拿到全部日志。
第二個關鍵點是——整個企業面對的風險,不是從單點來看,當你擁有企業日志時,是否有足夠強大的計算能力?
從攻防角度看,一般攻擊者進入内網後,在十五分鐘、半個小時之内就能結束戰鬥,是以,面對那麼大海量資料處理,事實資料非常關鍵。當然,面對海量資料的時候,整個算法能力很關鍵。