QCon 2019：云安全大咖共話云端攻防

5月6-8 日，QCon 全球軟件開發(fā)大會(北京站)2019在北京國際會議中心舉辦，100+國內(nèi)外資深技術(shù)大咖帶來涉及 26+熱門領(lǐng)域的重磅議題分享。針對企業(yè)及用戶普遍關(guān)注的云上安全問題，QCon攜手騰訊安全云鼎實驗室聯(lián)合策劃“云安全攻與防”專題論壇，邀請業(yè)內(nèi)經(jīng)驗豐富的安全專家解析企業(yè)用云的安全痛點。

騰訊安全云鼎實驗室負(fù)責(zé)人董志強(Killer)擔(dān)任本次專題的出品人，他表示，云鼎實驗室一直以來都關(guān)注云安全體系建設(shè)，專注云上網(wǎng)絡(luò)環(huán)境的攻防研究和安全運營，希望通過與QCon共同策劃本次專場議題，加強安全社區(qū)聯(lián)動，加快安全研究的落地實踐，從而推動云上安全生態(tài)的構(gòu)建。

首個議題瞄準(zhǔn)下當(dāng)下炙手可熱的云上數(shù)據(jù)泄露。凌晨網(wǎng)絡(luò)科技CEO姚威認(rèn)為，云安全的“現(xiàn)實問題”在于要認(rèn)識到“角色”的重要性，云廠商扮演什么角色?云用戶扮演什么角色?云用戶自身安全意識尤為重要。諸如Hadoop、MongoDB、ElasticSearch的未授權(quán)訪問，未授權(quán)數(shù)據(jù)下載這些問題是因為用了云才出現(xiàn)的問題嗎?實際“是因為誰用了云服務(wù)，而不是用了誰的云服務(wù)”。

　　(凌晨網(wǎng)絡(luò)科技CEO 姚威)

那么又該如何構(gòu)建云安全體系?尤其是針對數(shù)量眾多的中小型互聯(lián)網(wǎng)公司?Rokid信息安全總監(jiān)白嘎力認(rèn)為，企業(yè)的安全建設(shè)要遵循“1234”的理念：整體防護是中心;攻防平衡原則和自主可控原則是2個基本點;還要搶奪網(wǎng)絡(luò)邊界、內(nèi)部縱深防御體系、取證溯源3個重要高地;站在攻擊者一方思考4個假設(shè)——假設(shè)系統(tǒng)一定有未發(fā)現(xiàn)的漏洞、假設(shè)系統(tǒng)一定有已發(fā)現(xiàn)但未修復(fù)的漏洞、假設(shè)系統(tǒng)已被滲透、假設(shè)員工并不可靠。

　　(Rokid信息安全總監(jiān)白嘎力)

騰訊高級工程師喻峰從流竄在網(wǎng)絡(luò)世界中的惡意流量切入，揭開了這個龐大黑灰產(chǎn)團伙的隱秘。數(shù)據(jù)顯示，2018年全球互聯(lián)網(wǎng)中20.4%的流量是由機器惡意制造的，給各種互聯(lián)網(wǎng)企業(yè)帶來了巨額損失。喻峰表示，目前網(wǎng)絡(luò)黑產(chǎn)已經(jīng)形成了完善的產(chǎn)業(yè)鏈，主要分為網(wǎng)絡(luò)攻擊和業(yè)務(wù)攻擊兩類。安全從業(yè)人員要合理運用“公告-分析-捕獲”的云安全研究三板斧，聯(lián)動云安全的各方力量，不僅對已知的惡意流量進行公告和分析，更要主動捕獲惡意流量，化被動防御為主動防御，才能切實保障企業(yè)的網(wǎng)絡(luò)和業(yè)務(wù)安全。

　　(騰訊高級工程師 喻峰)

流量合理地加以利用，也將成為企業(yè)守護安全防線的一大利器。長亭科技產(chǎn)品技術(shù)總監(jiān)李昌志表示，雖然面對變幻多端、錯綜復(fù)雜的業(yè)務(wù)沒有省力的解決方案，但依靠 Web 網(wǎng)關(guān)集成實時流量分析框架，通過簡單的分析策略就可以解決眾多復(fù)雜的業(yè)務(wù)安全難題，不失為一條捷徑。當(dāng)然，要保證流量分析框架的接口足夠通用。

　　(長亭科技產(chǎn)品技術(shù)總監(jiān)李昌志)

云安全正在隨著上云企業(yè)的增多而受到了而受到來越多的關(guān)注，但云安全的涉及領(lǐng)域龐雜，需要安全研究人員持續(xù)深入挖掘具體場景，同時需要企業(yè)管理者站在全局角度從戰(zhàn)略角度規(guī)劃，這無疑需要安全社區(qū)不斷開放、合作、共享，加強安全社區(qū)的技術(shù)輸出能力。騰訊安全云鼎實驗室在策劃本次專場議題之外，還將攜手極棒發(fā)起首個云安全挑戰(zhàn)賽，在即將到來的上海1024GeekPwn上，邀請全球安全從業(yè)者通過實戰(zhàn)的方式，發(fā)現(xiàn)云計算中存在的漏洞，驅(qū)動云安全研究升級。

除此之外，騰訊安全還發(fā)起了CSS互聯(lián)網(wǎng)安全領(lǐng)袖峰會，自2015年舉辦以來，共吸引來自互聯(lián)網(wǎng)金融、智能汽車、物聯(lián)網(wǎng)、智能硬件等多個熱門產(chǎn)業(yè)領(lǐng)域超過500家的頂尖企業(yè)參與，致力于聚合互聯(lián)網(wǎng)產(chǎn)業(yè)領(lǐng)域與網(wǎng)絡(luò)安全行業(yè)的力量，更好地守護產(chǎn)業(yè)互聯(lián)網(wǎng)的安全生態(tài)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。