阿里巴巴安全第一人肖力：中國 90 ％的企業安全只能得 0到1 分，這裡有四個趨勢

雷鋒網編者按：前兩年，雲計算慢慢普及，但人們對於雲安全可能不夠了解。越來越多的企業「上雲」，他們也在組建自己的安全團隊，但是，安全團隊到底應該如何建設雲安全？只有自有的安全團隊就夠了嗎？雲安全趨勢如何？阿里雲安全總經理肖力在 2017 年網路安全生態峰會上對這些問題進行了回答。雷鋒網對其演講內容進行了整理，小標題為雷鋒網編者所加。

一、中國 90 %的企業安全只能得 0 到 1 分

我給中國所有的企業打一個安全分，如果滿分是 5 分，中國 90 %的企業在安全方面只能得分 0 到 1 分，大部分企業沒有自身的安全團隊，在專業人才、安全能力建設方面其實非常弱，一些企業最多買了一些防火牆，但是這些「購買」根本解決不了企業業務在安全方面遇到的挑戰。

一些互聯網企業近兩年吸引了大量安全人才，組建自身的安全團隊，但依然面臨安全挑戰：這些團隊可能在應急能力、基本安全運維、漏洞修復方面做得不錯。但是，各行業有不同安全痛點，在專業安全的能力建設、積累上遇到很大挑戰。

只有不到 2%的企業，包括 BAT、運營商、一些政府機構，在安全方面已經投入 5 年到 10 年，每年可能超過近上億的投入，提升自身安全能力。但是，這些企業業務越大，投入越大，責任也越大，今天，不管是BAT，還是其他大型互聯網公司，或是大型央企，在安全能力建設投入會更高，因為安全涉及到各個領域。

在雲計算與大數據時代，一些策略需要改變。很多公司花很多錢買很好的設備。甚至我們開玩笑叫「羊肉串」，一個鏈路上面串了很多產品。但是，買了很多安全產品，在鏈路上導致了穩定性問題，安全依然受到很大挑戰。

另一方面，物理隔離對蠕蟲病毒根本沒有用。移動互聯網時代，移動設備能輕易接入內網，不管是 USB 傳播，還是需要與互聯網產生更多通信的方式，都意味著企業邊界開出了很多口子，企業如何解決這些問題？

二、企業安全四個新趨勢

1.邊界安全已經失效

一方面，邊界安全已經失效，，在我們眼裡今天的蠕蟲還是非常簡單的蠕蟲，它一方面利用個別漏洞，另一方面可能利用一些密碼就輕易突破各個企業，甚至包括一些國家的內網。

可以預期的是，通過自動化滲透技術，加上一些勒索加密技術，更多更智能的自動化蠕蟲會爆發，對互聯網上的所有企業都是一個巨大挑戰。

這張圖左邊是一家互聯網公司網路拓撲圖，上千個節點可能利用一個圓圈，這個圓圈在BAT做了很多的防護，但是內部聯繫雜亂無章，不管是攻擊者還是蠕蟲，只要突破了邊界，內網一覽平川。

這張圖右邊是另外一家全球高安全等級公司的內網拓撲圖。未來企業內網需要非常系統的架構性思考與架構規劃。在整個業務的板塊，需要良好分類，以及自動化的東西向流量的隔離，包括更智能的隔離策略，幫助企業做內部防禦策略。

在該內網拓撲圖中，每一個區域都是非常獨立的業務板塊。每一個板塊間設定了一些名單策略，如果有異常流量，企業在第一時間就能知道。接下來，企業東西向流量自動合力技術會發展得越來越快，這也是未來企業需要思考的內網安全策略。

2.安全運營非常關鍵，安全要防患於未然

大家都覺得安全運營很重要，出了問題後，企業請安全廠商第一時間做應急，實際上大家要思考——重視安全應該要做到防患於未然，企業出了事情以後修復成本是最高的，高到企業無法承擔。

以 DDoS 為例，在蠕蟲爆發前 28 天，漏洞已經被大家知道，整個安全運營團隊對漏洞進行了詳細的分析，評估了漏洞的危害，通知了雲上的企業用戶，同時第一時間幫助他們修復漏洞，所以當蠕蟲爆發時，雲上這些企業幾乎沒有受到什麼影響，這就是安全運營的能力。

另一方面，很多企業在做 SDL，做安全開發流程。但是大家思考一個問題，安全開發流程大部分專註在黑客、白客的檢測，上線之前發現漏洞，降低風險。

經常有人忽略一個點，SDL的根源是什麼？開發工程師產生了大量的漏洞，漏洞都是開發功能產生的，我們永遠在後面，不斷發現漏洞，其實都是亡羊補牢。所以在不同的流程中，大家要思考，整個安全的根源在哪裡，從根源解決問題。

並不是買的全球最好的安全產品就搞了企業安全，何況今年在 RSA 的會上，各個領域的產品看得我眼花撩亂。我很難分辨，哪些安全產品是最好的，所以從安全產品的角度來看，大家一定要思考——並不是買最好的安全產品，企業安全就 OK了。

企業要達到最好的安全效果，一定要有兩個必要條件：第一，需要類似於 AK47的超級武器；第二，除了AK47，還需要有會用 AK47 的人。

很多企業只是買了產品，但是「買了一個產品放在那裡就行」實際是一個誤區。在安全運營領域，攻防是對抗的過程，今天安全並不代表明天就安全，需要運營團隊不斷了解對方的攻擊招數，第一時間響應，一定要防患於未然。

3.藍軍比你想的更重要

藍軍一定是未來每家企業安全體系中非常重要的一個環節。有三點理由：

第一，每一家企業都需要藍軍、通過眾測來發現漏洞，不能光依靠自己的安全團隊，要期待全球幫助自身儘早發現漏洞，只要比攻擊者更早發現漏洞自然就安全了。

第二，安全都是做防禦的。防禦體系到底有沒有效果？需要不斷演習，這種演習需要企業組建一支非常高效，有能力的藍軍的隊伍，也可以利用整個生態的力量，安全公司也好，外部的力量也罷，不斷檢驗防禦效果。

第三，從藍軍的角度看，藍軍擁有安全溯源的能力。如果一個攻擊者天天盯著你的企業，今天發起了攻擊，你的防禦非常好，運營也很厲害，都防住了。明天又來一撥，又防住了。但是，總有一天攻擊者能把你搞掉。企業自身要有復原能力，要知道今天、明天打你的那個團伙是誰，要通過與公安機關合作來有效打擊對方，對攻擊你的團伙有威懾力，這樣別人才不敢搞你。

4.企業安全需要有「看見」的能力

從攻防對抗角度看，企業只要發現攻擊者，這個戰鬥已經結束了。但是，企業往往因為看不到對方，對手已經潛入到內部，拿到數據走人了，所以，「看見」能力非常重要。但是，所謂「看見」能力，現在大家對此還有一些誤解。

感知其實有兩個關鍵點，第一個關鍵點號稱「態勢感知」，是不是擁有企業全局非常關鍵。很多安全廠商說，我在你所有的伺服器上都裝了設備，我給你搞一個態勢感知，其實不是的，你從企業視角來看，一定要擁有對業務、應用、系統、網路流量等打通來看的能力。而且，態勢感知不光是防黑客，還要防有惡意的員工，甚至是內鬼、間諜通過業務漏洞來拿服務數據，避免因此給企業造成很大的損失。企業感知第一條——一定要拿到全部日誌。

第二個關鍵點是——整個企業面對的風險，不是從單點來看，當你擁有企業日誌時，是否有足夠強大的計算能力？

從攻防角度看，一般攻擊者進入內網後，在十五分鐘、半個小時之內就能結束戰鬥，所以，面對那麼大海量數據處理，事實數據非常關鍵。當然，面對海量數據的時候，整個演算法能力很關鍵。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！