雷锋网编者按:前两年,云计算慢慢普及,但人们对于云安全可能不够了解。越来越多的企业“上云”,他们也在组建自己的安全团队,但是,安全团队到底应该如何建设云安全?只有自有的安全团队就够了吗?云安全趋势如何?阿里云安全总经理肖力在 2017 年网络安全生态峰会上对这些问题进行了回答。雷锋网对其演讲内容进行了整理,小标题为雷锋网(公众号:雷锋网)编者所加。
一、中国 90 %的企业安全只能得 0 到 1 分
我给中国所有的企业打一个安全分,如果满分是 5 分,中国 90 %的企业在安全方面只能得分 0 到 1 分,大部分企业没有自身的安全团队,在专业人才、安全能力建设方面其实非常弱,一些企业最多买了一些防火墙,但是这些“购买”根本解决不了企业业务在安全方面遇到的挑战。
一些互联网企业近两年吸引了大量安全人才,组建自身的安全团队,但依然面临安全挑战:这些团队可能在应急能力、基本安全运维、漏洞修复方面做得不错。但是,各行业有不同安全痛点,在专业安全的能力建设、积累上遇到很大挑战。
只有不到 2%的企业,包括 BAT、运营商、一些政府机构,在安全方面已经投入 5 年到 10 年,每年可能超过近上亿的投入,提升自身安全能力。但是,这些企业业务越大,投入越大,责任也越大,今天,不管是BAT,还是其他大型互联网公司,或是大型央企,在安全能力建设投入会更高,因为安全涉及到各个领域。
在云计算与大数据时代,一些策略需要改变。很多公司花很多钱买很好的设备。甚至我们开玩笑叫“羊肉串”,一个链路上面串了很多产品。但是,买了很多安全产品,在链路上导致了稳定性问题,安全依然受到很大挑战。
另一方面,物理隔离对蠕虫病毒根本没有用。移动互联网时代,移动设备能轻易接入内网,不管是 USB 传播,还是需要与互联网产生更多通信的方式,都意味着企业边界开出了很多口子,企业如何解决这些问题?
二、企业安全四个新趋势
1.边界安全已经失效
一方面,边界安全已经失效,在我们眼里今天的蠕虫还是非常简单的蠕虫,它一方面利用个别漏洞,另一方面可能利用一些密码就轻易突破各个企业,甚至包括一些国家的内网。
可以预期的是,通过自动化渗透技术,加上一些勒索加密技术,更多更智能的自动化蠕虫会爆发,对互联网上的所有企业都是一个巨大挑战。
这张图左边是一家互联网公司网络拓扑图,上千个节点可能利用一个圆圈,这个圆圈在BAT做了很多的防护,但是内部联系杂乱无章,不管是攻击者还是蠕虫,只要突破了边界,内网一览平川。
这张图右边是另外一家全球高安全等级公司的内网拓扑图。未来企业内网需要非常系统的架构性思考与架构规划。在整个业务的板块,需要良好分类,以及自动化的东西向流量的隔离,包括更智能的隔离策略,帮助企业做内部防御策略。
在该内网拓扑图中,每一个区域都是非常独立的业务板块。每一个板块间设定了一些名单策略,如果有异常流量,企业在第一时间就能知道。接下来,企业东西向流量自动合力技术会发展得越来越快,这也是未来企业需要思考的内网安全策略。
2.安全运营非常关键,安全要防患于未然
大家都觉得安全运营很重要,出了问题后,企业请安全厂商第一时间做应急,实际上大家要思考——重视安全应该要做到防患于未然,企业出了事情以后修复成本是最高的,高到企业无法承担。
以 DDoS 为例,在蠕虫爆发前 28 天,漏洞已经被大家知道,整个安全运营团队对漏洞进行了详细的分析,评估了漏洞的危害,通知了云上的企业用户,同时第一时间帮助他们修复漏洞,所以当蠕虫爆发时,云上这些企业几乎没有受到什么影响,这就是安全运营的能力。
另一方面,很多企业在做 SDL,做安全开发流程。但是大家思考一个问题,安全开发流程大部分专注在黑客、白客的检测,上线之前发现漏洞,降低风险。
经常有人忽略一个点,SDL的根源是什么?开发工程师产生了大量的漏洞,漏洞都是开发功能产生的,我们永远在后面,不断发现漏洞,其实都是亡羊补牢。所以在不同的流程中,大家要思考,整个安全的根源在哪里,从根源解决问题。
并不是买的全球最好的安全产品就搞了企业安全,何况今年在 RSA 的会上,各个领域的产品看得我眼花撩乱。我很难分辨,哪些安全产品是最好的,所以从安全产品的角度来看,大家一定要思考——并不是买最好的安全产品,企业安全就 OK了。
企业要达到最好的安全效果,一定要有两个必要条件:第一,需要类似于 AK47的超级武器;第二,除了AK47,还需要有会用 AK47 的人。
很多企业只是买了产品,但是“买了一个产品放在那里就行”实际是一个误区。在安全运营领域,攻防是对抗的过程,今天安全并不代表明天就安全,需要运营团队不断了解对方的攻击招数,第一时间响应,一定要防患于未然。
3.蓝军比你想的更重要
蓝军一定是未来每家企业安全体系中非常重要的一个环节。有三点理由:
第一,每一家企业都需要蓝军、通过众测来发现漏洞,不能光依靠自己的安全团队,要期待全球帮助自身尽早发现漏洞,只要比攻击者更早发现漏洞自然就安全了。
第二,安全都是做防御的。防御体系到底有没有效果?需要不断演习,这种演习需要企业组建一支非常高效,有能力的蓝军的队伍,也可以利用整个生态的力量,安全公司也好,外部的力量也罢,不断检验防御效果。
第三,从蓝军的角度看,蓝军拥有安全溯源的能力。如果一个攻击者天天盯着你的企业,今天发起了攻击,你的防御非常好,运营也很厉害,都防住了。明天又来一拨,又防住了。但是,总有一天攻击者能把你搞掉。企业自身要有复原能力,要知道今天、明天打你的那个团伙是谁,要通过与公安机关合作来有效打击对方,对攻击你的团伙有威慑力,这样别人才不敢搞你。
4.企业安全需要有“看见”的能力
从攻防对抗角度看,企业只要发现攻击者,这个战斗已经结束了。但是,企业往往因为看不到对方,对手已经潜入到内部,拿到数据走人了,所以,“看见”能力非常重要。但是,所谓“看见”能力,现在大家对此还有一些误解。
感知其实有两个关键点,第一个关键点号称“态势感知”,是不是拥有企业全局非常关键。很多安全厂商说,我在你所有的服务器上都装了设备,我给你搞一个态势感知,其实不是的,你从企业视角来看,一定要拥有对业务、应用、系统、网络流量等打通来看的能力。而且,态势感知不光是防黑客,还要防有恶意的员工,甚至是内鬼、间谍通过业务漏洞来拿服务数据,避免因此给企业造成很大的损失。企业感知第一条——一定要拿到全部日志。
第二个关键点是——整个企业面对的风险,不是从单点来看,当你拥有企业日志时,是否有足够强大的计算能力?
从攻防角度看,一般攻击者进入内网后,在十五分钟、半个小时之内就能结束战斗,所以,面对那么大海量数据处理,事实数据非常关键。当然,面对海量数据的时候,整个算法能力很关键。