QCon 2019：云安全大咖共話云端攻防

5月6-8 日，QCon 全球軟件開發(fā)大會(huì)(北京站)2019在北京國(guó)際會(huì)議中心舉辦，100+國(guó)內(nèi)外資深技術(shù)大咖帶來涉及 26+熱門領(lǐng)域的重磅議題分享。針對(duì)企業(yè)及用戶普遍關(guān)注的云上安全問題，QCon攜手騰訊安全云鼎實(shí)驗(yàn)室聯(lián)合策劃“云安全攻與防”專題論壇，邀請(qǐng)業(yè)內(nèi)經(jīng)驗(yàn)豐富的安全專家解析企業(yè)用云的安全痛點(diǎn)。

騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)(Killer)擔(dān)任本次專題的出品人，他表示，云鼎實(shí)驗(yàn)室一直以來都關(guān)注云安全體系建設(shè)，專注云上網(wǎng)絡(luò)環(huán)境的攻防研究和安全運(yùn)營(yíng)，希望通過與QCon共同策劃本次專場(chǎng)議題，加強(qiáng)安全社區(qū)聯(lián)動(dòng)，加快安全研究的落地實(shí)踐，從而推動(dòng)云上安全生態(tài)的構(gòu)建。

首個(gè)議題瞄準(zhǔn)下當(dāng)下炙手可熱的云上數(shù)據(jù)泄露。凌晨網(wǎng)絡(luò)科技CEO姚威認(rèn)為，云安全的“現(xiàn)實(shí)問題”在于要認(rèn)識(shí)到“角色”的重要性，云廠商扮演什么角色?云用戶扮演什么角色?云用戶自身安全意識(shí)尤為重要。諸如Hadoop、MongoDB、ElasticSearch的未授權(quán)訪問，未授權(quán)數(shù)據(jù)下載這些問題是因?yàn)橛昧嗽撇懦霈F(xiàn)的問題嗎?實(shí)際“是因?yàn)檎l(shuí)用了云服務(wù)，而不是用了誰(shuí)的云服務(wù)”。

　　(凌晨網(wǎng)絡(luò)科技CEO 姚威)

那么又該如何構(gòu)建云安全體系?尤其是針對(duì)數(shù)量眾多的中小型互聯(lián)網(wǎng)公司?Rokid信息安全總監(jiān)白嘎力認(rèn)為，企業(yè)的安全建設(shè)要遵循“1234”的理念：整體防護(hù)是中心;攻防平衡原則和自主可控原則是2個(gè)基本點(diǎn);還要搶奪網(wǎng)絡(luò)邊界、內(nèi)部縱深防御體系、取證溯源3個(gè)重要高地;站在攻擊者一方思考4個(gè)假設(shè)——假設(shè)系統(tǒng)一定有未發(fā)現(xiàn)的漏洞、假設(shè)系統(tǒng)一定有已發(fā)現(xiàn)但未修復(fù)的漏洞、假設(shè)系統(tǒng)已被滲透、假設(shè)員工并不可靠。

　　(Rokid信息安全總監(jiān)白嘎力)

騰訊高級(jí)工程師喻峰從流竄在網(wǎng)絡(luò)世界中的惡意流量切入，揭開了這個(gè)龐大黑灰產(chǎn)團(tuán)伙的隱秘。數(shù)據(jù)顯示，2018年全球互聯(lián)網(wǎng)中20.4%的流量是由機(jī)器惡意制造的，給各種互聯(lián)網(wǎng)企業(yè)帶來了巨額損失。喻峰表示，目前網(wǎng)絡(luò)黑產(chǎn)已經(jīng)形成了完善的產(chǎn)業(yè)鏈，主要分為網(wǎng)絡(luò)攻擊和業(yè)務(wù)攻擊兩類。安全從業(yè)人員要合理運(yùn)用“公告-分析-捕獲”的云安全研究三板斧，聯(lián)動(dòng)云安全的各方力量，不僅對(duì)已知的惡意流量進(jìn)行公告和分析，更要主動(dòng)捕獲惡意流量，化被動(dòng)防御為主動(dòng)防御，才能切實(shí)保障企業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)安全。

　　(騰訊高級(jí)工程師 喻峰)

流量合理地加以利用，也將成為企業(yè)守護(hù)安全防線的一大利器。長(zhǎng)亭科技產(chǎn)品技術(shù)總監(jiān)李昌志表示，雖然面對(duì)變幻多端、錯(cuò)綜復(fù)雜的業(yè)務(wù)沒有省力的解決方案，但依靠 Web 網(wǎng)關(guān)集成實(shí)時(shí)流量分析框架，通過簡(jiǎn)單的分析策略就可以解決眾多復(fù)雜的業(yè)務(wù)安全難題，不失為一條捷徑。當(dāng)然，要保證流量分析框架的接口足夠通用。

　　(長(zhǎng)亭科技產(chǎn)品技術(shù)總監(jiān)李昌志)

云安全正在隨著上云企業(yè)的增多而受到了而受到來越多的關(guān)注，但云安全的涉及領(lǐng)域龐雜，需要安全研究人員持續(xù)深入挖掘具體場(chǎng)景，同時(shí)需要企業(yè)管理者站在全局角度從戰(zhàn)略角度規(guī)劃，這無(wú)疑需要安全社區(qū)不斷開放、合作、共享，加強(qiáng)安全社區(qū)的技術(shù)輸出能力。騰訊安全云鼎實(shí)驗(yàn)室在策劃本次專場(chǎng)議題之外，還將攜手極棒發(fā)起首個(gè)云安全挑戰(zhàn)賽，在即將到來的上海1024GeekPwn上，邀請(qǐng)全球安全從業(yè)者通過實(shí)戰(zhàn)的方式，發(fā)現(xiàn)云計(jì)算中存在的漏洞，驅(qū)動(dòng)云安全研究升級(jí)。

除此之外，騰訊安全還發(fā)起了CSS互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)，自2015年舉辦以來，共吸引來自互聯(lián)網(wǎng)金融、智能汽車、物聯(lián)網(wǎng)、智能硬件等多個(gè)熱門產(chǎn)業(yè)領(lǐng)域超過500家的頂尖企業(yè)參與，致力于聚合互聯(lián)網(wǎng)產(chǎn)業(yè)領(lǐng)域與網(wǎng)絡(luò)安全行業(yè)的力量，更好地守護(hù)產(chǎn)業(yè)互聯(lián)網(wǎng)的安全生態(tài)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。