雷鋒網(wǎng)編者按：前兩年，云計(jì)算慢慢普及，但人們對于云安全可能不夠了解。越來越多的企業(yè)“上云”，他們也在組建自己的安全團(tuán)隊(duì)，但是，安全團(tuán)隊(duì)到底應(yīng)該如何建設(shè)云安全？只有自有的安全團(tuán)隊(duì)就夠了嗎？云安全趨勢如何？阿里云安全總經(jīng)理肖力在 2017 年網(wǎng)絡(luò)安全生態(tài)峰會(huì)上對這些問題進(jìn)行了回答。雷鋒網(wǎng)對其演講內(nèi)容進(jìn)行了整理，小標(biāo)題為雷鋒網(wǎng)編者所加。

一、中國 90 %的企業(yè)安全只能得 0 到 1 分

我給中國所有的企業(yè)打一個(gè)安全分，如果滿分是 5 分，中國 90 %的企業(yè)在安全方面只能得分 0 到 1 分，大部分企業(yè)沒有自身的安全團(tuán)隊(duì)，在專業(yè)人才、安全能力建設(shè)方面其實(shí)非常弱，一些企業(yè)最多買了一些防火墻，但是這些“購買”根本解決不了企業(yè)業(yè)務(wù)在安全方面遇到的挑戰(zhàn)。

一些互聯(lián)網(wǎng)企業(yè)近兩年吸引了大量安全人才，組建自身的安全團(tuán)隊(duì)，但依然面臨安全挑戰(zhàn)：這些團(tuán)隊(duì)可能在應(yīng)急能力、基本安全運(yùn)維、漏洞修復(fù)方面做得不錯(cuò)。但是，各行業(yè)有不同安全痛點(diǎn)，在專業(yè)安全的能力建設(shè)、積累上遇到很大挑戰(zhàn)。

只有不到 2%的企業(yè)，包括 BAT、運(yùn)營商、一些政府機(jī)構(gòu)，在安全方面已經(jīng)投入 5 年到 10 年，每年可能超過近上億的投入，提升自身安全能力。但是，這些企業(yè)業(yè)務(wù)越大，投入越大，責(zé)任也越大，今天，不管是BAT，還是其他大型互聯(lián)網(wǎng)公司，或是大型央企，在安全能力建設(shè)投入會(huì)更高，因?yàn)榘踩婕暗礁鱾€(gè)領(lǐng)域。

在云計(jì)算與大數(shù)據(jù)時(shí)代，一些策略需要改變。很多公司花很多錢買很好的設(shè)備。甚至我們開玩笑叫“羊肉串”，一個(gè)鏈路上面串了很多產(chǎn)品。但是，買了很多安全產(chǎn)品，在鏈路上導(dǎo)致了穩(wěn)定性問題，安全依然受到很大挑戰(zhàn)。

另一方面，物理隔離對蠕蟲病毒根本沒有用。移動(dòng)互聯(lián)網(wǎng)時(shí)代，移動(dòng)設(shè)備能輕易接入內(nèi)網(wǎng)，不管是 USB 傳播，還是需要與互聯(lián)網(wǎng)產(chǎn)生更多通信的方式，都意味著企業(yè)邊界開出了很多口子，企業(yè)如何解決這些問題？

二、企業(yè)安全四個(gè)新趨勢

1.邊界安全已經(jīng)失效

一方面，邊界安全已經(jīng)失效，在我們眼里今天的蠕蟲還是非常簡單的蠕蟲，它一方面利用個(gè)別漏洞，另一方面可能利用一些密碼就輕易突破各個(gè)企業(yè)，甚至包括一些國家的內(nèi)網(wǎng)。

可以預(yù)期的是，通過自動(dòng)化滲透技術(shù)，加上一些勒索加密技術(shù)，更多更智能的自動(dòng)化蠕蟲會(huì)爆發(fā)，對互聯(lián)網(wǎng)上的所有企業(yè)都是一個(gè)巨大挑戰(zhàn)。

這張圖左邊是一家互聯(lián)網(wǎng)公司網(wǎng)絡(luò)拓?fù)鋱D，上千個(gè)節(jié)點(diǎn)可能利用一個(gè)圓圈，這個(gè)圓圈在BAT做了很多的防護(hù)，但是內(nèi)部聯(lián)系雜亂無章，不管是攻擊者還是蠕蟲，只要突破了邊界，內(nèi)網(wǎng)一覽平川。

這張圖右邊是另外一家全球高安全等級(jí)公司的內(nèi)網(wǎng)拓?fù)鋱D。未來企業(yè)內(nèi)網(wǎng)需要非常系統(tǒng)的架構(gòu)性思考與架構(gòu)規(guī)劃。在整個(gè)業(yè)務(wù)的板塊，需要良好分類，以及自動(dòng)化的東西向流量的隔離，包括更智能的隔離策略，幫助企業(yè)做內(nèi)部防御策略。

在該內(nèi)網(wǎng)拓?fù)鋱D中，每一個(gè)區(qū)域都是非常獨(dú)立的業(yè)務(wù)板塊。每一個(gè)板塊間設(shè)定了一些名單策略，如果有異常流量，企業(yè)在第一時(shí)間就能知道。接下來，企業(yè)東西向流量自動(dòng)合力技術(shù)會(huì)發(fā)展得越來越快，這也是未來企業(yè)需要思考的內(nèi)網(wǎng)安全策略。

2.安全運(yùn)營非常關(guān)鍵，安全要防患于未然

大家都覺得安全運(yùn)營很重要，出了問題后，企業(yè)請安全廠商第一時(shí)間做應(yīng)急，實(shí)際上大家要思考——重視安全應(yīng)該要做到防患于未然，企業(yè)出了事情以后修復(fù)成本是最高的，高到企業(yè)無法承擔(dān)。

以 DDoS 為例，在蠕蟲爆發(fā)前 28 天，漏洞已經(jīng)被大家知道，整個(gè)安全運(yùn)營團(tuán)隊(duì)對漏洞進(jìn)行了詳細(xì)的分析，評(píng)估了漏洞的危害，通知了云上的企業(yè)用戶，同時(shí)第一時(shí)間幫助他們修復(fù)漏洞，所以當(dāng)蠕蟲爆發(fā)時(shí)，云上這些企業(yè)幾乎沒有受到什么影響，這就是安全運(yùn)營的能力。

另一方面，很多企業(yè)在做 SDL，做安全開發(fā)流程。但是大家思考一個(gè)問題，安全開發(fā)流程大部分專注在黑客、白客的檢測，上線之前發(fā)現(xiàn)漏洞，降低風(fēng)險(xiǎn)。

經(jīng)常有人忽略一個(gè)點(diǎn)，SDL的根源是什么？開發(fā)工程師產(chǎn)生了大量的漏洞，漏洞都是開發(fā)功能產(chǎn)生的，我們永遠(yuǎn)在后面，不斷發(fā)現(xiàn)漏洞，其實(shí)都是亡羊補(bǔ)牢。所以在不同的流程中，大家要思考，整個(gè)安全的根源在哪里，從根源解決問題。

并不是買的全球最好的安全產(chǎn)品就搞了企業(yè)安全，何況今年在 RSA 的會(huì)上，各個(gè)領(lǐng)域的產(chǎn)品看得我眼花撩亂。我很難分辨，哪些安全產(chǎn)品是最好的，所以從安全產(chǎn)品的角度來看，大家一定要思考——并不是買最好的安全產(chǎn)品，企業(yè)安全就 OK了。

企業(yè)要達(dá)到最好的安全效果，一定要有兩個(gè)必要條件：第一，需要類似于 AK47的超級(jí)武器；第二，除了AK47，還需要有會(huì)用 AK47 的人。

很多企業(yè)只是買了產(chǎn)品，但是“買了一個(gè)產(chǎn)品放在那里就行”實(shí)際是一個(gè)誤區(qū)。在安全運(yùn)營領(lǐng)域，攻防是對抗的過程，今天安全并不代表明天就安全，需要運(yùn)營團(tuán)隊(duì)不斷了解對方的攻擊招數(shù)，第一時(shí)間響應(yīng)，一定要防患于未然。

3.藍(lán)軍比你想的更重要

藍(lán)軍一定是未來每家企業(yè)安全體系中非常重要的一個(gè)環(huán)節(jié)。有三點(diǎn)理由：

第一，每一家企業(yè)都需要藍(lán)軍、通過眾測來發(fā)現(xiàn)漏洞，不能光依靠自己的安全團(tuán)隊(duì)，要期待全球幫助自身盡早發(fā)現(xiàn)漏洞，只要比攻擊者更早發(fā)現(xiàn)漏洞自然就安全了。

第二，安全都是做防御的。防御體系到底有沒有效果？需要不斷演習(xí)，這種演習(xí)需要企業(yè)組建一支非常高效，有能力的藍(lán)軍的隊(duì)伍，也可以利用整個(gè)生態(tài)的力量，安全公司也好，外部的力量也罷，不斷檢驗(yàn)防御效果。

第三，從藍(lán)軍的角度看，藍(lán)軍擁有安全溯源的能力。如果一個(gè)攻擊者天天盯著你的企業(yè)，今天發(fā)起了攻擊，你的防御非常好，運(yùn)營也很厲害，都防住了。明天又來一撥，又防住了。但是，總有一天攻擊者能把你搞掉。企業(yè)自身要有復(fù)原能力，要知道今天、明天打你的那個(gè)團(tuán)伙是誰，要通過與公安機(jī)關(guān)合作來有效打擊對方，對攻擊你的團(tuán)伙有威懾力，這樣別人才不敢搞你。

4.企業(yè)安全需要有“看見”的能力

從攻防對抗角度看，企業(yè)只要發(fā)現(xiàn)攻擊者，這個(gè)戰(zhàn)斗已經(jīng)結(jié)束了。但是，企業(yè)往往因?yàn)榭床坏綄Ψ?，對手已?jīng)潛入到內(nèi)部，拿到數(shù)據(jù)走人了，所以，“看見”能力非常重要。但是，所謂“看見”能力，現(xiàn)在大家對此還有一些誤解。

感知其實(shí)有兩個(gè)關(guān)鍵點(diǎn)，第一個(gè)關(guān)鍵點(diǎn)號(hào)稱“態(tài)勢感知”，是不是擁有企業(yè)全局非常關(guān)鍵。很多安全廠商說，我在你所有的服務(wù)器上都裝了設(shè)備，我給你搞一個(gè)態(tài)勢感知，其實(shí)不是的，你從企業(yè)視角來看，一定要擁有對業(yè)務(wù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)流量等打通來看的能力。而且，態(tài)勢感知不光是防黑客，還要防有惡意的員工，甚至是內(nèi)鬼、間諜通過業(yè)務(wù)漏洞來拿服務(wù)數(shù)據(jù)，避免因此給企業(yè)造成很大的損失。企業(yè)感知第一條——一定要拿到全部日志。

第二個(gè)關(guān)鍵點(diǎn)是——整個(gè)企業(yè)面對的風(fēng)險(xiǎn)，不是從單點(diǎn)來看，當(dāng)你擁有企業(yè)日志時(shí)，是否有足夠強(qiáng)大的計(jì)算能力？

從攻防角度看，一般攻擊者進(jìn)入內(nèi)網(wǎng)后，在十五分鐘、半個(gè)小時(shí)之內(nèi)就能結(jié)束戰(zhàn)斗，所以，面對那么大海量數(shù)據(jù)處理，事實(shí)數(shù)據(jù)非常關(guān)鍵。當(dāng)然，面對海量數(shù)據(jù)的時(shí)候，整個(gè)算法能力很關(guān)鍵。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。