云安全的发展和未来 | 学习笔记

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心漏洞修复资源包免费试用,100次1年
云安全中心 免费版,不限时长
简介: 快速学习云安全的发展和未来

开发者学堂课程【云安全简史:云安全的发展和未来】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址:https://developer.aliyun.com/learning/course/541/detail/7369


云安全的发展和未来

目录

一、互联网时代变化

二、社会工程学

三、阿里云安全实践


一、互联网时代变化

单机时代(1995年以前),此时 Windows 操作系统还没有普及。大多数用户使用 dos 操作系统,与 Linux 相似,是一个黑窗口,在其中进行操作。 攻击方式:展示个人能力 版权保护(售卖软件),在巴基斯坦的病毒。就是写一个软件去售卖,别人如果没有交费购买版权,就会弹出信息警告,但没有其他恶意。 缺点:破坏性不强,要么就是为了保护版权,要么就是保护正常软件的使用。 保护方式:杀毒软件,在这个阶段中,所有的病毒基本上用杀毒软件都能进行清除。  

早期互联网时代(1996-2007),阿里巴巴的创始人已经开始研究互联网,但还没有成立集团。此时,互联网的应用还不是很发达。 攻击方式:展示个人能力,此时已经开始窃取隐私。 窃取隐私:QQ 号、游戏账号(如熊猫烧香,灰鸽)、勒索钱财,据官方统计,在2007年,在全球感染的电脑台数已经超过2000万台。大多数是通过网络去感染电脑。 保护方式:防火墙  WEB2.0时代(2007-2010),网络防火墙已经在此时出现。因为在上一个时代没有防火墙已经无法立足。 特点:网络防火墙普及(网络入侵可能性减少),同时互联网应用增多(隐私暴露),网购在此时很流行,用户隐私暴露的风险也更高。 攻击方式:DDoS、网页挂码、SQL 注入,网络直接入侵风险很大,出现的情况丢失 Ddos 就是拒绝服务攻击,不断通过网络攻击服务器,导致用户入口拥挤攻击方式已经跟上一个时代发生了完全不一样的变化。 黑色产业链形成(各自分工入侵),也就是拥有制作病毒的工具,也有专门去分发的工具,让更多电脑感染病毒也会去售卖自己获得的隐私信息。打电话推销等信息都是通过黑产去购买而产生的。 保护方式:WAF(专用防火墙)、IDS(入侵检测系统,分析预判报警,可以有效的检测这种行为进行预判报警)、抗D(一个服务,降低风险,当单独的设备解决不了问题时,就要通过这种服务来解决,就需要有设备和带宽),此时安全问题已经非常复杂,难以解决。  

云计算时代(2010年~现在) 特点:人随时在线,数据满天飞,即使不发数据,点击浏览的时候也在产生数据。后台可以看到用户对哪些数据感兴趣。这是一个数据随时随地产生的时代。此时,社会工程学和安全进行了连接。 安全意识不高 数据过多 社会工程学 保护方式:加解密、证书、灾备、抗 D、WAF、IDS、加人,安全体系,这种设备已经不能满足安全需要了,还需要加上人工,筛选哪些数据可以公开,哪些数据不可以公开,如何管理数据等等一系列问题。  

万物互联网时代(未来3-5年) 特点:人和物随时在线(手机控制家具) 数据生活普及 安全成为强需求,家具或健身器等可以通过手机进行联系控制,如果这些事物被黑客截取进行控制,后果不堪设想,甚至有时候会影响人的生命。人和物随时在线,暴露量会更大。因为很多智能设备,例如智能摄像机、净化器都随时在线,就有可能被黑客知道密码作为攻击源。更重要的一点就是利用人才去将设备操作系统保护起来。 缺点:攻击模式快速增长 黑客隐蔽性更强 保护方式:安全攻防技术+安全管理学+安全心理学+安全经济学,了解安全管理学,就是用什么方法去管理人?如何分工?安全心理学就是为了了解黑客出于什么心理去进行攻击,从而设计防范手段。安全经济学就是引入商业的公司,利用商业手段进行安全防范,促进安全产品的发布和安全技术的更新综合起来,才能把安全防范做得更好。

二、社会工程学(社工)

上世纪60年代,作为一门新的科学登上世界舞台,最早就是孙子兵法,始于公元前战国初期,拥有数千年的历史。孙子兵法讲了战略运筹、虚实结合、地形兵势等。就是通过自己实践考察,然后分析对方的作战规律,总结规则的行为,也就是大数据分析。现代版的社工就是通过设一个黑客放到对方的阵营中去工作,获得很多机密情报,然后进行防范或者进行攻击,有些时候并不是技术手段就能解决问题。凯文米特尼克是世界头号特工,出生于1963年,他说过一句话“人为因素才是安全的软肋”,就是因为大家用社工去分析整个系统,或者分析对手的习惯,将其结合起来,黑客才能准确知道信息。定义:建立理论并通过利用自然的、社会的和制度上的途径来逐步解决各种复杂的社会问题。


三、阿里云安全实践

解决思路:云安全链路防护体系+云安全人才培养,做好安全防范。风险引擎都是社工利用一些攻击手段或攻击数据进行分析预判出来的。例如在 A 网站截获了数据,用这个数据去更多的网站尝试登录,往往会获得意外的收获,这就是非常典型的社工。社工利用的范围,远远比刷单和撞库更加复杂。

图片2.png   


相关文章
|
云安全 数据采集 机器学习/深度学习
云安全 | 学习笔记
快速学习云安全,重点介绍了如何在 Linux 下进行安全防护,并从用户系统安全、SSH 安全、恶意文件安全和云安全四个角度诠释如何提升系统的安全性。
云安全 | 学习笔记
|
云安全 人工智能 安全
初识云安全 | 学习笔记
快速学习初识云安全
149 0
初识云安全  |  学习笔记
|
云安全 供应链 安全
云安全相关的政策 | 学习笔记
快速学习云安全相关的政策
229 0
|
云安全 存储 边缘计算
云安全的产生 | 学习笔记
快速学习云安全的产生
137 0
|
云安全 存储 安全
云安全威胁和责任 | 学习笔记
快速学习云安全威胁和责任,介绍了云安全威胁和责任系统机制, 以及在实际应用过程中如何使用。
|
云安全 存储 监控
云安全基本概念 | 学习笔记
快速学习云安全基本概念,介绍了云安全基本概念系统机制, 以及在实际应用过程中如何使用。
|
1月前
|
云安全 人工智能 自然语言处理
|
1月前
|
云安全 安全 数据安全/隐私保护
带你读《阿里云安全白皮书》(十八)——云上安全重要支柱(12)
随着数智化发展,企业面临复杂的资产管理需求。阿里云提供全链路身份管控与精细化授权方案,涵盖细粒度权限管理和身份凭证保护,确保数据资产安全。支持多因素认证和最小权限原则,减少风险暴露,提升企业安全效率。详情见《阿里云安全白皮书(2024版)》。
|
1月前
|
存储 云安全 人工智能
带你读《阿里云安全白皮书》(二十四)——云上安全建设最佳实践(2)
本文介绍了阿里云在AI大模型云上安全方面的最佳实践,涵盖数据安全、模型安全、内容安全和合规性四大关键挑战。阿里云通过数据加密、私有链接传输、机密计算等技术手段,确保数据和模型的安全性;同时,提供内容安全检测、Prompt问答护栏等功能,保障生成内容的合法合规。此外,阿里云还帮助企业完成算法及模型备案,助力客户在AI大模型时代安全、合规地发展。
|
1月前
|
云安全 安全 数据可视化
带你读《阿里云安全白皮书》(十二)——云上安全重要支柱(6)
阿里云构建了7x24小时全自动化红蓝对抗平台,通过深度整合内外部攻防案例,进行高频次、自动化的演练,提升对复杂攻击的应对能力,确保安全防护体系持续优化。平台具备全自动化演练、随机性与多样化、可视化输出、节点负载智能控制、日志追踪与审计、应急场景秒级熔断等特性,确保演练过程稳定高效。

热门文章

最新文章

下一篇
DataWorks