7月23日,在第五屆數字中國建設峰會上,奇安信集團董事長齊向東在主題演講中表示,要以“零事故”為目標保護云上數據。通過建立“三方制衡”機制、聯合作戰、精準防護、深度運營、應急響應五大措施,做到云業務不中斷、數據不出事、合規不踩線。
云服務“零事故”是可以實現的目標
齊向東表示,冬奧保障結果證明,云服務乃至整個網絡安全保障的“零事故”是可以實現的目標。“零事故”不是零攻破,當個別的終端、服務器或者其他的網絡資產被破壞,但只要快速采取措施,保證辦公和對內對外的業務平穩運行,就達到了“零事故”效果。
因此他指出,實現云服務“零事故”,應達成以下三項標準:
第一,業務不中斷。數字時代,越來越多業務在云上進行,在開放互聯的同時,一旦中斷就可能產生重大事故。
第二,數據不出事。確保數據不被丟失、篡改、勒索是實現云上“零事故”的重要標準之一。
第三,合規不踩線。歐盟GDPR實施近四年以來,共開罰單超1200張,罰款總額約合人民幣110億元。就在前幾日,網信辦通報對滴滴公司罰處80.26億元,成為我國歷史上首單頂格處罰案例,也體現了“合規不踩線”是企業經營的基石之一。
云服務要實現“零事故”存在四個難題
如何實現數據上云的“零事故”?齊向東認為,公有云的安全漏洞、私有云的供應鏈、難于監管的API接口和漏洞百出的云端應用程序是當前數據上云的四大難題。
“數據放在公有云上,安全由云服務廠商說了算,數據丟沒丟不知道,安全防護改沒改也不知道。”齊向東一針見血的指出,公有云存在“安全黑洞”。再加上公有云暴露在整個互聯網通訊協議之下,更加劇了網絡安全風險。
私有云方面,多數企業使用了大量第三方組件導致其存在嚴重的“供應鏈隱患”。研究顯示,2/3的違規行為由供應商或第三方漏洞造成。
無論是公有云還是私有云,所使用的API接口都存在難于監管的難題。API接口是數字系統的神經元,具有聯絡和整合、輸入信息并傳出信息的作用。云API的應用場景廣泛,統計顯示,企業使用的 API 數量正在快速增長,一個中型數字化企業的API接口數量可能多達10萬個。
IBM發布的《2021 X-Force云安全威脅形勢報告》顯示,云環境中的安全問題有三分之二都是由于API配置不當。
而在云端數據的大本營,云端應用程序也存在漏洞百出的難題。應用程序已經成為攻擊的重要途徑。齊向東指出,“簡單的應用程序投用后一般沒有人維護,雖然能正常使用,但是可能存在漏洞等問題,成為攻擊者利用的薄弱環節。”
報告顯示,過去五年,在云端應用程序中公開的漏洞數量激增150%。2021年12月,Apache開源項目log4j2被爆存在高危漏洞就是典型案例之一,90%以上基于Java開發的應用平臺都會受到影響,全球近一半企業受到黑客的試圖攻擊。
五個措施全方位守護云服務“零事故”
針對云服務零事故的四大難題,齊向東提出了五個措施。
在服務模式上,建立“三方制衡”機制。乙方云服務商從自身利益出發,會隱瞞安全事故;丙方安全公司為履行職責,會全力以赴發現并推進解決安全問題;甲方用戶就可以利用制衡機制,確保自身業務和數據安全。
在安全防護上,需要聯合作戰。“一個完整的安全體系里,應該有很多執行不同任務的安全產品,它們聯合作戰,在功能上互相彌補,才能實現保衛網絡安全的目標。”
齊向東選取了6個安全產品舉例說明:云安全管理平臺,可解決傳統安全能力無法適應云形態問題;天擎V10,可實現安全能力全覆蓋、安全管理全統一、安全響應全協同的終端安全管理;奇安信網絡邊界智慧安全管控一體化解決方案,以“云+邊界+端”的協同方式,實現邊界安全管理;零信任策略,可確保主體身份可信、行為操作合規;一站式威脅情報運營系統星軌,融合公有云和私有云多數據情報來源,可幫助政企機構快速精準發現網絡威脅;基于大禹平臺的實戰化態勢感知,可大幅提升協同能力。
針對企業的安全運營目標,要做好精準防護。“應做到防違法、防盜竊、防勒索”。齊向東解釋:防違法,可通過建立自證清白的數據安全體系,以確保企業數據能審查、能告警、能自證清白;防盜竊,不能只靠管理員、技術員、操作員,更需要通過技術,管理好特權賬號;防勒索,當務之急是做好基礎防護、提高整體防護水平。
有了防護目標和安全產品,還要做好深度運營。通過深度運營,找到防御的薄弱點,找到資產的漏洞,以及攻擊者。在北京冬奧網絡安全保障工作中,攻擊者研判系統就通過“去噪音、找異常、補數據、做研判、下指令”的方式,研判IP地址超過5000個,調查攻擊者組織近千,100%覆蓋了冬奧期間所有發起過攻擊的攻擊者。
最新評論