近年來,數據泄露事件頻頻發生,網絡敲詐勒索也正在成爲“黑產”掘金之道。一旦發生此類安全事件無論對用戶還是企業來說都是巨大的損失。技術人其實應該可以把好第一道關,降低安全風險。此次,我們採訪了騰訊安全雲鼎實驗室負責人董志強(Killer)老師,希望能給讀者帶來一些啓發。另外,他也是 QCon北京2019 “雲安全攻與防” 專題的出品人,感興趣的朋友可以關注一下。
InfoQ:瞭解到您是漢語言文學專業出身,後來投身安全行業,您是如何積累經驗從外行變成行家的?文學背景對您來說有什麼增益或者阻礙嗎?
Killer:有次內部會議跟同事分享工作1年如何擁有3年的工作經驗的話題,我提到,大家每天上班的時候做的是安全工作,出於興趣愛好,下班之後仍會持續研究安全技術和關注安全領域的話題,所以往往能做到工作一年獲得工作兩年甚至更多的工作經驗。
學文最大的好處就是理解能力突出一些,這在以興趣驅動自學爲主的情況下幫助較大。
InfoQ:雲鼎實驗室這個名字是由何而來?雲鼎實驗室對於騰訊雲業務而言,承擔着什麼樣的角色?給實驗室的定位是什麼?
Killer:實驗室的名字是我的一個朋友 TK 幫助起的,他對這塊比較有研究,是他三大技能之一。雲鼎實驗室專注雲安全技術研究和雲安全產品創新工作,負責騰訊雲安全架構設計、騰訊雲安全防護和運營工作。我們通過攻防對抗、合規審計搭建管控體系,提升騰訊雲整體安全能力,通俗點說就是負責騰訊雲的安全。
InfoQ:您提到了攻防對抗,能否對它進行一個簡單的介紹?
Killer:目前,雲鼎實驗室和騰訊企業 IT、安全平臺部、騰訊安全旗下的其他實驗室組建了超過5支紅藍軍團隊,對騰訊雲定期開展紅藍對抗演習,就 OA 辦公網、雲產品、控制檯、容器、微服務等維度進行全面的安全對抗和問題發現,再進一步完善安全防禦體系,減少安全問題。
InfoQ:2018年您印象中最深刻的安全事件是?可否簡單回顧一下?
Killer:2018年發生了許多比較大的安全事件,比如 Facebook 陸續被傳數據泄露,多家酒店集團客房預訂數據庫被黑客竊取,約5億名客人的信息泄露。大數據時代,數據開始產生價值,黑產對於用戶數據的關注度持續升溫,大量的用戶數據在暗網售賣。企業不管業務是否上雲,客戶隱私數據都應該是安全防護的重中之重。企業敏感數據識別和分級,數據訪問控制和審計,數據存儲和傳輸加密,數據脫敏等都是企業數據安全體系建設中需要重點考慮的問題。其實,長期以來,企業一直都在面臨着諸多安全威脅,以黑客常用的密碼破解和植入後門爲例,雲鼎實驗室每月爲用戶檢測木馬文件70萬個,暴力破解數百億次以上,針對每天數百起的入侵挖礦事件,快速響應成爲衡量團隊能力的關鍵指標。
InfoQ:您現在負責雲安全方面的工作,能否講講企業服務上雲之後,對安全提出了哪些新的挑戰?
Killer:安全體系建設會有較大的變化,在企業用戶從傳統 IT 架構向雲化遷移的過程中,架構、流程、文化的變化都會帶來新的問題。大部分中小企業並沒有體系化的安全建設經驗,向他們提供安全能力,落實安全工作面臨比較大的市場教育難度,其中上雲帶來的業務模式對安全也有比較大的挑戰,主要有以下3點:
(1)開發流程變化:傳統企業應用技術堆棧較厚重,系統開發和維護生命週期長,企業雲化的最大驅動力來自於業務快速變化發展的情況下,對於 IT 需求交付速度和改善效率提出的要求。爲了應對這種變化,雲化應用更多采用了 DevOps 等敏捷開發模式取代了瀑布模型等傳統應用開發模式,相應的開發流程、工具、技術平臺也隨之變化,例如從 BS/CS 架構轉變爲微服務架構,這個變化過程無論是對企業還是對安全工作都來了新的挑戰。
(2)系統架構的變化:隨着開發模式的改變,系統的技術棧和底層平臺也會隨之發生變化,傳統的網絡安全域隔離和防火牆被 VPC 所取代,企業所應用的安全產品、策略和管理思想也都需要跟隨這種變化。
(3)數據治理和安全責任模型的變化:在傳統企業中,企業主體既是資產和數據的所有者也是控制者,在雲上根據雲服務模式的差別,資產和數據的責任矩陣會和傳統私有 IT 環境發生較大的變化,此外還有數據跨境流動和不同區域內標準法規的差異,這些都給企業數據治理帶來了較大的挑戰。上面這些問題都是在雲化過程中企業和安全團隊面臨的新挑戰,既有合規、治理問題,也有流程、技術問題,需要雲安全團隊和企業協同解決。
InfoQ:企業的一般性安全防護部署相較於雲上的安全部署,有什麼優劣勢?
Killer:一般企業的安全防護措施通常會在網絡和系統上部署大量的盒子和 Agent,容易形成產品的堆砌,導致功能重疊和性能問題。雲平臺對安全功能實現了整合,可以嵌入式部署,既簡化又高效。
通常,企業安全管理者需要從網絡、服務器、操作系統、虛擬機等基礎架構到數據、應用、終端等 IT 各個層面去全面考慮安全防禦體系構建問題。對雲平臺而言,基礎架構安全由雲服務商統一提供,企業安全管理者可以把時間和精力更多的用在更爲重要的業務,應用和數據安全領域。
另外,對於 DDoS/CC 等攻擊,通過網絡單節點設備防護難以達到理想的效果,雲防護可以實現流量和網絡負載,通過雲服務商的網絡節點和帶寬資源,進行近源流量清洗,保證業務正常運行。
綜合來說,雲上的安全方案相較於過去企業的防禦體系更標準化、組件化和一體化,使得企業安全運維管理更集中和高效。
InfoQ:面對攻擊威脅,在事前、事中、事後應該做哪些防禦、抵擋的措施?
Killer:事前、事中、事後三條線,需要結合風險管理模型和持續改進方法去綜合考慮。
事前:要做風險評估、預測和風險處置計劃落地,包括:資產的盤點,威脅和漏洞情報收集和分析,資產風險分析與預測,建立專業的安全組織管理體系,安全技術防禦體系,安全運維流程體系,構建安全基線,建立安全測量和 KPI 指標,構建安全合規審計體系。此階段考驗的是企業風險預測能力和安全體系架構能力。
事中:要做風險實時監控和分析,此階段要聚焦:安全日誌和流量分析,安全事件運維管理,態勢感知,操作審計,UEBA 等。此階段考驗的是企業安全大數據分析能力,自動化風險阻斷和控制能力,安全運維能力。
事後:要做事件診斷和分析處置,殘留風險處置,防禦體系優化和改進,取證和溯源分析,風險二次評估,安全防禦體系補充和增強,此階段考驗的是企業安全體系優化改進能力,考驗安全團隊安全研究能力。
InfoQ:雲平臺安全建設方面,針對用戶和企業安全防護的問題,您有什麼建議?
Killer:以企業爲例,第一,一般來說要從合規和安全管理的角度入手,把資產、配置和基線做好,建立安全管理的基礎。第二,建立完善的漏洞運營管理體系,結合威脅情報,實現漏洞全生命週期閉環管理。第三,可以建立信息安全滲透測試機制,通過安全審計構建事件發現和溯源能力。第四,持續對 IT 系統進行安全檢查和優化改進,持續強化監控和響應,保持最佳的風險控制和安全防禦能力。
InfoQ:您認爲未來的黑產防禦應該是什麼模式?
Killer:幾個方向,從法律法規的角度來說,針對黑產的司法打擊會越來越嚴厲,相關司法條款也會越來越細緻;從數據層面來說,未來情報共享和數據互通會成爲標配,越來越多的企業將共同爲黑產打擊貢獻力量;從產品的角度來看,安全機制和組件會越來越貼近業務本身,安全產品運營化成爲常態,這將對安全從業人員的數量和綜合能力提出更高的要求;從技術方面來看,以攻促防會成爲常態,漏洞和安全技術研究的成果轉化模式更優。這些綜合起來就是未來幾年內的的防禦演進模式。
受訪嘉賓介紹:
董志強作爲行業享有盛名的大咖,長期關注惡意代碼變化趨勢,是擁有十五年信息安全從業經驗的雲安全專家。他行事低調,對工作熱情飽滿,多次受邀作爲嘉賓出席各類大會,並發表了精彩演講。從 2006 年創建“超級巡警”,2007 年當“熊貓燒香”幾乎肆虐了整個中國,“超級巡警”的“先發制人”取得了巨大成果。 2012 年加入百度,負責百度安全海外市場。2016 年加入騰訊,是騰訊安全雲鼎實驗室的掌門人,專注於雲領域前沿安全技術研究與創新、安全漏洞研究和處置、雲架構和解決方案規劃設計、雲標準化和合規體系建設等工作。
2019 年 5 月 6-8 日, QCon北京2019 將在北京國際會議中心舉辦。由董志強(Killer)老師擔任出品人的 “雲安全攻與防” 專題將給你送上一桌雲安全技術大餐。本專題包含對雲上數據泄露問題探討,對網絡黑產的透視,對中小互聯網公司落地雲安全的建議,還將教你如何使用流量分析解決業務安全問題,幫你在雲環境下構建更好的防護。
更多會議專題, 點此瞭解 。大會報名現已進入倒計時,團購可享折扣優惠!席位有限,馬上拿起電話聯繫票務小姐姐 Ring 吧:電話/微信:17310043226