QCon 2019：云安全大咖共話云端攻防

5月6-8 日，QCon 全球軟件開發(fā)大會(北京站)2019在北京國際會議中心舉辦，100+國內外資深技術大咖帶來涉及 26+熱門領域的重磅議題分享。針對企業(yè)及用戶普遍關注的云上安全問題，QCon攜手騰訊安全云鼎實驗室聯(lián)合策劃“云安全攻與防”專題論壇，邀請業(yè)內經驗豐富的安全專家解析企業(yè)用云的安全痛點。

騰訊安全云鼎實驗室負責人董志強(Killer)擔任本次專題的出品人，他表示，云鼎實驗室一直以來都關注云安全體系建設，專注云上網絡環(huán)境的攻防研究和安全運營，希望通過與QCon共同策劃本次專場議題，加強安全社區(qū)聯(lián)動，加快安全研究的落地實踐，從而推動云上安全生態(tài)的構建。

首個議題瞄準下當下炙手可熱的云上數(shù)據(jù)泄露。凌晨網絡科技CEO姚威認為，云安全的“現(xiàn)實問題”在于要認識到“角色”的重要性，云廠商扮演什么角色?云用戶扮演什么角色?云用戶自身安全意識尤為重要。諸如Hadoop、MongoDB、ElasticSearch的未授權訪問，未授權數(shù)據(jù)下載這些問題是因為用了云才出現(xiàn)的問題嗎?實際“是因為誰用了云服務，而不是用了誰的云服務”。

　　(凌晨網絡科技CEO 姚威)

那么又該如何構建云安全體系?尤其是針對數(shù)量眾多的中小型互聯(lián)網公司?Rokid信息安全總監(jiān)白嘎力認為，企業(yè)的安全建設要遵循“1234”的理念：整體防護是中心;攻防平衡原則和自主可控原則是2個基本點;還要搶奪網絡邊界、內部縱深防御體系、取證溯源3個重要高地;站在攻擊者一方思考4個假設——假設系統(tǒng)一定有未發(fā)現(xiàn)的漏洞、假設系統(tǒng)一定有已發(fā)現(xiàn)但未修復的漏洞、假設系統(tǒng)已被滲透、假設員工并不可靠。

　　(Rokid信息安全總監(jiān)白嘎力)

騰訊高級工程師喻峰從流竄在網絡世界中的惡意流量切入，揭開了這個龐大黑灰產團伙的隱秘。數(shù)據(jù)顯示，2018年全球互聯(lián)網中20.4%的流量是由機器惡意制造的，給各種互聯(lián)網企業(yè)帶來了巨額損失。喻峰表示，目前網絡黑產已經形成了完善的產業(yè)鏈，主要分為網絡攻擊和業(yè)務攻擊兩類。安全從業(yè)人員要合理運用“公告-分析-捕獲”的云安全研究三板斧，聯(lián)動云安全的各方力量，不僅對已知的惡意流量進行公告和分析，更要主動捕獲惡意流量，化被動防御為主動防御，才能切實保障企業(yè)的網絡和業(yè)務安全。

　　(騰訊高級工程師 喻峰)

流量合理地加以利用，也將成為企業(yè)守護安全防線的一大利器。長亭科技產品技術總監(jiān)李昌志表示，雖然面對變幻多端、錯綜復雜的業(yè)務沒有省力的解決方案，但依靠 Web 網關集成實時流量分析框架，通過簡單的分析策略就可以解決眾多復雜的業(yè)務安全難題，不失為一條捷徑。當然，要保證流量分析框架的接口足夠通用。

　　(長亭科技產品技術總監(jiān)李昌志)

云安全正在隨著上云企業(yè)的增多而受到了而受到來越多的關注，但云安全的涉及領域龐雜，需要安全研究人員持續(xù)深入挖掘具體場景，同時需要企業(yè)管理者站在全局角度從戰(zhàn)略角度規(guī)劃，這無疑需要安全社區(qū)不斷開放、合作、共享，加強安全社區(qū)的技術輸出能力。騰訊安全云鼎實驗室在策劃本次專場議題之外，還將攜手極棒發(fā)起首個云安全挑戰(zhàn)賽，在即將到來的上海1024GeekPwn上，邀請全球安全從業(yè)者通過實戰(zhàn)的方式，發(fā)現(xiàn)云計算中存在的漏洞，驅動云安全研究升級。

除此之外，騰訊安全還發(fā)起了CSS互聯(lián)網安全領袖峰會，自2015年舉辦以來，共吸引來自互聯(lián)網金融、智能汽車、物聯(lián)網、智能硬件等多個熱門產業(yè)領域超過500家的頂尖企業(yè)參與，致力于聚合互聯(lián)網產業(yè)領域與網絡安全行業(yè)的力量，更好地守護產業(yè)互聯(lián)網的安全生態(tài)。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。