“在互聯網的世界裡,你永遠不知道下次爆發大規模網絡安全事故是哪一天,網絡攻防兩端永遠在博弈,此消彼長永遠沒有完結的一天。面對未知的2019年,網絡安全戰又將呈現出什麼樣的局面?”
Facebook 8700萬用戶數據洩露,殭屍網絡HNS感染逾2萬物聯網設備,區塊鏈平臺EOS現史詩級系列高危安全漏洞,NotPetya勒索軟件攻擊美國電網......在即將過去的2018年,雖然互聯網的整體安全性都在提升,但是依然出現了多起影響力頗大的網絡安全事件。
隨著公共雲、混合雲的出現,網絡安全攻防戰再度升級,傳統的安全防禦體系開始土崩瓦解,與雲計算相伴而生的雲安全正以全新的姿態步入戰場。面對蠢蠢欲動的攻擊者,2019年網絡安全形勢是否樂觀,雲安全技術又將如何演進對抗攻擊?
作為市場份額國內第一、全球第三,承載著全球上百萬企業客戶業務的公共雲廠商,阿里雲2017年全年修復648萬次漏洞,79次安全應急響應,每天幫助中國40%的網站抵擋36億次攻擊,2000次DDoS攻。在這場看不見硝煙的網絡安全保衛戰中,阿里雲可以說是當之無愧的急先鋒。此次科技雲報道專訪阿里雲資深產品專家葛岱斌,針對雲安全前沿技術和發展趨勢等問題進行了交流。
阿里雲資深產品專家葛岱斌
2019年雲安全的五大趨勢
葛岱斌表示,公共雲的快速增長,帶來了雲安全市場規模的高速增長。結合過去一年國內雲安全市場的發展情況,未來國內雲安全領域有五大趨勢值得關注:
趨勢一:挖礦、勒索病毒攻擊還將繼續
從黑客的角度看,近幾年變現最快、最主流的方式有兩種:一是通過入侵電腦終端和服務器,利用他人的電腦挖礦賺錢;二是利用各種漏洞和其他途徑入侵後通過勒索病毒向用戶索要贖金。
有人認為2018年勒索病毒不流行了,事實上從監控數據可以發現,勒索病毒在2018年仍然非常活躍,基本上每天都會有新的變種或新的家族出現,仍然是惡意軟件中最嚴重的威脅。2019年,勒索病毒和挖礦入侵依然會是最嚴重的威脅之一,企業還需在安全防護上持續投入。
趨勢二:雲安全責任共擔意識漸長
傳統IDC要求用戶對所有安全問題負責,而到了雲上,IT基礎架構發生變化,雲安全也迎來責任共擔的新時代,安全問題變成廠商與用戶共同解決。
目前,雲安全責任共擔模式在業界已經達成共識。在海外,亞馬遜AWS、微軟Azure均採用與用戶共擔風險的安全策略,雲服務商負責管理雲本身的安全,業務系統安全則由用戶負責,企業用戶可以在雲安全市場裡挑選合適的產品來保護自己的內容、平臺、應用程序、系統和網絡安全。在國內,這種安全責任共擔模式也正在被用戶逐漸接受。例如,阿里雲負責雲平臺安全,並與用戶一起保障業務應用安全。
趨勢三:混合雲安全是未來幾年的剛需
對於金融、製造、政府、醫療、教育等國內傳統行業來說,上雲是一個長達多年且逐步發展的過程。雖然公共雲將是企業雲化的最終形態,但是在未來很長一段時間內,部分國內企業和機構的IT資產仍會在線下,混合雲的安全將是將來幾年的剛需。
趨勢四:數據安全將成重要關注點
數據安全與個人隱私保護是一個全球性的話題,美國、英國、澳大利亞、歐盟和中國在內的很多國家和組織都制定了大數據安全相關的法律法規和政策。
在中國,無論是已經發布的《網絡安全法》,還是後續相關的法律法規,都將數據安全與個人隱私保護作為其中非常重要的一塊內容,相信數據安全將成為雲安全領域的重點之一。隨著企業數字化轉型的興起,大數據分析平臺的應用普及,數據暴露會成為新的風險點,企業需更加關注數據使用安全。
趨勢五:自動化安全技術持續演進
如今黑客已經在其攻擊戰術、技術和規程中積極利用自動化和人工智能進行攻擊,這些新興的自動化攻擊工具,可以在幾秒鐘內迅速破壞任何在線業務和服務。對於越來越智能的自動化攻擊,企業的防禦響應系統必須和黑客攻擊保持在同等水平,在自動化安全能力上實時跟進。
目前,阿里雲已經將安全自動化嵌入業務全生命週期,所有產品在上線之前都要在產品設計、產品開發及產品交付等各個階段考慮默認安全問題。通過機器學習的方式,在入侵檢測、自動化隔離、攻擊告警溯源等各個階段進行自動化安全運營,從而降低安全運營成本,縮短安全響應時間。
用技術降低大多數用戶的
雲安全門檻
雖然網絡安全面臨著嚴峻的形勢,雲安全成為業界關注的重點領域之一,然而用戶市場對於雲安全的認知卻並不清晰。葛岱斌表示,國內用戶對於雲安全的認識參差不齊,這是一個現實的情況,阿里雲會針對不同層次的三類用戶進行雲安全保護。
第一類,從事互聯網業務的企業,以前沒有做過雲安全,以為上了阿里雲就安全了,並不知道雲上安全需要責任共擔。針對這類用戶,阿里雲會持續教育,與用戶達成共識。
第二類,有云上安全意識的企業,但是不知道該怎麼做雲安全,阿里雲會為這類企業用戶提供相應的行業解決方案,幫助用戶搭建雲安全體系。
第三類,有自己的安全運營團隊,對於線下傳統安全策略非常清楚,但是到了雲上之後,以前的經驗和策略就不再適用了。一般來說,這類企業所處的線下環境相對比較穩定,採用的安全策略和產品也較為固定,但是由於雲環境變化太過頻繁,對於雲安全的要求也更為彈性和智能,很多企業採用的傳統安全產品並不符合雲上環境的要求。因此,阿里雲會採取更主動地與多家安全廠商合作的方式,將傳統安全產品更好地應用在雲上。
雖然現階段用戶群體呈現出不同的安全成熟度,但是葛岱斌認為,可以通過技術的手段降低用戶使用雲安全的門檻,即在用戶安全運營能力的基礎上,提供最小的智能安全閉環,用最少的運營負擔保證最大化的安全。
因此,在雲安全產品設計上,阿里雲安全不只針對頭部企業客戶,而是充分考慮大多數中小用戶的需求和能力,讓客戶在不懂安全、沒有專門的安全運營團隊的情況下,也能夠獲得雲安全的能力。
我們知道當一個產品用起來越簡單,其實在技術層面要求就越高,這對於安全產品來說也一樣。如要降低人工安全運營的難度,對安全產品自動化和智能化的能力要求會非常高。
對此,葛岱斌表示,阿里雲有能力將自身的安全技術能力落地,以安全產品和服務的形式交付給用戶,將用戶和阿里雲的安全水位保持在一個水平面。
從阿里雲自身業務看,內部每天有幾百款產品同時開發,在敏捷開發的狀態下,很多迭代甚至達到幾小時一次,如果都靠人力來做安全運營顯然是不現實的,因此從產品的立項、研發到上線、迭代,每個環節都有自動化的安全把控,每一個產品在上線前,安全策略已經事先定義在應用裡了。
不僅如此,阿里雲每天還會遭到上億次的攻擊,就算有幾百人純靠手工操作安全運營也抵擋不過來。按葛岱斌的話說,“阿里雲的安全能力是靠實踐打出來的,每天看到各種類型的攻擊,從而知道如何抵抗對雲的攻擊。”
針對企業客戶業務,阿里雲沒有簡單地複製自己的安全策略給企業客戶,而是將雲安全經驗總結為企業雲安全最佳實踐策略,來幫助指導企業雲安全的部署,例如:哪些安全策略是在生產環境中的,是否在生效?雲上應用服務的配置是否足夠安全?......為了保證用戶不同業務類型的雲上安全,雲安全管理策略和雲安全產品是一起交付給用戶的。
與此同時,在用戶需求的驅動下,阿里雲也加強了與國內外安全廠商的合作。葛岱斌表示,由於用戶業務類型很多,需求也會千差萬別,在保證阿里雲核心平臺安全能力的同時,也必須將網絡安全、硬件安全、應用安全、數據安全等各個方面的產品和能力,接入到阿里雲平臺上,集成到用戶解決方案中,“雲上安全,需要用戶、阿里雲、合作伙伴三方共同來推動。”
當雲安全成為網絡安全的新常態,企業比以往任何時候都需要更加主動、有效的安全解決方案,而應對這種新的變化,不僅需要互聯網經驗向傳統行業輸出,更需要用戶認清網絡安全形勢,重建雲上安全意識,畢竟在安全面前沒有人可以獨善其身。
閱讀更多 科技雲報道 的文章
