圆桌对话:安全新形势、新挑战与解决方案
互联网IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,互联网IDC圈承办,并受到诸多媒体的大力支持。
成都创新互联公司主营友好网站建设的网络公司,主营网站建设方案,成都APP应用开发,友好h5微信小程序定制开发搭建,友好网站营销推广欢迎友好等地区企业咨询中国IDC产业年度大典作为国内云计算和数据中心领域规模大、最具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。
青藤云安全创始人&CEO张福、西安四叶草安全研究员小7、知道创宇高级安全顾问王利伟、微步在线合伙人李秋石、云锁 CEO 王健出席IDCC2015大会并在大数据应用与安全技术论坛给大家呈现了一场《安全新形势、新挑战与解决方案》的精彩对话。
本次对话的主持人为青藤云安全创始人&CEO张福,以下为精彩实录:
主持人:请四叶草小7、知道创宇王总、微步的李总、云锁的王总上台。现在进入轻松的环节,之前大家听久了很累,跟大家分享一下对现在新形势、新挑战下如何解决这些问题。首先我想问在座五位两个问题,现在是云计算时代,云计算时代对企业来讲会面临新的挑战,各位觉得这个新的挑战主要在哪里,大家有没有好的建议来应对这些挑战。先请李总讲一讲。
李秋石:我先分享我之前的经历,作为传统行业基金企业,在使用云的时候往往会有一些转变的过程,一部分是对云有抵触和担忧、担心,担心的方面主要是安全方面,已经使用云的这些企业关注的点主要还是在云的可用性、成本以及负载能力,当然对于显性的安全威胁,比如DDOS,大家会感同身受,很痛苦。对于云计算中隐含的其他安全威胁,认知度和目前的斩获能力参差不齐,特别是对于初创企业。我之前做过IDC,合作伙伴,这是之前的工作经历,从数据保密性整体维度上来讲,不同的服务机构提供的安全性真的有不小的差别,能看到真正有安全域的服务商或者企业并不多,包括物理的控制和一些安全防范措施的就位情况。往往这些企业,使用云计算服务的这些公司对这些并不了解,并不完全掌握这个状况,这点也是值得关注的方面。
小7:我是做服务出身的,通过安全服务说未来安全的问题,我们做服务的过程中会发现各种各样的问题,包括人为的、系统应用的问题,最终所导致的结果肯定是将企业的数据、主要资料被攻击者拿到,呈现给企业最终的是数据,所做的安全无非就是保护企业呈现出来的数据,在未来数据防护在攻击的时候是千变万化的,之前做案例的时候,我们去做的时候只需要通过简单的方法就导致内网瘫痪。针对一些应用,企业的安全配置是基于人为维护和做策略的,一些设备出场的时候会有默认的口令等问题,如果人员安全没有做到位,将大大提高企业被攻击的可能性。
王利伟:在安全领域上云计算技术的普及给我们做安全的带来了很大的好处,拿我们自己家来说,我们做安全防护就是基于云计算的,大数据的处理能力、海量的计算资源给我们做安全防护和病毒研究都带来了很大的优势,传统的安全问题依然会存在,反病毒这些东西都是需要的,只不过由于云计算自身环境的特殊,我们传统环境问题依托的基础不一样了,并不代表它不存在。云计算的安全现在还是业内考虑比较成熟的,只是实施方面没有特别好的实施。拿云计算ISO27000来说,用了云计算的环境后传统的合规性的要求,比如PCDSS里面有非常详细对应的要求、控制手段和做法,一般企业上往云迁移的第一点考虑就是安全问题,但是对于一般的业务不是特别敏感的,云计算还是非常不错的选择,从大家的选择来看,目前企业市场对云计算的任何度也可以看出来,越来越多的企业开始尝试云计算,因为它的的确确能带来一些好处。当然在云计算的时候也要考虑安全问题,目前在国外想买一家云安全的产品需要非常全面的安全评估,比如机房的物理安全怎么搞,灾备怎么搞,咱们国内不太一样,国内云计算的环境属于几家独大,客户属于被绑架的状态,他那个协议只能是不能不,比如知名的大型云计算服务提供商,你想买他的存储,同意协议你只能同意,不同意你买不了,这时候容易被大厂商强奸。云计算必然是有好处的,选择云计算提供商的时候不要觉得大的一定是好的,要选对的,现在市场上涌现了一批中型企业,他们体量可能不是特别大,对某一个方面做得不是特别好,云安全这块得到了蓬勃发展,这种服务交付的安全也的确非常便捷,安全有时候是非常复杂的工作,拿钱总说的DDOS问题,非专业人士,给你一台专业的DDOS设备你调都不会调,这种在很多中小型企业中维护的成本是非常高的。
常昊:我认为我们都在谈云计算、IDC、客户迁移到云上给客户带来的挑战,这肯定是有挑战,给客户的主要挑战是因为客户有自己的安全标准,就好像原来过惯了很舒服的日子,不能指望把我以前的生活条件砍掉去你那里住。客户可以选择自建。大家反过来想想今天这个会是IDC,IDC是靠客户的选择生存的,每个人都有这个概念,客户为什么选择你,其实安全是一个绕不开的话题,你肯定要先解决了安全的问题。客户现有的安全解决方案是不是在云上都能解决,你就会明白客户为什么会选择他的云服务,因为客户不会降低他的云安全标准。
王健:很多安全问题并没有百分之百地得到很好的解决,过去很多小企业买了好多IPS,但不知道怎么配,管理员也不知道怎么配,我们做企业用户的时候经常见到这种状态。很多问题很多产品都被传统厂商迁到云上基于SaaS化的东西,用户配起来简化了很多,自适应能力变强了,但上云同时有一个另外的问题,一个问题是大家信不信云厂商本身,这是信任问题,第二个问题是上了云之后会不会带来新的安全问题。刚才几位演讲嘉宾讲过,上了云之后,整个云的安全边界变模糊了,动态调整资源能力增强了,有可能业务部门调整了资源之后,安全部门的人根本得不到通知,根本就不知道,也会造成相应的疏忽,调整的速度越快,攻击面就越大,攻击面越大被利用的可能性就越大,被攻击的可能性就越大,上云之后比传统的IT架构要坏一点。有一些企业上了安全产品不一定能解决安全问题,还有个原因是因为制度问题,归根到底是人的问题,人没有完善的安全制度,安全制度没有贯穿在开发、运维的循环中,传统IT企业在上云的过程中可以顺道梳理一下整个IT流程中的安全环节,让安全也能动态调整,跟资源一样的动态调整,把过程变成申请资源的同时要能申请它的服务、申请它的安全,跟它相配套地一块配套过来。
主持人:几位说得都令我印象深刻,常总说的云计算时代的安全对于客户来讲变得越来越复杂,因为它的基础设施变了,但是对于整个行业来讲特别是对于IDC这个产业来讲,是不是能把安全做好,决定了将来客户对你的接受成为,这块是将来值得研究的话题。
第二个问题是这样的,大家都是安全行业的从业者,最近几年大家觉得安全行业有什么样的变化?未来大家怎么看这几年的安全市场,请李总先说。
李秋石:这个趋势有很多方面,最明显的是用一句话,专注威胁,情报驱动,和我们现在面临新的安全形势也是相关的,国内互联网安全形势和国际的不太一样,国外对安全标准的执行和把控是非常严格的,而且非常循规蹈矩,合作伙伴的安全评估也是多数非常严格的项目执行,因为它要保证数据生存周期的安全。前面分析的时候有一个朋友提到过如何防范信息泄露,其实这个问题很大但是也很简单,做起来会很难,它其实有三个准则,第一是我要有基础的防范措施,要有墙,要有一些安全工具和产品。第二我要知道谁在搞我,什么时候来搞我,搞了什么,哪些数据受威胁,这是一定要在第一时间知道的,这是事中控制。第三是事后控制,就算被搞了,就算数据泄露了,这些数据其实也是不可用的,这就会涉及到数据加密的标准执行。为什么说做到这三点很难?是因为国内的国情就是这样,互联网、云计算的发展形势是爆炸式的,各个企业以业务为重,安全往往不能影响业务发展,这反而影响了这三条基本准则的执行。
打个比方,加密算法,国内最多的是MB5,这些算法在国际已经被严格限制或禁止使用了,有一些说加严了,这个严在哪里,我们专注于威胁和情报驱动还有一点就是曾经处理漏洞的时候,当时有家企业评估内部网络非常复杂,我们自己的功能师都不一样能在几个小时内或者半天内弄清楚所有拓扑架构,入侵者怎么可能那么快把环境搞得很清楚呢?事实却完全相反,真正利用这些漏洞能攻入企业造成数据泄露的攻击者比你想象的要高级很多。国内算是第二起比较严重的APT事件,这个组织叫暗黑客栈,它使用的方法就是针对企业高管在所入住的企业里发起攻击,手段挺复杂的,用一些专用的设备在酒店的网络设备上,插入这个设备之后会提醒升级一个控件,比如你电脑上常用的控件,利用这些控件的升级直接把打包的文件安装,安装以后你就中招了。还有一种方法是利用word加临界漏洞来执行,一定要有情报的支持才能了解谁在盯着你,哪个团伙在跟着你,哪个团伙在跟着你的企业,对于调度你手里所有的资源,包括人力物力、该使用那些安全措施是非常有用的。打仗的时候所有导弹防御系统需要有雷达和预警机提供支持,这些支持是非常重要的,特别是战时。
小7:这几年的发展从对安全无所谓到现在重视安全,在座有很多运维的哥,之前在企业内部运维人员会觉得是在运维中,攻击者不一定进得来,进得来又怎么样,我有我的设备,这是对安全不重视,习大大说了没有网络安全就没有国家安全,这是很大的改变。未来的趋势,用我们的产品来说应该是漏洞实时感知平台,为什么这样说?因为出现一个漏洞,他不会跟你打电话发短信说一下今天有漏洞出现,他不会在你知道的情况下出现,针对于公司企业没有快速响应的方式,响应的时间决定企业安全的反应,针对于这个平台来说,出现一个漏洞后面有一部分人去更新你的漏洞,把这个漏洞更新到你的监控平台上,你的网络应用达到安全的报警,这样的话运营人员发现这个问题会及时地修复。
王利伟:今天能有这么多人坐在这儿聊企业安全已经说明了一切,上台前我们还聊,老牌的安全厂商、启明、绿盟当初都是靠着政府、银行、能源、运营商,不做这些运营商早死了,不可能活到现在,但现在看到一个变化现在老牌的安全厂商还健在的基本都有了互联网安全部门,负责企业客户、互联网公司、P2P、电商,开始做这样的行业,这直接可以看出来为什么有这样的部门产生,因为这些客户需要做安全,可以从他们那儿接单子,这些公司越来越重视安全了。为什么得到重视?由于我们把越来越多的生产系统放到了网上,虽然我国互联网普及是很早的,最早我们在互联网上得到的信息更多的是web1.0时代、2.0时代聊个天、看的新闻,新浪威武的时候无非是靠流量赚点钱,现在普通网民对于选择提供商的安全提出了更高的要求,因为有太多敏感的信息在他那儿,反过来这些公司做得越来越大之后,以BAT为第一方阵,他们有了钱之后会认识到企业核心价值是用户数据,有必要投入很大的精力把安全做到。有两个方式做的好的,要么是BAT为首的,更多的是中小企业,把安全挂在嘴上没有落到实处,任何行业都是一样,慢慢来,我相信安全市场肯定会越来越好。
常昊:安全趋势,刚才听大家发言,在我脑子里就三个,我卖了这么多年产品,大家都提到了数据越来越重要,这不用谈了,另外很多客户问过我搞了这么多年怎么能搞好,就一句话,多花钱,钱能解决,安全做不好为什么不花钱?很多用户想做这个想做那个,就三万块钱,什么都做不了。安全的投入肯定是越来越多的,安全给你带来的收益没有增加,但给你带来的损害越来越大,做不好安全可能会死在这上面。第三,我看到一个趋势,是挺明显的趋势,我碰到过一些互联网公司,我不怕出安全问题,我不想花那份冤枉钱,他丢了钱我赔给他,他丢的钱你可以赔给他,企业丢的脸你赔不了,道德底线也触犯不起。我碰到很多公司跟我讲花了很多钱雇了特别牛的黑客,觉得安全没问题了,我觉得运维是个问题,安全问题到最后归根到底是产品加管理的问题,归根到底一句话,如果这个人跳槽了再去雇一个,雇的这个人懂的东西跟前面的人一样,最后客户会把安全归结为管理的问题,最终就是一个管理的问题。
王健:我们作为安全从业者已经做很多年了,企业用户对安全的重视度普遍提高了,从另一个角度来说安全产品对用户需求的把握也越来越好,2015年和今年最热的题目,安全可视化、威胁情报、威胁感知、自适应或者其他最新的概念,对用户自身的需求把握得更清楚了,他知道用户真正想要什么,过去做安全很多情况下用户不愿意买单有很大的原因是我们做出来的东西我们认为很安全,对付黑客可以了,但用户认为不是,那不是用户想要的东西,从商业来讲是这种趋势。从技术角度来看,大家可以看到黑客的技术能力越来越高,包括APT,所谓APT就是水平更高的黑客拿到的数据量超过你,他的攻击水准高于你,他要做的事情你根本就不知道,所以导致了我们很难防。从技术角度来看,现在我们经历了几个阶段,基于签名阶段、基于行为、基于异常分析,出现了去监测异常,黑明白无穷无尽,白名单是有限的,怎么监测需要更新的技术、大数据,汽车在我看来就是让系统的复杂度远远高于黑客对安全的认知度,其实就是提高它的成本来提高安全性。我前几天看了Gartner的云安全报告,他说了一堆我都没记住,就记住最后一句话,对于安全企业是有帮助的,莫让安全技术落后于IT的变革。
主持人:听大家讲我也蛮有感触的,我也说两句,我们青藤云安全是做安全的,未来几年安全市场非常好,原因是这样的,中国的产业都在互联网化,也就是所谓的产业互联网化进程,线下的产业普遍会跟线上相结合,互联网会影响会渗透到很多产业里,在线业务的基本属性就是安全,过去几年很多企业对安全没有意识。过去你会告诉一家企业安全很重要,现在我们遇到客户都不用说安全很重要,他只是关注要花多少钱能解决这个问题,意识上的改变对产业有很大的影响。
第二,国家层面的影响。说白了安全其实是一家企业必须履行的社会责任,现在遇到诈骗等各种各样的问题,信息泄露都是个人行为导致的,大部分是填个申请单,那家企业没有保护好数据导致信息泄露,导致诈骗产生,我认为将来国家一定会强制企业去履行他应尽的社会责任,既然你的用户把这些数据都交给你了,他信任你,你就有义务保管好。未来企业的安全市场会越来越好。
还有些问题问一下大家,首先问微步,最近威胁情报特别火,全世界都在讲威胁情报,威胁情报到底是什么样的东西,它是怎么获取到的?威胁情报到底有什么作用?
李秋石:先简单介绍一下我们公司的情况。原来在国内和国外的互联网公司做过,做安全理念的架构不太一样,我有不少感触,给我个人的感觉是中国市场和国外长对于安全的理解差异很大,我在思考为什么,原因之一就是在美国市场上企业会因为安全问题倒闭,但是在国内不会,这是最根本的差异。我们国内的市场对于安全的需求需要量化,我投入这么多,安全其实是一个投入项目,我投入这么多我的回报是什么,有时候这个很难。我们公司是国内首家专注于威胁情报的创业公司,成员来自于亚马逊、阿里、微软等安全圈的朋友们,大家走到一起来做这个事情,这个市场对于国内的企业和用户真的非常有用。刚才我们在外边还在讨论,整个市场行情也像当年云计算刚开始提出的时候,大家可能没有摸得着它是什么样,能带来什么解决方案,但在美国已经热了三年左右,从概念提出到现在。威胁情报从哪里来,是什么,威胁情报其实是一种线索,而且是可执行经过验证的线索,这对于企业包括对于安全从业人员来说,对于决策和使用判断会起到非常重要的作用,有时候它可能对你一文不值,但有些时候它的价值会顶上一半或者整个的市值,它的价值会有波动,最主要是在于什么事件以及威胁到哪里。
从哪里来?因为情报,我很难说它具体固定的来源是什么,因为事件、工具、技术以及流程这些是在时时变化的,攻击的欺诈团伙、对于企业有威胁的团伙的方法是不断升级的,掌握的情况和数据并不是我们想像的那么简单,企业都是铁打的营盘流水的兵,企业的安全人员可能在变,盯着漏洞的人已经轻车熟路了,他不需要跳槽,他的工作就是这个。把它变成情报有一定的过程,之前一直在做数据共享,IP、时间戳,大家交换,这些属于源数据,现在很多国内企业包括BAT其实不缺数据,数据太大了,太多干扰了,很难在里边找到有价值的东西,哪怕把行业里共享出来的源数据给你,安全在企业里是横向的部门,必须经过专业的清洗、分析、上下文比对,专业的分析人员针对这个行业分为几个层面的分析和关联,再进行处理和加工形成的信息才能是情报,源数据不能情报使用,情报一定是经过验证、有价值、可执行的。分为两部分,一个是战略情报,报告、分析及态势感知、形势的预警和情报订阅,我们把它叫做威胁情报订阅服务,这些有专业的分析师和团队根据企业类型向企业进行服务。还有一个叫战术情报,这些是可执行的措施。这两部分结合起来对于企业是可知性的方案。我们通过威胁分析平台,基于SAS的服务,提供源数据的分析,经过我们的分析关联形成威胁情报服务,它分为战略和战术。这对于国内的环境来说更适宜于大家理解,国际还有不同的方式,这个行业也在不断的发展,希望感兴趣的可以交流。
主持人:下个问题我想问知道创宇的王总,知道创宇是我挺敬仰的公司,遇到DDOS攻击有没有好的方式防御?
王利伟:DDOS攻击成本比较高,带宽成本比较高,北京的成本很贵,对于防御变得特别难。知道创宇防御DDOS,我们做得比较早,以安全CDN起家,把DDOS这个项目切出来做,基础架构跟CDN类似,最主要的区别跟传统CDN部署节点不一样,传统CDN需要非常多的节点,一多的话单个节点不会太大,DDOS只要把一个节点搞掉了,这一个市一个省就上不去了。我们的节点相对来说都比较大。知道创宇是腾讯控股的公司,腾讯给我们输出了他们的能力,腾讯给了我们很多机房,在中国做抗低的成本要高很多,这样先天性地不如国外做得好。靠DNS调度,DNS存在时效性的问题,把DNS搞瘫了怎么办。对于企业虽然超大型的攻击比较多,你不用担心,你花不起钱扛,很多公司有了这种问题也不扛了。
现在竞争比较激烈,打出来的黑流量贷款是很不稳定的,他不敢保证这次就能打100G下次就打80G,不敢保证,存活周期有的是很短的。DDOS现在不是特别大的难事,以SaaS形式来交付的DDOS提供商越来越多,这个行业相对成熟,因为DDOS出来很多年了,防御技术比较OK,只不过是看什么样的方式来交付,看看稳定性怎么样,看看价格怎么样。有一个难点是现在对于CC攻击是比较头疼的,CC是模拟的真实用户,它是正常的链接,CC是完完整整的正常请求,它就是机器人,点一下搜索,跟正常浏览器没有任何区别,再加上慢速的,十万个IP每十秒点你一次,这个时候性能不够的话直接被搞死了,带宽倒是没占用多少,倒是把CPU内存搞死了,这种是最难防的东西,而且在黑市上这种攻击现在卖得最火,比DDOS贵多了,因为大家知道中国的CDN发展速度是很快的,越来越多的企业都用CDN,这种会把原站的IP防掉,CC可以直接搞到服务器,CC比较难防。
对于这个知道创宇还是有一些心得的。去年基于海量日志以及行为特征分析的CC防御系统已经申请了专利,有几个技术特征跟大家说一下,一个是上下文关联,传统的安全设备大家都听过,日志学习、基于行为的学习,但是你的数据量有多少,如果就你自己网站你有什么可学的。目前我们有一个超级防御模式,可以做到99.99%的CC攻击被干掉,大家感兴趣的话可以试试。
主持人:因为时间有限,我问最后一个问题,我想问常总,IDC这个行业跟安全行业有没有交集?你怎么看未来的机会?
常昊: IDC跟安全,我们应该从务实的角度去考虑,我可以举两个案例。一个案例是我们都用信用卡,原来也做过银行信用卡中心的生意,只有一家银行的信用卡是盈利的,剩下的全是亏损的,这家盈利的银行我就不好说了,从这个案例大家可以想IDC和安全的关系,安全是在帮我们盈利,帮IDC做更好的服务,而不是一个羁绊,让你多花钱。从这个角度可以看到很多生意是因为它更安全才生意变好。大家有没有见过万达影城的灭火器叫万达牌灭火器,烟雾感知器叫万达牌烟雾感知器,大多数运营是没有办法自己把安全问题解决好的,盖楼没办法自己生产灭火器,灭火器很好生产但不会自己生产,因为不划算。我是做漏扫、渗透测试、做比较好的工具,我们本来想做更新形式的运维,有更好的安全厂商、更好的工具能够跟IDC一起把更好的安全服务推送给我们的客户,这个过程中没有人是亏损的,IDC当然会花钱,但是他的钱会从客户身上收回来,客户会入住五星级酒店而不是三星级的酒店。老外的管理安全服务的业务增长非常快,在中国很少,我们现在还在关注建机房、吸引客户,让客户把应用放到云上,但我相信一到两年内能够面临很现实的问题,客户对你的考量不单单是应用起得快不快,而是你是不是能保证我的业务,这是未来的一个方向,也是我们现在在着力做的事情,谢谢大家。
主持人:大家有问题的话可以提问。
问:我想问知道创宇的DDS工具问题,我们现在有在IDC托管,如果有一些工具来的时候会耗流量,如果我们已经有在托管,我们怎么样使用你们的服务?
王利伟:很简单,SaaS零部署零维护,接入方式就是改下域名,中国做清洗基本都是靠DNS来调度,改一下DNS指向到我们的清洗节点就OK了,我这边在你前面加了一个代理,你可以这么想,我的代理可能就是一个反向代理,会把恶意浏览帮你清掉,同时把CC都干掉,再把洁净的流量传给你,很简单。
主持人:安全大的问题在于以前的安全是给有钱人用的,它是个奢侈品,你必须要很有钱,而且自身有很好的团队才有可能把安全做好,未来IT基础设施变得越来越简单、容易使用,越来越多的业务会覆盖在云上,这些企业的人都很少,国内很多做的不错的公司一年的营收可能过亿,获得的用户特别多,整个公司特别小,三十到五十号人,根本没能力把安全做好,你要求他投入很多的钱,有一个专门的团队做这个事情是很困难的,我们公司的理想是让安全之光照亮整个互联网,我们希望把安全做好的不仅仅是那些有钱的巨头,一般的企业也能够很好地保护自己的知识,保护自己的劳动成果,在没有黑客攻击的网络上。要有一套新的方式,要做到自适应,不需要太多的部署和使用的成本,能适配你的环境,为你的企业生成更好的安全策略,这个过程比较自动化,服务可以托管出来,我们做的就是自适应的安全解决方案。有机会可以看看我们的官网,我在这里就不多介绍了。
主持人:圆桌对话就到这里,谢谢大家。
当前文章:圆桌对话:安全新形势、新挑战与解决方案
链接分享:http://ybzwz.com/article/chpgcs.html