QCon 2019：云安全大咖们聚在一起都聊了啥？

云上数据安全取决于企业自身的角色

（凌晨网络科技CEO 姚威）

数据作为企业的核心资产，云端数据安全的关注程度越来越高，把数据放到云上是否安全成为各个企业思考最多的问题。

姚威认为：

云安全的‘现实问题’在于要认识到‘角色’的重要性，云厂商扮演什么角色？云用户扮演什么角色？就像买了个云主机后是买了一套住宅还是租用了一套商铺？住宅被盗大多数是物业不行和自身门锁防盗出现问题，而商铺天然要对外做生意，来往人流很多，那么店主自身的安全意识就尤为重要了。

云的安全性毋庸置疑，目前主流云厂商几乎都通过了行业内的权威安全认证，并建立了完善的基础安全服务，但用云的企业并未做到“自我防护”或“功能的正确使用”。姚威通过剖析典型的云上数据泄露事件发现，主要问题都集中在企业的安全意识和习惯。

姚威表示，类似的案例还有很多，诸如Hadoop，MongoDB、ElasticSearch的未授权访问，未授权数据下载这些问题是因为用了云才出现的问题吗？实际“是因为谁用了云服务，而不是用了谁的云服务”。

喻峰：

（腾讯高级工程师 喻峰）

在纷繁复杂的互联网中，流量是衡量这个世界活跃度的关键指标。面对网络虚假流量带来的巨额利益，不法分子利用高科技手段制造恶意流量，破坏网络秩序，无孔不入。数据显示，2018年全球互联网中20.4%的流量是由机器恶意制造的，这给各种互联网企业带来了巨额损失。

喻峰介绍：

目前，网络黑产已经形成了完善的产业链。主要分为网络攻击和业务攻击两类，网络攻击通过端口扫描、暴力破解、漏洞利用等手段进行撒网式攻击。而业务类攻击则主要从帐号类攻击、恶意爬虫、流量欺诈等角度影响企业正常业务，从而导致无价值用户和垃圾数据泛滥、营销费用浪费、数据流失等问题。

同时喻峰也给出了反制的建议：

（Rokid信息安全总监白嘎力）

Rokid信息安全总监白嘎力表示：

在这种挑战下，白嘎力认为企业的安全建设要遵循“1234”的理念。整体防护是中心；攻防平衡原则和自主可控原则是2个基本点；还要抢夺网络边界、内部纵深防御体系、取证溯源三个重要高地；要站在攻击者一方思考四个假设——假设系统一定有未发现的漏洞；假设系统一定有已发现但未修复的漏洞；假设系统已被渗透；假设员工并不可靠。

“想攻击者所想， 进而建立安全架构才能知己知彼”，白嘎力表示。

（长亭科技产品技术总监李昌志）

以“薅羊毛”为例，不同场景的“薅羊毛” 是同一个问题吗?“薅羊毛” 问题的本质是什么？不同的“薅⽺毛”问题有哪些共性？是否有通用的解决方案？

长亭科技产品技术总监李昌志表示：

目前行业内大部分业务普遍面临着由不同业务场景带来的业务安全问题，此类问题既重要又很难找到一劳永逸的方案。

像 Load Balance，WAF 这些类似 Web 网关的云基础架构，有着对所有 HTTP 流量的处理能力，因此，由此对抗业务安全风险有着天然优势。依靠 Web 网关集成实时流量分析框架，通过简单的分析策略就可以解决众多复杂的业务安全难题。