近日“比特币勒索病毒”wannacry導緻全球超過20萬使用者中招,直接損失預計超過80億美元,這把資訊安全又推到了風口浪尖。但對于在安全領域摸爬滾打25年的老兵,現任樂視雲安全中心總經理的萬濤看來,這次安全事件是對很多傳統企業,尤其是區域網路的環境裡,看似與外界網際網路不相連的地方,對他們的安全管理水準、風險意識的重要警示。
“傳統安全領域有一句話叫‘三分技術,七分管理’,這次wannacry的爆發主要集中在内網,甚至與網際網路不相連的地方,這件事說明很多企業管理上已經出現了很大問題,而網際網路公司就沒有出現這樣的大面積中招。像445這樣的共享端口我們早就封掉了。微軟在三月也公布了更新檔,而‘打更新檔’這樣的管理工作對我們這些網際網路公司的運維來講本身就是一個常态化的事情。我們一直處于與黑産對抗的一線。然而要做好安全,‘防得住’還不夠,還的‘管的住’,更要有創新的模式。” 樂視雲安全中心總經理萬濤接受企業網d1net記者采訪時這樣表示。
(樂視雲安全中心總經理萬濤)
安全要化被動為主動
萬濤表示“通常安全有四種導向,首先是事件導向,出了安全事件去解決問題。第二是技術導向,要跟蹤技術趨勢,大家搞什麼我就搞什麼。第三是流程導向。跟着合規、經驗走。最後是風險導向,就是不斷降低風險,最後使殘餘的風險可以被接受。”
以事件為導向的安全總是被動。“安全不能僅以事件為導向,出了事了才去解決問題,前提是能找到漏洞根源,還能夠解決減少重犯。而樂視還做到了自查黑産。由于樂視有非常好的資源,難免會有黑産試圖收買我們的員工,用這些資源去做黑産的事。作為雲計算企業,大家都在關心别人打我時我是否能防得住。但如果利用雲資源來打别人呢?比如租戶的虛機被黑了,由于他的安全水準有限,被利用來攻擊别人,這時我們的雲計算廠商能發現麼?安全問題通常是受害者舉報才能發現,是以樂視花了很大力量研發抗ddos攻擊,以及與相關的聯盟合作,履行自己的社會責任,避免攻擊從我這或者由我的租戶發起。保證出了問題樂視自己能先發現。”
從雲到端的安全,利用金融做安全創新
“樂視雲是個視訊雲,戰略定位是引領視訊生态。首先服務于樂視生态本身,包括上市和非上市的樂視體系都跑在樂視雲上。第二是商業服務,像流媒體、以及想做視訊的像廣電這樣的傳統客戶,還有其他的商業客戶像熊貓tv,我們自己做視訊過程中積累了很多經驗和資源。我們把資源和經驗複制給他們,再加上我們的創新,為他們進行服務。第三,創新嘗試,包括但不限于雲安全市場第三方合作等。
在樂視安全的曆史沿革方面,樂視安全早期在樂視網,樂視雲創立後,把安全落到了樂視雲中,服務于整個樂視生态體系。萬濤表示:“樂視擁有業界寶貴的雲+端的資源池。基于樂視雲本身的資源優勢,樂視雲在全球擁有750個cdn節點,帶寬超過30tbps,作為視訊雲來說,擁有獨特的資源優勢,是以我們考慮把樂視雲的資源優勢用到安全的服務模式上。比如在防禦ddos攻擊上進行雲清洗。但安全很大程度上需要做協同,安全僅依靠一家是解決不了的。是以我們加入了由電信、華為雲、京東雲等30多家雲計算關聯企業組成的雲清聯盟,把樂視在端上、帶寬、以及cdn上的資源和優勢發揮出來加以複用,服務于我們自己的安全的同時對外輸出,同時與業界形成合作形成協同。”
在安全在商業模式創新上,萬濤表示:“樂視擁有在資源、金融、生态方面的優勢,要把這些優勢結合起來進行創新。為整個安全行業的生态貢獻出一些力量。未來将采用金融保險的方式向使用者提供安全服務,以很合适的價格向提供給使用者。當使用者出問題的時候,首先,我們第一時間告知他,第二,幫他快速解決。如果有此産生的一些損失,我們通過金融的方式幫他覆寫掉,這樣來幫他解決問題。”
防護是常态 兩條路徑求發展
萬濤介紹:“樂視安全本身就有一個專業團隊,在安全漏洞的掃描、waf(網站應用級入侵防禦系統,web application firewall,簡稱: waf)、蜜罐等方面都在做相關研發。我們每天掃描的裝置超過10萬台,我們會把每天的掃描結果通知到資産所有人。比如發現漏或者應急事件,我們會馬上響應加入腳本,進行修補。”
“首先,我們通過内部的這個安全中心把資産接管起來。其次,我們所有的應用上線,不僅是樂視雲,還包括商城以及其他使用者的,這些app都要進行安全檢測,我們有專門針對安卓、ios的審計平台進行檢查。第三,我們有一套應急響應的機制,我們還會參與到他們的業務安全中去。過去,大家在雲層面隻做了基礎設施的安全保障,或者是應用的檢查層面,但是還沒有到業務中去。而現在完全要跟業務結合——從樂視大屏、商城、車聯網這些業務安全我們都會參與。在研發階段、規劃、架構設計時就參與其中,并結合流程、業務風控。在安全合規方面,樂視已經通過了iso27001,并正在積極開展c-star、iso27017、iso27018、等保等認證,這樣就構成了樂視的安全體系。”
對于樂視雲安全的未來,萬濤定義了提升風險管理、提高業務增值水準兩條發展路徑。萬濤表示“首先是風險管理水準,就是提升整個樂視網的安全風險管理。第二是業務增值水準。這也是很多企業所忽略的。安全不是僅在業務連續性的層面,還要從業務角度解決大家對雲的信賴,絕對的安全是不存在的,但要有一個基本的信任。樂視安全的使命是為安全賦能、指派。賦能就是能力,它不是指安全團隊的能力有多強,而是要在客戶服務、研發、設計層面都要賦能,這些環節都要加入安全因素。指派就是在雲上,如果安全能做得好,對使用者來說是可見、可信的,使用者就會為你的雲指派,雲服務商不是在單純的拼價格,而是再看最後的業務保障水準。”
本文轉自d1net(轉載)
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)