【企服干货】黑客一直在进步,企业敢不跟进安全防护吗?
李晓松 李晓松 2018-08-21

8月17日,由3W企服和企服行业头条联合主办的《AI+信息安全 助力互联网企业网络安全建设》沙龙在武汉举办。来自深信服科技的信息安全高级顾问张磊先生,在场做了《下一代互联网安全部署的思路与挑战》的主题演讲。

企业上云的情况越来越普遍,那在云上出了问题,是企业担责还是云厂商担责?能否有一款像360杀毒那样的企业版系统,能随时监测企业的业务安全?针对上述问题,张磊做了精彩的分享。以下内容源自现场录音,企服行业头条(微信ID:wwwqifu)略有删改。

未命名-0619_meitu_1.jpg

深信服科技 信息安全高级顾问 张磊

随着技术发展,企业对云安全的要求越来越高,大家总担心数据泄露、数据丢失等情况。我们认为未来一定是自有云+混合云架构,也就是在本地建自己的数据中心,把比较私密、比较核心的信息放在自己手里。针对一些不是很重要的系统,直接放在公有云。

有数据统计,当下74.6%上了云的用户,考虑更多的仍然是安全问题,无论系统架构怎么变化,所有计算资源,传输资源,网络存储设备仍然会面临安全问题。很多人认为数据上云之后,安全应由云平台负责,出了问题可能追责到承接方,比如阿里云或者腾讯云。其实不然,我们出现问题之后它们是不承担这个责任的。

安全责任分两块,整个互联网安全对云平台的要求,一是本身要具备这个安全性,应该符合比如说登陆身份界别,具备安全功能,满足相关法律法规要求;其次云平台要给我们提供一个可使用的安全资源。具体你需要怎么建,那是用户自己购买的。所以安全对用户是有一定要求的,首先我们要合理去应用平台资源,我们要合法、合规的利用平台资源。

同时我们要对我们业务系统自身的安全负责。

首先我的数据要有备份,自己的数据丢失了怎么找回来,同时考虑自己的安全,购买相应的安全设施,比如防火墙,中端防护等等这些东西。

黑客也是随着技术的发展而进步的,传统的机房有防火墙设备,大概三个月或者一年更新一下就可以了,现在所有的东西在云上,黑客是24小时攻击的,我不可能雇一个人24小时防护。而且黑客具备一些更专业的技术能力,更专业的技术工具。

针对这些我们认为,行业的防护能力已经没法跟黑客的攻击能力进行具备,我们需要更加专业的人来帮我们做这个东西。

第二,整体的安全能力包含安全产品+运维策略,云维策略是我们主动自动适应当下整体安全趋势的变化,安全产品就是刚才讲的,一定要有所谓的安全主机,安全产品加上人工形式帮助我们实现整体的安全云维防护。

怎么做好防护分为三部分。

首先要能做一个预测,传统的网络架构更多是攻击来了有一些安全设备能进行阻断,传统的垒成墙,所以这就是防火墙的来源。其实不然,很多黑客会绕过安全防护,长期潜伏在内网。

黑客攻击分多个步骤,第一个步骤是要像小偷一样踩点,蹲在那儿看,看到业务系统或者是网络安全架构存在那些薄弱点,找到薄弱点进行下一步植入,不管主动也好被动也好。

比如给你发一个邮件,点开了之后下一个软件存在电脑上,或者直接通过已存在的漏洞给你导进去相关的东西。

当攻击进入内网后可能不会马上爆发,因为它更多会潜伏下来,隐藏,然后找到一个合适的时机才会爆发。所以我们要有预测,时刻知道我们的网站是不是有可能被黑客攻击和利用的地方。

其次我要在发现攻击的时候能及时处理,而不是发现攻击之后开始找人处理,更好的是我们希望在爆发攻击前就能做到相应保护。

最后我们认为,最重要一步是实时监测,对业务系统进行监测。

我们知道360等杀毒软件当监测到病毒之后进行杀毒,杀毒完之后你觉得安全了,其实也不一定。因为主机和主机之间是相互通信的,当你感染病毒之后可能感染到其他人,在你本地把这个病毒杀完之后,别人还是有可能感染到我们。

这个攻击是相互的,所以我们要有一个持续监测的机制。一定要配合产品加上人工智能才能够实现对互联网,对整体的业务系统,对我们网站有一个比较好的保护架构,有效的安全保护。

我们首先通过互联网业务,通过我们的云端网络安全服务产品,来实现一个多步实施的监测,把我们上云系统引流到我们云平台上,让它对服务器或者是网站进行72小时预测响应,提供危险预警,危险防护。

当我们发现危险之后做到及时防控,全过程都可以让用户看到。我帮你防护了多少攻击,你的网页被篡改了多少次,我都有一个相应的数据,这才是对用户最好的交代。

预测我们要做到防患于未然,每天持续地对网站进行评估,进行扫描,扫描网站底层包括数据流是不是存在一些报漏。

举个例子,比如我的一个运营工程师,一般是晚上10点以后就下班,他这个主机如果晚上10点左右还有对外发起攻击,我就认为这是一个危险源,我能通过系统,通过攻击行为的深度学习,在攻击发起前就可以进行防护。这也是基于整个安全大数据平台+人工智能做到高效的防护。

监测,能够主动监测,而不是被动感测,不是你把这个东西给了我,我才做这样一个监测,而是通过我的云眼能够主动朝这个服务器发起监测扫描,能够实时地看,能够有一个主动性的评估,风险监测。

快速的转变,深信服有T4级响应,专家服务,首先从T1开始发现一个问题之后,由T2工程师下发单子给到T1深信服的技术人员,我们深信服更多做渠道,由原厂工程师,当我们云眼扫到问题之后给T2工程师,他来确认这个东西是不是真正的。

网络这个东西我不敢保证监测的所有东西都是对的,所以有一个人工确认机制,帮客户确保这个东西确实存在,我把这个单子派给T外工程师,直接现场进行服务,如果工程师搞不定涉及到T3,以及T4进行智能服务,这是我们实时响应的规划。

同时我们提供毫秒级页面切换,当我发现网页篡改以后直接把网页封了,或者切成一个静态的,本身我会反存到我本地,当我监测到你的业务系统可能存在篡改的时候,我会及时把动态页面缓存到我切的静态页面,然后后台快速响应帮你快速恢复。同时支持电话和邮件的形式,因为短信已经被淘汰了,所以我们没有做这一块东西,我们觉得微信比短信更好用,大多数人早上起来第一个事情看微信,晚上睡觉前最后一个事情是看微信,我本人是这样。

所以我们通过多种方式提供及时响应的防护,同时在线的安全专家也是72小时在线,当我们企业解决不了这些问题的时候,由我们原厂的人提供72小时的职守,提供远程或者现场的处置服务。

最后整体交付给用户的是整套安全能力,用户只需要把你的接口给你,我通过引流把你这个业务,其他用户都不用担心,每年每月或者每周我会输出相应报告,告诉你这个业务系统是不是安全的,有没有发生过篡改事件或者其他事件。

整个安全服务方案解决优势是每个用户都独守一个安全模块,我跟阿里云、腾讯云不太一样,可能很多用户大家是共享的,而我们交付给用户是独立的,同时我们提供个性化、定制化专家服务,你想要什么服务方式我们就给你一个什么服务方式。

分享到

点赞(4)

说点什么

全部评论