近年來，數據泄露事件頻頻發生，網絡敲詐勒索也正在成為“黑產”掘金之道。一旦發生此類安全事件無論對用戶還是企業來說都是巨大的損失。技術人其實應該可以把好第一道關，降低安全風險。在即將召開的QCon北京2019大會上，騰訊安全云鼎實驗室負責人董志強（Killer）將擔任“云安全攻與防”專題的出品人，與業內多位安全大咖分享云安全的經驗與做法。值此之際，infoQ也對 Killer 做了細致的訪談，這里整理出來，供各位了解。

再次介紹一下 Killer 其人：

董志強，江湖人稱 Killer，作為行業享有盛名的大咖，長期關注惡意代碼變化趨勢，是擁有十五年信息安全從業經驗的云安全專家。他行事頗為低調，多次受邀作為嘉賓出席行業會議，并發表精彩主題演講。從 2006 年創建“超級巡警”，2007 年當“熊貓燒香”幾乎肆虐了整個中國，“超級巡警”的“先發制人”取得了巨大成果。2016 年加入騰訊，執掌騰訊安全云鼎實驗室，專注于云領域前沿安全技術研究與創新、安全漏洞研究和處置、云架構和解決方案規劃設計、云標準化和合規體系建設等工作。

Q ?：了解到您是漢語言文學專業出身，后來投身安全行業，您是如何積累經驗從外行變成行家的？文學背景對您來說有什么增益或者阻礙嗎？

Killer：有次內部會議跟同事分享工作 1 年如何擁有 3 年的工作經驗的話題，我提到，大家每天上班的時候做的是安全工作，出于興趣愛好，下班之后仍會持續研究安全技術和關注安全領域的話題，所以往往能做到工作一年獲得工作兩年甚至更多的工作經驗。

學文最大的好處就是理解能力突出一些，這在以興趣驅動自學為主的情況下幫助較大。

Q ?：云鼎實驗室這個名字是由何而來？云鼎實驗室對于騰訊云業務而言，承擔著什么樣的角色？給實驗室的定位是什么？

Killer：實驗室的名字是我的一個朋友TK（嗯，大佬的朋友也是大佬，TK是騰訊安全玄武實驗室負責人）幫助起的，他對這塊比較有研究，是他三大技能之一。云鼎實驗室專注云安全技術研究和云安全產品創新工作，負責騰訊云安全架構設計、騰訊云安全防護和運營工作。我們通過攻防對抗、合規審計搭建管控體系，提升騰訊云整體安全能力，通俗點說就是負責騰訊云的安全。

?Q ?：您提到了攻防對抗，能否對它進行一個簡單的介紹？

Killer：目前，云鼎實驗室和騰訊企業 IT、安全平臺部、騰訊安全旗下的其他實驗室組建了超過 5 支紅藍軍團隊，對騰訊云定期開展紅藍對抗演習，就 OA 辦公網、云產品、控制臺、容器、微服務等維度進行全面的安全對抗和問題發現，再進一步完善安全防御體系，減少安全問題。

Q ?：2018 年您印象中最深刻的安全事件是？可否簡單回顧一下？

Killer：2018 年發生了許多比較大的安全事件，比如 Facebook 陸續被傳數據泄露，多家酒店集團客房預訂數據庫被黑客竊取，約 5 億名客人的信息泄露。大數據時代，數據開始產生價值，黑產對于用戶數據的關注度持續升溫，大量的用戶數據在暗網售賣。企業不管業務是否上云，客戶隱私數據都應該是安全防護的重中之重。企業敏感數據識別和分級，數據訪問控制和審計，數據存儲和傳輸加密，數據脫敏等都是企業數據安全體系建設中需要重點考慮的問題。其實，長期以來，企業一直都在面臨著諸多安全威脅，以黑客常用的密碼破解和植入后門為例，云鼎實驗室每月為用戶檢測木馬文件 70 萬個，暴力破解數百億次以上，針對每天數百起的入侵挖礦事件，快速響應成為衡量團隊能力的關鍵指標。

?Q ?：您現在負責云安全方面的工作，能否講講企業服務上云之后，對安全提出了哪些新的挑戰？

Killer：安全體系建設會有較大的變化，在企業用戶從傳統 IT 架構向云化遷移的過程中，架構、流程、文化的變化都會帶來新的問題。大部分中小企業并沒有體系化的安全建設經驗，向他們提供安全能力，落實安全工作面臨比較大的市場教育難度，其中上云帶來的業務模式對安全也有比較大的挑戰，主要有以下 3 點：

1）開發流程變化： 傳統企業應用技術堆棧較厚重，系統開發和維護生命周期長，企業云化的最大驅動力來自于業務快速變化發展的情況下，對于 IT 需求交付速度和改善效率提出的要求。為了應對這種變化，云化應用更多采用了 DevOps 等敏捷開發模式取代了瀑布模型等傳統應用開發模式，相應的開發流程、工具、技術平臺也隨之變化，例如從 BS/CS 架構轉變為微服務架構，這個變化過程無論是對企業還是對安全工作都來了新的挑戰。

2）系統架構的變化： 隨著開發模式的改變，系統的技術棧和底層平臺也會隨之發生變化，傳統的網絡安全域隔離和防火墻被 VPC 所取代，企業所應用的安全產品、策略和管理思想也都需要跟隨這種變化。

3）數據治理和安全責任模型的變化： 在傳統企業中，企業主體既是資產和數據的所有者也是控制者，在云上根據云服務模式的差別，資產和數據的責任矩陣會和傳統私有 IT 環境發生較大的變化，此外還有數據跨境流動和不同區域內標準法規的差異，這些都給企業數據治理帶來了較大的挑戰。上面這些問題都是在云化過程中企業和安全團隊面臨的新挑戰，既有合規、治理問題，也有流程、技術問題，需要云安全團隊和企業協同解決。

Q ?：企業的一般性安全防護部署相較于云上的安全部署，有什么優劣勢？

Killer： 一般企業的安全防護措施通常會在網絡和系統上部署大量的盒子和 Agent，容易形成產品的堆砌，導致功能重疊和性能問題。云平臺對安全功能實現了整合，可以嵌入式部署，既簡化又高效。

通常，企業安全管理者需要從網絡、服務器、操作系統、虛擬機等基礎架構到數據、應用、終端等 IT 各個層面去全面考慮安全防御體系構建問題。對云平臺而言，基礎架構安全由云服務商統一提供，企業安全管理者可以把時間和精力更多的用在更為重要的業務，應用和數據安全領域。

另外，對于 DDoS/CC 等攻擊，通過網絡單節點設備防護難以達到理想的效果，云防護可以實現流量和網絡負載，通過云服務商的網絡節點和帶寬資源，進行近源流量清洗，保證業務正常運行。

綜合來說，云上的安全方案相較于過去企業的防御體系更標準化、組件化和一體化，使得企業安全運維管理更集中和高效。

Q ?：面對攻擊威脅，在事前、事中、事后應該做哪些防御、抵擋的措施？

Killer：事前、事中、事后三條線，需要結合風險管理模型和持續改進方法去綜合考慮。

事前： 要做風險評估、預測和風險處置計劃落地，包括：資產的盤點，威脅和漏洞情報收集和分析，資產風險分析與預測，建立專業的安全組織管理體系，安全技術防御體系，安全運維流程體系，構建安全基線，建立安全測量和 KPI 指標，構建安全合規審計體系。此階段考驗的是企業風險預測能力和安全體系架構能力。

事中： 要做風險實時監控和分析，此階段要聚焦：安全日志和流量分析，安全事件運維管理，態勢感知，操作審計，UEBA 等。此階段考驗的是企業安全大數據分析能力，自動化風險阻斷和控制能力，安全運維能力。

事后： 要做事件診斷和分析處置，殘留風險處置，防御體系優化和改進，取證和溯源分析，風險二次評估，安全防御體系補充和增強，此階段考驗的是企業安全體系優化改進能力，考驗安全團隊安全研究能力。

Q ?：云平臺安全建設方面，針對用戶和企業安全防護的問題，您有什么建議？

Killer：以企業為例，第一，一般來說要從合規和安全管理的角度入手，把資產、配置和基線做好，建立安全管理的基礎。第二，建立完善的漏洞運營管理體系，結合威脅情報，實現漏洞全生命周期閉環管理。第三，可以建立信息安全滲透測試機制，通過安全審計構建事件發現和溯源能力。第四，持續對 IT 系統進行安全檢查和優化改進，持續強化監控和響應，保持最佳的風險控制和安全防御能力。

Q ?：您認為未來的黑產防御應該是什么模式？

Killer：幾個方向，從法律法規的角度來說，針對黑產的司法打擊會越來越嚴厲，相關司法條款也會越來越細致；從數據層面來說，未來情報共享和數據互通會成為標配，越來越多的企業將共同為黑產打擊貢獻力量；從產品的角度來看，安全機制和組件會越來越貼近業務本身，安全產品運營化成為常態，這將對安全從業人員的數量和綜合能力提出更高的要求；從技術方面來看，以攻促防會成為常態，漏洞和安全技術研究的成果轉化模式更優。這些綜合起來就是未來幾年內的的防御演進模式。

是不是還沒看過癮？不用急，2019 年5月6-8 日，QCon 北京 2019將在北京國際會議中心舉辦。由 Killer 擔任出品人的“云安全攻與防”專題將給您送上一桌云安全技術大餐。本專題包含對云上數據泄露問題探討，對網絡黑產的透視，對中小互聯網公司落地云安全的建議，還將教你如何使用流量分析解決業務安全問題，幫你在云環境下構建更好的防護。

除以上議題之外，會議還有 100+ 國內外資深技術大咖的實踐經驗，涉及 26+ 熱門領域，也許能給你帶來一些技術啟發，干貨滿滿，不容錯過。

總結

以上是生活随笔為你收集整理的腾讯云安全专家 Killer 告诉你，企业上云怎么做更安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。