近日“比特币勒索病毒”WannaCry导致全球超过20万用户中招,直接损失预计超过80亿美元,这把信息安全又推到了风口浪尖。但对于在安全领域摸爬滚打25年的老兵,现任乐视云安全中心总经理的万涛看来,这次安全事件是对很多传统企业,尤其是局域网的环境里,看似与外界互联网不相连的地方,对他们的安全管理水平、风险意识的重要警示。
“传统安全领域有一句话叫‘三分技术,七分管理’,这次WannaCry的爆发主要集中在内网,甚至与互联网不相连的地方,这件事说明很多企业管理上已经出现了很大问题,而互联网公司就没有出现这样的大面积中招。像445这样的共享端口我们早就封掉了。微软在三月也公布了补丁,而‘打补丁’这样的管理工作对我们这些互联网公司的运维来讲本身就是一个常态化的事情。我们一直处于与黑产对抗的一线。然而要做好安全,‘防得住’还不够,还的‘管的住’,更要有创新的模式。” 乐视云安全中心总经理万涛接受企业网D1net记者采访时这样表示。
(乐视云安全中心总经理万涛)
安全要化被动为主动
万涛表示“通常安全有四种导向,首先是事件导向,出了安全事件去解决问题。第二是技术导向,要跟踪技术趋势,大家搞什么我就搞什么。第三是流程导向。跟着合规、经验走。最后是风险导向,就是不断降低风险,最后使残余的风险可以被接受。”
以事件为导向的安全总是被动。“安全不能仅以事件为导向,出了事了才去解决问题,前提是能找到漏洞根源,还能够解决减少重犯。而乐视还做到了自查黑产。由于乐视有非常好的资源,难免会有黑产试图收买我们的员工,用这些资源去做黑产的事。作为云计算企业,大家都在关心别人打我时我是否能防得住。但如果利用云资源来打别人呢?比如租户的虚机被黑了,由于他的安全水平有限,被利用来攻击别人,这时我们的云计算厂商能发现么?安全问题通常是受害者举报才能发现,因此乐视花了很大力量研发抗DDos攻击,以及与相关的联盟合作,履行自己的社会责任,避免攻击从我这或者由我的租户发起。保证出了问题乐视自己能先发现。”
从云到端的安全,利用金融做安全创新
“乐视云是个视频云,战略定位是引领视频生态。首先服务于乐视生态本身,包括上市和非上市的乐视体系都跑在乐视云上。第二是商业服务,像流媒体、以及想做视频的像广电这样的传统客户,还有其他的商业客户像熊猫TV,我们自己做视频过程中积累了很多经验和资源。我们把资源和经验复制给他们,再加上我们的创新,为他们进行服务。第三,创新尝试,包括但不限于云安全市场第三方合作等。
在乐视安全的历史沿革方面,乐视安全早期在乐视网,乐视云创立后,把安全落到了乐视云中,服务于整个乐视生态体系。万涛表示:“乐视拥有业界宝贵的云+端的资源池。基于乐视云本身的资源优势,乐视云在全球拥有750个CDN节点,带宽超过30Tbps,作为视频云来说,拥有独特的资源优势,所以我们考虑把乐视云的资源优势用到安全的服务模式上。比如在防御DDos攻击上进行云清洗。但安全很大程度上需要做协同,安全仅依靠一家是解决不了的。因此我们加入了由电信、华为云、京东云等30多家云计算关联企业组成的云清联盟,把乐视在端上、带宽、以及CDN上的资源和优势发挥出来加以复用,服务于我们自己的安全的同时对外输出,同时与业界形成合作形成协同。”
在安全在商业模式创新上,万涛表示:“乐视拥有在资源、金融、生态方面的优势,要把这些优势结合起来进行创新。为整个安全行业的生态贡献出一些力量。未来将采用金融保险的方式向用户提供安全服务,以很合适的价格向提供给用户。当用户出问题的时候,首先,我们第一时间告知他,第二,帮他快速解决。如果有此产生的一些损失,我们通过金融的方式帮他覆盖掉,这样来帮他解决问题。”
防护是常态 两条路径求发展
万涛介绍:“乐视安全本身就有一个专业团队,在安全漏洞的扫描、WAF(网站应用级入侵防御系统,Web Application Firewall,简称: WAF)、蜜罐等方面都在做相关研发。我们每天扫描的设备超过10万台,我们会把每天的扫描结果通知到资产所有人。比如发现漏或者应急事件,我们会马上响应加入脚本,进行修补。”
“首先,我们通过内部的这个安全中心把资产接管起来。其次,我们所有的应用上线,不仅是乐视云,还包括商城以及其他用户的,这些APP都要进行安全检测,我们有专门针对安卓、IOS的审计平台进行检查。第三,我们有一套应急响应的机制,我们还会参与到他们的业务安全中去。过去,大家在云层面只做了基础设施的安全保障,或者是应用的检查层面,但是还没有到业务中去。而现在完全要跟业务结合——从乐视大屏、商城、车联网这些业务安全我们都会参与。在研发阶段、规划、架构设计时就参与其中,并结合流程、业务风控。在安全合规方面,乐视已经通过了ISO27001,并正在积极开展C-STAR、ISO27017、ISO27018、等保等认证,这样就构成了乐视的安全体系。”
对于乐视云安全的未来,万涛定义了提升风险管理、提高业务增值水平两条发展路径。万涛表示“首先是风险管理水平,就是提升整个乐视网的安全风险管理。第二是业务增值水平。这也是很多企业所忽略的。安全不是仅在业务连续性的层面,还要从业务角度解决大家对云的信赖,绝对的安全是不存在的,但要有一个基本的信任。乐视安全的使命是为安全赋能、赋值。赋能就是能力,它不是指安全团队的能力有多强,而是要在客户服务、研发、设计层面都要赋能,这些环节都要加入安全因素。赋值就是在云上,如果安全能做得好,对用户来说是可见、可信的,用户就会为你的云赋值,云服务商不是在单纯的拼价格,而是再看最后的业务保障水平。”
本文转自d1net(转载)
