雷鋒網(wǎng)編者按：前兩年，云計算慢慢普及，但人們對于云安全可能不夠了解。越來越多的企業(yè)“上云”，他們也在組建自己的安全團隊，但是，安全團隊到底應(yīng)該如何建設(shè)云安全？只有自有的安全團隊就夠了嗎？云安全趨勢如何？阿里云安全總經(jīng)理肖力在 2017 年網(wǎng)絡(luò)安全生態(tài)峰會上對這些問題進行了回答。雷鋒網(wǎng)對其演講內(nèi)容進行了整理，小標題為雷鋒網(wǎng)編者所加。

一、中國 90 %的企業(yè)安全只能得 0 到 1 分

我給中國所有的企業(yè)打一個安全分，如果滿分是 5 分，中國 90 %的企業(yè)在安全方面只能得分 0 到 1 分，大部分企業(yè)沒有自身的安全團隊，在專業(yè)人才、安全能力建設(shè)方面其實非常弱，一些企業(yè)最多買了一些防火墻，但是這些“購買”根本解決不了企業(yè)業(yè)務(wù)在安全方面遇到的挑戰(zhàn)。

一些互聯(lián)網(wǎng)企業(yè)近兩年吸引了大量安全人才，組建自身的安全團隊，但依然面臨安全挑戰(zhàn)：這些團隊可能在應(yīng)急能力、基本安全運維、漏洞修復方面做得不錯。但是，各行業(yè)有不同安全痛點，在專業(yè)安全的能力建設(shè)、積累上遇到很大挑戰(zhàn)。

只有不到 2%的企業(yè)，包括 BAT、運營商、一些政府機構(gòu)，在安全方面已經(jīng)投入 5 年到 10 年，每年可能超過近上億的投入，提升自身安全能力。但是，這些企業(yè)業(yè)務(wù)越大，投入越大，責任也越大，今天，不管是BAT，還是其他大型互聯(lián)網(wǎng)公司，或是大型央企，在安全能力建設(shè)投入會更高，因為安全涉及到各個領(lǐng)域。

在云計算與大數(shù)據(jù)時代，一些策略需要改變。很多公司花很多錢買很好的設(shè)備。甚至我們開玩笑叫“羊肉串”，一個鏈路上面串了很多產(chǎn)品。但是，買了很多安全產(chǎn)品，在鏈路上導致了穩(wěn)定性問題，安全依然受到很大挑戰(zhàn)。

另一方面，物理隔離對蠕蟲病毒根本沒有用。移動互聯(lián)網(wǎng)時代，移動設(shè)備能輕易接入內(nèi)網(wǎng)，不管是 USB 傳播，還是需要與互聯(lián)網(wǎng)產(chǎn)生更多通信的方式，都意味著企業(yè)邊界開出了很多口子，企業(yè)如何解決這些問題？

二、企業(yè)安全四個新趨勢

1.邊界安全已經(jīng)失效

一方面，邊界安全已經(jīng)失效，在我們眼里今天的蠕蟲還是非常簡單的蠕蟲，它一方面利用個別漏洞，另一方面可能利用一些密碼就輕易突破各個企業(yè)，甚至包括一些國家的內(nèi)網(wǎng)。

可以預(yù)期的是，通過自動化滲透技術(shù)，加上一些勒索加密技術(shù)，更多更智能的自動化蠕蟲會爆發(fā)，對互聯(lián)網(wǎng)上的所有企業(yè)都是一個巨大挑戰(zhàn)。

這張圖左邊是一家互聯(lián)網(wǎng)公司網(wǎng)絡(luò)拓撲圖，上千個節(jié)點可能利用一個圓圈，這個圓圈在BAT做了很多的防護，但是內(nèi)部聯(lián)系雜亂無章，不管是攻擊者還是蠕蟲，只要突破了邊界，內(nèi)網(wǎng)一覽平川。

這張圖右邊是另外一家全球高安全等級公司的內(nèi)網(wǎng)拓撲圖。未來企業(yè)內(nèi)網(wǎng)需要非常系統(tǒng)的架構(gòu)性思考與架構(gòu)規(guī)劃。在整個業(yè)務(wù)的板塊，需要良好分類，以及自動化的東西向流量的隔離，包括更智能的隔離策略，幫助企業(yè)做內(nèi)部防御策略。

在該內(nèi)網(wǎng)拓撲圖中，每一個區(qū)域都是非常獨立的業(yè)務(wù)板塊。每一個板塊間設(shè)定了一些名單策略，如果有異常流量，企業(yè)在第一時間就能知道。接下來，企業(yè)東西向流量自動合力技術(shù)會發(fā)展得越來越快，這也是未來企業(yè)需要思考的內(nèi)網(wǎng)安全策略。

2.安全運營非常關(guān)鍵，安全要防患于未然

大家都覺得安全運營很重要，出了問題后，企業(yè)請安全廠商第一時間做應(yīng)急，實際上大家要思考——重視安全應(yīng)該要做到防患于未然，企業(yè)出了事情以后修復成本是最高的，高到企業(yè)無法承擔。

以 DDoS 為例，在蠕蟲爆發(fā)前 28 天，漏洞已經(jīng)被大家知道，整個安全運營團隊對漏洞進行了詳細的分析，評估了漏洞的危害，通知了云上的企業(yè)用戶，同時第一時間幫助他們修復漏洞，所以當蠕蟲爆發(fā)時，云上這些企業(yè)幾乎沒有受到什么影響，這就是安全運營的能力。

另一方面，很多企業(yè)在做 SDL，做安全開發(fā)流程。但是大家思考一個問題，安全開發(fā)流程大部分專注在黑客、白客的檢測，上線之前發(fā)現(xiàn)漏洞，降低風險。

經(jīng)常有人忽略一個點，SDL的根源是什么？開發(fā)工程師產(chǎn)生了大量的漏洞，漏洞都是開發(fā)功能產(chǎn)生的，我們永遠在后面，不斷發(fā)現(xiàn)漏洞，其實都是亡羊補牢。所以在不同的流程中，大家要思考，整個安全的根源在哪里，從根源解決問題。

并不是買的全球最好的安全產(chǎn)品就搞了企業(yè)安全，何況今年在 RSA 的會上，各個領(lǐng)域的產(chǎn)品看得我眼花撩亂。我很難分辨，哪些安全產(chǎn)品是最好的，所以從安全產(chǎn)品的角度來看，大家一定要思考——并不是買最好的安全產(chǎn)品，企業(yè)安全就 OK了。

企業(yè)要達到最好的安全效果，一定要有兩個必要條件：第一，需要類似于 AK47的超級武器；第二，除了AK47，還需要有會用 AK47 的人。

很多企業(yè)只是買了產(chǎn)品，但是“買了一個產(chǎn)品放在那里就行”實際是一個誤區(qū)。在安全運營領(lǐng)域，攻防是對抗的過程，今天安全并不代表明天就安全，需要運營團隊不斷了解對方的攻擊招數(shù)，第一時間響應(yīng)，一定要防患于未然。

3.藍軍比你想的更重要

藍軍一定是未來每家企業(yè)安全體系中非常重要的一個環(huán)節(jié)。有三點理由：

第一，每一家企業(yè)都需要藍軍、通過眾測來發(fā)現(xiàn)漏洞，不能光依靠自己的安全團隊，要期待全球幫助自身盡早發(fā)現(xiàn)漏洞，只要比攻擊者更早發(fā)現(xiàn)漏洞自然就安全了。

第二，安全都是做防御的。防御體系到底有沒有效果？需要不斷演習，這種演習需要企業(yè)組建一支非常高效，有能力的藍軍的隊伍，也可以利用整個生態(tài)的力量，安全公司也好，外部的力量也罷，不斷檢驗防御效果。

第三，從藍軍的角度看，藍軍擁有安全溯源的能力。如果一個攻擊者天天盯著你的企業(yè)，今天發(fā)起了攻擊，你的防御非常好，運營也很厲害，都防住了。明天又來一撥，又防住了。但是，總有一天攻擊者能把你搞掉。企業(yè)自身要有復原能力，要知道今天、明天打你的那個團伙是誰，要通過與公安機關(guān)合作來有效打擊對方，對攻擊你的團伙有威懾力，這樣別人才不敢搞你。

4.企業(yè)安全需要有“看見”的能力

從攻防對抗角度看，企業(yè)只要發(fā)現(xiàn)攻擊者，這個戰(zhàn)斗已經(jīng)結(jié)束了。但是，企業(yè)往往因為看不到對方，對手已經(jīng)潛入到內(nèi)部，拿到數(shù)據(jù)走人了，所以，“看見”能力非常重要。但是，所謂“看見”能力，現(xiàn)在大家對此還有一些誤解。

感知其實有兩個關(guān)鍵點，第一個關(guān)鍵點號稱“態(tài)勢感知”，是不是擁有企業(yè)全局非常關(guān)鍵。很多安全廠商說，我在你所有的服務(wù)器上都裝了設(shè)備，我給你搞一個態(tài)勢感知，其實不是的，你從企業(yè)視角來看，一定要擁有對業(yè)務(wù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)流量等打通來看的能力。而且，態(tài)勢感知不光是防黑客，還要防有惡意的員工，甚至是內(nèi)鬼、間諜通過業(yè)務(wù)漏洞來拿服務(wù)數(shù)據(jù)，避免因此給企業(yè)造成很大的損失。企業(yè)感知第一條——一定要拿到全部日志。

第二個關(guān)鍵點是——整個企業(yè)面對的風險，不是從單點來看，當你擁有企業(yè)日志時，是否有足夠強大的計算能力？

從攻防角度看，一般攻擊者進入內(nèi)網(wǎng)后，在十五分鐘、半個小時之內(nèi)就能結(jié)束戰(zhàn)斗，所以，面對那么大海量數(shù)據(jù)處理，事實數(shù)據(jù)非常關(guān)鍵。當然，面對海量數(shù)據(jù)的時候，整個算法能力很關(guān)鍵。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。