常優(yōu) 騰訊安全專家

　　網(wǎng)絡(luò)安全形勢(shì)是一年比一年嚴(yán)峻?？梢钥吹綇耐獠客{上來(lái)講黑客的團(tuán)伙以前是單打獨(dú)斗方式進(jìn)行網(wǎng)絡(luò)供給，現(xiàn)在發(fā)展成有組織、有秩序的組織，一直在干非常勾當(dāng)。

　　監(jiān)管機(jī)構(gòu)把網(wǎng)絡(luò)安全監(jiān)管越來(lái)越嚴(yán)密，包括像國(guó)內(nèi)外的監(jiān)管機(jī)構(gòu)發(fā)布行政上命令，像有些國(guó)家企業(yè)單位如果有違法的行為，比如網(wǎng)絡(luò)資產(chǎn)安全損失、安全事故，可能會(huì)讓國(guó)資委基于情節(jié)對(duì)責(zé)任人進(jìn)行降級(jí)或者扣分處理。

　　歐盟GDPR政策出來(lái)以后，但凡一些企業(yè)發(fā)生嚴(yán)重?cái)?shù)據(jù)泄露，甚至可以去罰他們的全球營(yíng)收罰金開(kāi)出來(lái)。

　　企業(yè)的發(fā)展也是因?yàn)椴①?gòu)帶來(lái)資產(chǎn)管理的風(fēng)險(xiǎn)，可以看到美國(guó)專門做電信Starwood企業(yè)去做并購(gòu)，并購(gòu)發(fā)現(xiàn)兩個(gè)企業(yè)管理理念不同導(dǎo)致安全風(fēng)險(xiǎn)事件發(fā)生，導(dǎo)致他們的估價(jià)受到損失。

　　沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，是習(xí)大大說(shuō)的?，F(xiàn)在來(lái)講，中國(guó)對(duì)網(wǎng)絡(luò)安全的關(guān)注已經(jīng)達(dá)到前所未有的高度。其中的一個(gè)關(guān)鍵節(jié)點(diǎn)是2015年習(xí)近平擔(dān)任國(guó)家網(wǎng)絡(luò)安全小組組長(zhǎng)，從那個(gè)時(shí)候開(kāi)始網(wǎng)絡(luò)安全市場(chǎng)越來(lái)越繁榮，不管是國(guó)家企業(yè)、互聯(lián)網(wǎng)企業(yè)對(duì)于網(wǎng)絡(luò)安全的重視也是越來(lái)越大。

　　這邊我列了中國(guó)跟美國(guó)的對(duì)比，中國(guó)跟美國(guó)之間是有競(jìng)爭(zhēng)的，在網(wǎng)絡(luò)安全里面跟美國(guó)有一些對(duì)話。從監(jiān)管力度上講，美國(guó)的《網(wǎng)絡(luò)安全法》是在2015年發(fā)布，中國(guó)是2017年6月份發(fā)布。中國(guó)發(fā)布《網(wǎng)絡(luò)安全法》特別有意思，從發(fā)《網(wǎng)絡(luò)安全法》征求意見(jiàn)稿一直到正兒八經(jīng)發(fā)出立法法律條文出來(lái)，總共只用了一年的時(shí)間。從法律征集文出來(lái)到發(fā)布法律只用了一年，這應(yīng)該是我見(jiàn)到或者是曾經(jīng)知道發(fā)布最快的法律條文。

　　在2019年5月份公安部發(fā)了《網(wǎng)絡(luò)安全等保標(biāo)準(zhǔn)要求》美國(guó)比較激進(jìn)一些，成立網(wǎng)絡(luò)安全通訊中心專門職能負(fù)責(zé)，美國(guó)國(guó)家安全機(jī)構(gòu)成立了反擊網(wǎng)絡(luò)黑客司令部，像軍方的組織去負(fù)責(zé)未來(lái)在美國(guó)的網(wǎng)絡(luò)站。這些不是我瞎說(shuō)的，在新聞報(bào)道里面都能看到。

　　中國(guó)跟美國(guó)之間有比較大的不一樣的地方，大家對(duì)安全的理解和執(zhí)行是完全不同的。中國(guó)在安全服務(wù)交付上以網(wǎng)絡(luò)設(shè)備方式交付，有做安全廠商的知道小米以安全盒子方式交付，美國(guó)比較開(kāi)放一些更愿意以安全服務(wù)形式交付。

　　安全預(yù)算，之前看中國(guó)有一個(gè)報(bào)道的數(shù)據(jù)，中國(guó)跟美國(guó)在IT服務(wù)器領(lǐng)域投入是差不多的。中國(guó)跟美國(guó)兩個(gè)國(guó)家在IT領(lǐng)域的投入是差不多的，大概在千億美金的體量。中國(guó)的安全預(yù)算在整個(gè)IT總預(yù)算里面比例非常小，才2%不到，美國(guó)已經(jīng)達(dá)到17.2%水平。

　　舉個(gè)簡(jiǎn)單的例子，中國(guó)的政府GOV網(wǎng)站加密覆蓋率才不到10%，美國(guó)在2015年推行必須得政府網(wǎng)站全加密政策。從2018年來(lái)看美國(guó)GOV網(wǎng)站加密覆蓋率達(dá)到85%，加完密之后網(wǎng)絡(luò)級(jí)高的人對(duì)數(shù)據(jù)竊取可能性會(huì)降低很多。

　　美國(guó)人非常的狡猾，美國(guó)有安全背景的政府部門國(guó)土安全局推出了《SOC標(biāo)準(zhǔn)服務(wù)》。它不是站在產(chǎn)業(yè)的高度，而是站在標(biāo)準(zhǔn)和國(guó)家安全的高度，推動(dòng)美國(guó)政府安全情報(bào)共享。它可以以國(guó)家的力量把安全情報(bào)放到一起，再讓各個(gè)地方的政府接入情報(bào)，并且共享情報(bào)，把情報(bào)用到網(wǎng)絡(luò)防御的設(shè)備上，能夠造成防御的效果。

　　美國(guó)在2009年推行“愛(ài)因斯坦計(jì)劃”，“愛(ài)因斯坦計(jì)劃”跟習(xí)大大之前說(shuō)的是類似對(duì)標(biāo)的。不好的地方是脫離原來(lái)的思想做大屏幕。美國(guó)的“愛(ài)因斯坦計(jì)劃”是做任務(wù)，產(chǎn)品有很完整的標(biāo)準(zhǔn)。如果有興趣，大家可以看美國(guó)關(guān)于標(biāo)準(zhǔn)，有了標(biāo)準(zhǔn)推行產(chǎn)品和推行方案的時(shí)候有跡可循。

　　國(guó)內(nèi)比較尷尬的是在于大部分的安全防御是糖葫蘆串似的。這是典型的各種企業(yè)防御方案，所有的設(shè)備通過(guò)串型方式像糖葫蘆一樣串起來(lái)，終端上有惡意軟件識(shí)別機(jī)制以及資產(chǎn)漏洞掃描機(jī)制。這樣的方案根本解決不了問(wèn)題，國(guó)內(nèi)發(fā)生各種數(shù)據(jù)泄露或者是朋友圈經(jīng)?？吹降南⑹前凑找郧暗姆桨缸霭踩烙斐傻挠绊?。

　　騰訊在安全防御體系里邊思路跟以前不太一樣，首先會(huì)強(qiáng)調(diào)原生安全。安全不再是像滅火器一樣，每個(gè)部門或者是安全組件商都會(huì)有安全設(shè)備，而是把安全頂層設(shè)計(jì)跟業(yè)務(wù)揉在一起，成為業(yè)務(wù)的一部分，像房間里邊噴水的消防栓一樣。騰訊綜合防御體系和網(wǎng)絡(luò)層、運(yùn)營(yíng)層防御能力是非常多的。網(wǎng)絡(luò)安全員面對(duì)攻擊或者面對(duì)漏洞應(yīng)急的時(shí)候不是單兵作戰(zhàn)，而是大家聯(lián)合在一起，把所有的防御體系以及安全策略流程串在一起。每次有應(yīng)急的時(shí)候大家一塊上。

　　舉個(gè)前幾天RBP（音）漏洞的例子。從騰訊的角度來(lái)看，資產(chǎn)流動(dòng)對(duì)騰訊的傷害不是特別大，在資產(chǎn)上都有終身防御的策略，在漏洞橫向移動(dòng)的時(shí)候可以把你阻斷掉，這是協(xié)同防御的理念。原生安全跟系統(tǒng)防御是騰訊專門做安全防御體系里邊堅(jiān)守的思路。

　　總結(jié)了一下，合起來(lái)代表了三大能力、兩大平臺(tái)、N個(gè)生態(tài)。這是3+2+7協(xié)同作戰(zhàn)防御體系，后面會(huì)講體系是什么樣的意思，畢竟是以數(shù)據(jù)為代表體驗(yàn)出來(lái)的話述。這邊是防御體系框架，框架從下往上看，我畫的比較簡(jiǎn)單一點(diǎn)，如果真的把騰訊里每個(gè)東西畫出來(lái)，這頁(yè)都放不下。整體角度來(lái)講提供兩個(gè)平臺(tái)，是騰訊統(tǒng)一接入平臺(tái)和騰訊統(tǒng)一運(yùn)營(yíng)平臺(tái)，這兩個(gè)平臺(tái)做安全能力輸出，包括像能力協(xié)議解析，實(shí)時(shí)計(jì)算的能力和模型編排能力，再配合上騰訊自己有一套專門的云運(yùn)營(yíng)平臺(tái)，里面的讀寫情報(bào)不停的在滾動(dòng)。

　　騰訊在防御、監(jiān)測(cè)會(huì)有各種各樣的產(chǎn)品，產(chǎn)品全都是根據(jù)平臺(tái)的輸出能力定位，所有的防御點(diǎn)可以通過(guò)統(tǒng)一平臺(tái)的防御點(diǎn)去進(jìn)行聯(lián)動(dòng)，整體防御體系的框架。騰訊在落地3+2+N架構(gòu)里面面臨很多的挑戰(zhàn)，挑戰(zhàn)可能是傳統(tǒng)的安全廠商沒(méi)有見(jiàn)過(guò)的場(chǎng)景。

　　第一個(gè)，在海量數(shù)據(jù)的接入上，騰訊作為中國(guó)比較頂級(jí)的互聯(lián)網(wǎng)公司，騰訊的網(wǎng)絡(luò)越來(lái)越像運(yùn)營(yíng)商網(wǎng)絡(luò)，有可能從北京網(wǎng)絡(luò)入口進(jìn)去不會(huì)從北京的網(wǎng)絡(luò)出口出，而是跑到深圳的網(wǎng)絡(luò)出口。你異地之間網(wǎng)絡(luò)流量的匯聚跟計(jì)算變成需要面臨的重大挑戰(zhàn)?，F(xiàn)在整個(gè)架構(gòu)落地到騰訊里邊，全球50個(gè)IDC都覆蓋了防御體系。

　　天幕接入量是100PB里頭，國(guó)內(nèi)最頂級(jí)流量接入平臺(tái)。天幕通過(guò)峰值計(jì)算完成流量集中式計(jì)算跟匯聚?？雌饋?lái)已經(jīng)具備了5K+計(jì)算集群處理，大概100PB流量，并且能夠在上面跑。

　　第二個(gè)，小概率事件變成常態(tài)。騰訊每天會(huì)遇到4000次DDoS攻擊，1秒之內(nèi)對(duì)DDoS攻擊進(jìn)行自動(dòng)防御，防御過(guò)程是沒(méi)有人參與的，全都是由機(jī)器自動(dòng)化完成的。

　　第三個(gè)，對(duì)漏洞應(yīng)急上，騰訊資產(chǎn)比較多，大概會(huì)有好幾十萬(wàn)個(gè)服務(wù)器。對(duì)漏洞應(yīng)急不再是盲目的打補(bǔ)丁或者盲目的進(jìn)行程序的升級(jí)，而是會(huì)通過(guò)天幕體系把漏洞防住，再推進(jìn)防御策略進(jìn)行升級(jí)。

　　整個(gè)天幕需要融入到騰訊的安全架構(gòu)里邊，騰訊有很多不同的團(tuán)隊(duì)、不同的公司、不同的業(yè)務(wù)組成。天幕產(chǎn)品并沒(méi)有完整的大的框架，而是所有天幕的產(chǎn)品形態(tài)只有一個(gè)，甚至騰訊內(nèi)部推行之后讓業(yè)務(wù)方很短時(shí)間內(nèi)搭建針對(duì)于自己業(yè)務(wù)的專門的防御中臺(tái)出來(lái)，這就是騰訊在落地3+2+N框架里邊的挑戰(zhàn)。以前也試過(guò)廠商提供的安全方案里邊不能完成的，也是由騰訊自己進(jìn)行自研做了安全防御體系建設(shè)。

　　面臨挑戰(zhàn)積累了三大安全能力：（1）計(jì)算能力。騰訊網(wǎng)絡(luò)復(fù)雜，已經(jīng)能夠做到跨IDC、地域，雙向流量進(jìn)行檢測(cè)，并且進(jìn)行秒級(jí)的處理。（2）騰訊有云，讓數(shù)據(jù)匯聚到一起，每天通過(guò)大量的數(shù)據(jù)計(jì)算產(chǎn)生全網(wǎng)推訊的情報(bào)，代表了獨(dú)一無(wú)二的核心安全能力。（3）騰訊天幕防御體系不是侵害業(yè)務(wù)的防御，（英）會(huì)對(duì)你的業(yè)務(wù)進(jìn)行傾向，能夠進(jìn)行業(yè)務(wù)的接入，我們也使用了旁路的方案阻斷系統(tǒng)。這是天幕提供的三大安全能力。

　　天幕還有兩大平臺(tái)，接入平臺(tái)負(fù)責(zé)自動(dòng)化工作，像高速軟件自動(dòng)化處理都是由機(jī)器去完成的。平臺(tái)會(huì)負(fù)責(zé)專案分析，包括云上的虛擬機(jī)，考慮到母機(jī)去進(jìn)行勒索。這些都是安全專家在運(yùn)營(yíng)平臺(tái)上針對(duì)于專案的分析。

　　N是最后的東西，生態(tài)不光是由騰訊原生的產(chǎn)品作為支撐，也會(huì)聯(lián)合生態(tài)的廠商產(chǎn)品，大家共同在生態(tài)里邊完成安全防御的貢獻(xiàn)，這就是騰訊3+2+N防御體系構(gòu)建。今年也是把方案推向了一些廠商，圖其實(shí)不是我們畫的，而是由金融行業(yè)客戶按照護(hù)網(wǎng)套路把自己防御體系給畫出來(lái)。天幕也是在里邊起到了大腦的作用，所有的云主機(jī)、網(wǎng)絡(luò)主機(jī)層、運(yùn)營(yíng)層檢測(cè)類設(shè)備全部可以調(diào)用天幕提供的防御，能夠在護(hù)網(wǎng)里邊把防御體系縱深以及防御的效果全都給串起來(lái)。

　　客戶自己總結(jié)了護(hù)網(wǎng)應(yīng)急三板斧：（1）封IP。（2）禁接口，能夠讓防御面縮小。（3）斷網(wǎng)絡(luò)，斷網(wǎng)不提供服務(wù)。天幕在平臺(tái)上能夠幫他們完成應(yīng)急的三板斧。

　　天幕在全環(huán)境下進(jìn)行集采，在騰訊內(nèi)部跑了七八年左右，根據(jù)騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)戰(zhàn)略能夠把騰訊天幕向外輸出。不管是你的公有云、私有云、混合云、本地IDC進(jìn)行接入，只是把流量牽引過(guò)來(lái)之后進(jìn)行防御，能夠針對(duì)護(hù)網(wǎng)、應(yīng)急做最佳實(shí)踐。