近年来,数据泄露事件频频发生,网络敲诈勒索也正在成为“黑产”掘金之道。一旦发生此类安全事件无论对用户还是企业来说都是巨大的损失。技术人其实应该可以把好第一道关,降低安全风险。在即将召开的QCon北京2019大会上,腾讯安全云鼎实验室负责人董志强(Killer)将担任“云安全攻与防”专题的出品人,与业内多位安全大咖分享云安全的经验与做法。值此之际,infoQ也对 Killer 做了细致的访谈,这里整理出来,供各位了解。
再次介绍一下 Killer 其人:
董志强,江湖人称 Killer,作为行业享有盛名的大咖,长期关注恶意代码变化趋势,是拥有十五年信息安全从业经验的云安全专家。他行事颇为低调,多次受邀作为嘉宾出席行业会议,并发表精彩主题演讲。从 2006 年创建“超级巡警”,2007 年当“熊猫烧香”几乎肆虐了整个中国,“超级巡警”的“先发制人”取得了巨大成果。2016 年加入腾讯,执掌腾讯安全云鼎实验室,专注于云领域前沿安全技术研究与创新、安全漏洞研究和处置、云架构和解决方案规划设计、云标准化和合规体系建设等工作。
Q :了解到您是汉语言文学专业出身,后来投身安全行业,您是如何积累经验从外行变成行家的?文学背景对您来说有什么增益或者阻碍吗?
Killer:有次内部会议跟同事分享工作 1 年如何拥有 3 年的工作经验的话题,我提到,大家每天上班的时候做的是安全工作,出于兴趣爱好,下班之后仍会持续研究安全技术和关注安全领域的话题,所以往往能做到工作一年获得工作两年甚至更多的工作经验。
学文最大的好处就是理解能力突出一些,这在以兴趣驱动自学为主的情况下帮助较大。
Q :云鼎实验室这个名字是由何而来?云鼎实验室对于腾讯云业务而言,承担着什么样的角色?给实验室的定位是什么?
Killer:实验室的名字是我的一个朋友TK(嗯,大佬的朋友也是大佬,TK是腾讯安全玄武实验室负责人)帮助起的,他对这块比较有研究,是他三大技能之一。云鼎实验室专注云安全技术研究和云安全产品创新工作,负责腾讯云安全架构设计、腾讯云安全防护和运营工作。我们通过攻防对抗、合规审计搭建管控体系,提升腾讯云整体安全能力,通俗点说就是负责腾讯云的安全。
Q :您提到了攻防对抗,能否对它进行一个简单的介绍?
Killer:目前,云鼎实验室和腾讯企业 IT、安全平台部、腾讯安全旗下的其他实验室组建了超过 5 支红蓝军团队,对腾讯云定期开展红蓝对抗演习,就 OA 办公网、云产品、控制台、容器、微服务等维度进行全面的安全对抗和问题发现,再进一步完善安全防御体系,减少安全问题。
Q :2018 年您印象中最深刻的安全事件是?可否简单回顾一下?
Killer:2018 年发生了许多比较大的安全事件,比如 Facebook 陆续被传数据泄露,多家酒店集团客房预订数据库被黑客窃取,约 5 亿名客人的信息泄露。大数据时代,数据开始产生价值,黑产对于用户数据的关注度持续升温,大量的用户数据在暗网售卖。企业不管业务是否上云,客户隐私数据都应该是安全防护的重中之重。企业敏感数据识别和分级,数据访问控制和审计,数据存储和传输加密,数据脱敏等都是企业数据安全体系建设中需要重点考虑的问题。其实,长期以来,企业一直都在面临着诸多安全威胁,以黑客常用的密码破解和植入后门为例,云鼎实验室每月为用户检测木马文件 70 万个,暴力破解数百亿次以上,针对每天数百起的入侵挖矿事件,快速响应成为衡量团队能力的关键指标。
Q :您现在负责云安全方面的工作,能否讲讲企业服务上云之后,对安全提出了哪些新的挑战?
Killer:安全体系建设会有较大的变化,在企业用户从传统 IT 架构向云化迁移的过程中,架构、流程、文化的变化都会带来新的问题。大部分中小企业并没有体系化的安全建设经验,向他们提供安全能力,落实安全工作面临比较大的市场教育难度,其中上云带来的业务模式对安全也有比较大的挑战,主要有以下 3 点:
1)开发流程变化: 传统企业应用技术堆栈较厚重,系统开发和维护生命周期长,企业云化的最大驱动力来自于业务快速变化发展的情况下,对于 IT 需求交付速度和改善效率提出的要求。为了应对这种变化,云化应用更多采用了 DevOps 等敏捷开发模式取代了瀑布模型等传统应用开发模式,相应的开发流程、工具、技术平台也随之变化,例如从 BS/CS 架构转变为微服务架构,这个变化过程无论是对企业还是对安全工作都来了新的挑战。
2)系统架构的变化: 随着开发模式的改变,系统的技术栈和底层平台也会随之发生变化,传统的网络安全域隔离和防火墙被 VPC 所取代,企业所应用的安全产品、策略和管理思想也都需要跟随这种变化。
3)数据治理和安全责任模型的变化: 在传统企业中,企业主体既是资产和数据的所有者也是控制者,在云上根据云服务模式的差别,资产和数据的责任矩阵会和传统私有 IT 环境发生较大的变化,此外还有数据跨境流动和不同区域内标准法规的差异,这些都给企业数据治理带来了较大的挑战。上面这些问题都是在云化过程中企业和安全团队面临的新挑战,既有合规、治理问题,也有流程、技术问题,需要云安全团队和企业协同解决。
Q :企业的一般性安全防护部署相较于云上的安全部署,有什么优劣势?
Killer: 一般企业的安全防护措施通常会在网络和系统上部署大量的盒子和 Agent,容易形成产品的堆砌,导致功能重叠和性能问题。云平台对安全功能实现了整合,可以嵌入式部署,既简化又高效。
通常,企业安全管理者需要从网络、服务器、操作系统、虚拟机等基础架构到数据、应用、终端等 IT 各个层面去全面考虑安全防御体系构建问题。对云平台而言,基础架构安全由云服务商统一提供,企业安全管理者可以把时间和精力更多的用在更为重要的业务,应用和数据安全领域。
另外,对于 DDoS/CC 等攻击,通过网络单节点设备防护难以达到理想的效果,云防护可以实现流量和网络负载,通过云服务商的网络节点和带宽资源,进行近源流量清洗,保证业务正常运行。
综合来说,云上的安全方案相较于过去企业的防御体系更标准化、组件化和一体化,使得企业安全运维管理更集中和高效。
Q :面对攻击威胁,在事前、事中、事后应该做哪些防御、抵挡的措施?
Killer:事前、事中、事后三条线,需要结合风险管理模型和持续改进方法去综合考虑。
事前: 要做风险评估、预测和风险处置计划落地,包括:资产的盘点,威胁和漏洞情报收集和分析,资产风险分析与预测,建立专业的安全组织管理体系,安全技术防御体系,安全运维流程体系,构建安全基线,建立安全测量和 KPI 指标,构建安全合规审计体系。此阶段考验的是企业风险预测能力和安全体系架构能力。
事中: 要做风险实时监控和分析,此阶段要聚焦:安全日志和流量分析,安全事件运维管理,态势感知,操作审计,UEBA 等。此阶段考验的是企业安全大数据分析能力,自动化风险阻断和控制能力,安全运维能力。
事后: 要做事件诊断和分析处置,残留风险处置,防御体系优化和改进,取证和溯源分析,风险二次评估,安全防御体系补充和增强,此阶段考验的是企业安全体系优化改进能力,考验安全团队安全研究能力。
Q :云平台安全建设方面,针对用户和企业安全防护的问题,您有什么建议?
Killer:以企业为例,第一,一般来说要从合规和安全管理的角度入手,把资产、配置和基线做好,建立安全管理的基础。第二,建立完善的漏洞运营管理体系,结合威胁情报,实现漏洞全生命周期闭环管理。第三,可以建立信息安全渗透测试机制,通过安全审计构建事件发现和溯源能力。第四,持续对 IT 系统进行安全检查和优化改进,持续强化监控和响应,保持最佳的风险控制和安全防御能力。
Q :您认为未来的黑产防御应该是什么模式?
Killer:几个方向,从法律法规的角度来说,针对黑产的司法打击会越来越严厉,相关司法条款也会越来越细致;从数据层面来说,未来情报共享和数据互通会成为标配,越来越多的企业将共同为黑产打击贡献力量;从产品的角度来看,安全机制和组件会越来越贴近业务本身,安全产品运营化成为常态,这将对安全从业人员的数量和综合能力提出更高的要求;从技术方面来看,以攻促防会成为常态,漏洞和安全技术研究的成果转化模式更优。这些综合起来就是未来几年内的的防御演进模式。
是不是还没看过瘾?不用急,2019 年5月6-8 日,QCon 北京 2019将在北京国际会议中心举办。由 Killer 担任出品人的“云安全攻与防”专题将给您送上一桌云安全技术大餐。本专题包含对云上数据泄露问题探讨,对网络黑产的透视,对中小互联网公司落地云安全的建议,还将教你如何使用流量分析解决业务安全问题,帮你在云环境下构建更好的防护。
除以上议题之外,会议还有 100+ 国内外资深技术大咖的实践经验,涉及 26+ 热门领域,也许能给你带来一些技术启发,干货满满,不容错过。