有利益的地方就有紛爭。

古代各國之間互相征討、攻城拔寨，爭的是土地和控制權(quán)；當(dāng)下網(wǎng)絡(luò)世界黑客傳播木馬、勒索攻擊，奪的是價值趨高的數(shù)字資產(chǎn)。

根據(jù)各大機構(gòu)發(fā)布的網(wǎng)絡(luò)安全報告，后者雖不見硝煙，但戰(zhàn)況之激烈絲毫不亞于前者。且隨著數(shù)據(jù)時代和云時代的到來，金融、零售乃至政務(wù)各行各業(yè)紛紛上云，趨勢只會更甚不會減輕。

不久的將來，一朵云的安全與否可能將會與戰(zhàn)事勝敗一樣直接關(guān)系國運民祉。

基于經(jīng)驗，要打勝仗，防御需固若金湯，將士需驍勇善戰(zhàn)，當(dāng)朝還需贏得民心。之于網(wǎng)絡(luò)與云安全，各家打法不同，目前業(yè)界似乎還尚未有標(biāo)準(zhǔn)答案。但有一點可以確定，大家都在向著共同的目標(biāo)進發(fā)。

文：熊出墨請注意

安全領(lǐng)域無小事

2019年5月，易到用車成立九周年之際，黑客送來一份“大禮”。

從5月25日夜間開始，持續(xù)到26日凌晨，“服務(wù)器遭到連續(xù)攻擊，核心服務(wù)器被入侵，攻擊導(dǎo)致易到核心數(shù)據(jù)被加密，服務(wù)器宕機，絕大部分服務(wù)功能受到波及”，攻擊最終目的是“向易到勒索巨額比特幣”，@易到用車 官微表示“已向北京網(wǎng)警中心報案”。

無車可用、無法定位、客服失聯(lián)，投訴接踵而至，隨之引發(fā)的還有用戶恐慌以及信任危機。相關(guān)微博下有用戶將此前車主無法提現(xiàn)一事搬出，稱25日是約定提現(xiàn)期限的最后一天，此時被黑客攻擊，“不管是巧合還是刻意，我就靜靜看戲”。

“黑客造成的破壞巨大，要完全恢復(fù)正常，還需要時間”，直到6月13日，@易到用車 才再次發(fā)文“服務(wù)已恢復(fù)正常”，并對用戶給出打車單單8折的補償方案。

放眼業(yè)界，與易到一樣因安全防御能力缺失而遭勒索的企業(yè)每年都有許多，只不過對于這種“家丑”部分企業(yè)并不愿意外揚。

騰訊安全專家李鐵軍向熊出墨講述了一則江湖傳聞，國內(nèi)一家知名建筑設(shè)計公司，員工規(guī)模在萬人以上，一夜之間全國各地的網(wǎng)絡(luò)整體癱瘓。出售給客戶的圖紙等重要資產(chǎn)全部被加密，“估計損失上億”。

“圈子里面都知道，但沒有對外說，（因為）不太好意思”，李鐵軍表示。WannaCry事件爆發(fā)之后，勒索病毒這兩年受到了高度關(guān)注。實際上，除了勒索病毒以外，最近幾年各種各樣的“高級持續(xù)性攻擊”（APT攻擊）越來越多，往往是攻擊者針對特定的企業(yè)或行業(yè)進行精心策劃以后實施的攻擊，方法錯綜復(fù)雜，常常會導(dǎo)致嚴重的數(shù)據(jù)泄露，甚至是企業(yè)核心業(yè)務(wù)受損。

2019年3月，全球最大鋁制品生產(chǎn)商之一的Norsk Hydro遭遇攻擊，被迫關(guān)閉多條自動化生產(chǎn)線，全球鋁制品交易市場震蕩；6月，全球最大飛機零件供應(yīng)商ASCO遭遇攻擊，約1000名工人停工，四國工廠被迫停產(chǎn)；10月，全球知名航運和電商企業(yè)Pitney Bowes遭受攻擊，超九成財富全球500強合作企業(yè)受波及......

安全領(lǐng)域無小事。不僅如此，尤其隨著AI、物聯(lián)網(wǎng)以及云計算等新技術(shù)的發(fā)展，傳統(tǒng)產(chǎn)業(yè)數(shù)字化進行持續(xù)深化，在驅(qū)動產(chǎn)業(yè)發(fā)展機遇的同時，也帶來了更為嚴峻的安全挑戰(zhàn)。

舉個簡單的例子，指數(shù)級海量增長的數(shù)據(jù)可能會導(dǎo)致原有的安全機制和算法失效，計算架構(gòu)、技術(shù)和環(huán)境上的變化也給網(wǎng)絡(luò)中的攻擊對抗發(fā)生了變化，再加上一些企業(yè)由于上云，在資產(chǎn)所有權(quán)、數(shù)據(jù)的置購權(quán)和企業(yè)經(jīng)營成本模型上發(fā)生了很大的變化，也導(dǎo)致了云上的安全技術(shù)和機制發(fā)生了變化。

威脅情報：打造云上攻防第一道關(guān)卡

媒體報道中的安全事件往往揭秘的只是冰山一角。

目前的網(wǎng)絡(luò)安全形勢下，對于大多數(shù)企業(yè)來說，面臨的現(xiàn)狀是收到的原始威脅數(shù)據(jù)過多：有太多警報，太多漏洞預(yù)警和補丁，太多關(guān)于各類惡意軟件、釣魚攻擊和DDoS攻擊的報告。

要如何消除這種攻防不對等呢？如何做好安全防護的第一步？

近日，騰訊研究院、騰訊集團市場與公關(guān)部聯(lián)合發(fā)布《2020產(chǎn)業(yè)安全報告：產(chǎn)業(yè)互聯(lián)網(wǎng)時代的安全戰(zhàn)略觀》中提到，建立企業(yè)安全免疫系統(tǒng)要從“情報-攻防-管理-規(guī)劃“四個維度來考量。其中，威脅情報是安全防護的前提，也是企業(yè)網(wǎng)絡(luò)攻防中的第一道關(guān)卡。

何為威脅情報？簡單來說，就是關(guān)于威脅的情報、以及動機、企圖和方法進行收集、分析和傳播，幫助企業(yè)防范風(fēng)險，保護關(guān)鍵資產(chǎn)，或及時止損。

前不久網(wǎng)絡(luò)熱播劇《長安十二時辰》中，靖安司就是保護長安的“威脅情報中心”。主要負責(zé)取風(fēng)險情報，判斷潛在的威脅，為狼衛(wèi)（襲擊長安的恐怖分子）的團隊信息、攻擊預(yù)警、應(yīng)急響應(yīng)做預(yù)判和預(yù)案。

電視劇里的靖安司為長安反恐行動中提供了不少有用信息，但落地到現(xiàn)實中，往往比電視劇更驚險。

想起時隔半年前的那次差點讓他丟掉工作的預(yù)警事件，網(wǎng)絡(luò)安全工程師張羽（化名）至今都心有余悸。2019年5月19日下午，張羽所在公司部署騰訊云的T-Sec高級威脅檢測系統(tǒng)發(fā)現(xiàn)入侵感知告警信息，由于當(dāng)時他的直屬領(lǐng)導(dǎo)正在飛機上，一時間張羽也拿不定主意該如何處理，便立即向騰訊安全威脅情報中心發(fā)起求助。

收到客戶求助之后，騰訊安全威脅情報中心技術(shù)負責(zé)人程虎立即提取檢測系統(tǒng)內(nèi)的相關(guān)日志進行分析。日志顯示，黑客攻擊時發(fā)送的數(shù)據(jù)包命中了部署在高級威脅檢測系統(tǒng)中的一項，從而觸發(fā)告警。

客戶拿不定主意，但程虎通過T-Sec 高級威脅溯源系統(tǒng)進行溯源，很快找到了攻擊根源，即BuleHero蠕蟲病毒的最新變種攻擊。好在發(fā)現(xiàn)及時，在騰訊云的協(xié)助下將病毒隔離、查殺、修復(fù)安全漏洞，入侵風(fēng)險解除，公司資產(chǎn)躲過一劫，張羽松了一口氣。

讓張羽撓頭的預(yù)警，在程虎這邊只用了很短的時間就作出了準(zhǔn)確的預(yù)判和應(yīng)對措施，實施隔離、阻斷，防止更大的漏洞避免損失的發(fā)生。

這也是程虎所在的騰訊安全威脅情報中心的主要工作，通過提供各種安全威脅信息，幫助騰訊云以及企業(yè)級客戶預(yù)防和處理各種網(wǎng)絡(luò)攻擊。顯然，在明槍暗箭的網(wǎng)絡(luò)對抗中，一份有價值的威脅情報，讓企業(yè)可以實現(xiàn)“未攻先防“。

C2B2C的安全征程

《長安十二時辰》中，靖安司獨創(chuàng)的大案牘術(shù)，其實就是當(dāng)時的大數(shù)據(jù)庫，通過對長安人員背景、名下資產(chǎn)、人脈關(guān)系等多個維度進行綜合評估，來推斷案件，演練歷史，預(yù)測未來。顯然，數(shù)據(jù)庫的數(shù)據(jù)積累越多，處理能力和分析能力越強，越能讓靖安司提供的威脅情報奏效。

這也引出了如今網(wǎng)絡(luò)安全形勢下，威脅情報是否準(zhǔn)確和有價值的關(guān)鍵因素：海量的威脅情報數(shù)據(jù)庫、海量的數(shù)據(jù)處理能力和自動化分析能力。

騰訊威脅情報中心的數(shù)據(jù)庫建立和處理能力來源于騰訊多年在C端方面數(shù)據(jù)和服務(wù)以及安全能力的積累。

1998年創(chuàng)立，20年來騰訊在個人用戶端積打下了扎實的用戶基礎(chǔ)，用用戶端的積累沉淀去撬動企業(yè)客戶，并最終通過更穩(wěn)定安全的業(yè)務(wù)架構(gòu)，幫助企業(yè)更好地為個人用戶提供服務(wù)。

騰訊安全團隊是從打擊QQ盜號和信息詐騙起步的。在2010年前后加入騰訊，成為反病毒工程師的何健（化名）對此還記憶猶新。

“有幾年騰訊QQ盜號非常嚴重，已經(jīng)嚴重影響了騰訊自己的業(yè)務(wù)口碑，“他所在的組重點負責(zé)反QQ盜號項目的研究和分析，在1年多的時間里，聯(lián)合騰訊其他部門成功打掉了國內(nèi)十幾個QQ盜號團伙。

當(dāng)時他所在的團隊有一項重要的任務(wù)就是研究追蹤檢測各種不同的QQ盜號木馬、刷鉆等惡意軟件，通過逆向分析惡意樣本，給其他部門提供多種相應(yīng)的對抗手法，同時，這些在樣本中提取的價值信息，成為之后反QQ盜號提供了很多關(guān)鍵信息。2012年以后，國內(nèi)的QQ盜號和刷鉆惡意軟件明顯減少。這實際上是比較早期的“威脅情報”作用于騰訊內(nèi)部的一個小案例。

如今，對于深耕網(wǎng)絡(luò)安全20余年的騰訊來說，已經(jīng)擁有超過500個業(yè)務(wù)場景，積累了海量針對個人用戶安全的經(jīng)驗，并將此沉淀成產(chǎn)品和服務(wù)提供給政企用戶，為企業(yè)輸出定制化的安全服務(wù)。尤其從“930”組織架構(gòu)變革以后，原隸屬于移動互聯(lián)網(wǎng)事業(yè)群（MIG）的騰訊安全團隊正式劃歸云與智慧產(chǎn)業(yè)事業(yè)群（CSIG），其核心職責(zé)也從用戶安全，轉(zhuǎn)向為騰訊云及智慧產(chǎn)業(yè)發(fā)展提供通用安全保障。

以威脅情報中心為例，其可以實現(xiàn)了海量安全數(shù)據(jù)的自動過濾和識別，形成威脅情報庫已經(jīng)可以從攻擊意圖、策略以及方案等進行行為模式分析，歸入到不同事件等級，進而對外預(yù)警和相應(yīng)，幫助各組織在龐大網(wǎng)絡(luò)中快速反應(yīng)，以應(yīng)對不同層級的網(wǎng)絡(luò)風(fēng)險。

從扎根消費互聯(lián)網(wǎng)到擁抱產(chǎn)業(yè)互聯(lián)網(wǎng)，公司內(nèi)的安全團隊協(xié)作機制也發(fā)生了變化：集結(jié)內(nèi)部七大安全實驗室和安全平臺部超過300人的頂尖研究力量成立“云全棧安全研究工作組”，對云安全展開全面、前瞻性的研究，將安全服務(wù)內(nèi)置到云中。同時，騰訊超過3500名的安全專家和技術(shù)人員共同投入到騰訊云的安全建設(shè)當(dāng)中，為云服務(wù)提供全面防護。

程虎所在團隊的工作方式也發(fā)生了很大的變化。比如對企業(yè)客戶“一對一的管家式服務(wù)”，前文提到的案例就源于此；再比如工作時間的變化，由于黑客攻擊多半是在非工作時間，周五的晚上和周末往往是程虎團隊更需要“在意”的時間段。

其中一個讓程虎印象深刻的周五是2018年的12月14日，當(dāng)天整個騰訊安全團隊在東莞團建。下午16時27分，程虎收到一條微信告警，騰訊安全威脅情報中心檢測發(fā)現(xiàn)，一款通過某公司軟件升級通道傳播的木馬突然爆發(fā)，僅2個小時受攻擊用戶就高達10萬。

該病毒通過云控下發(fā)惡意代碼，包括收集用戶信息、挖礦等，而該軟件是一款用戶量過千萬的產(chǎn)品。更為嚴重的是這一木馬會通過永恒之藍漏洞對企業(yè)內(nèi)部進行滲透攻擊，一旦企業(yè)用戶中了這一木馬，可能會導(dǎo)致二次攻擊。

情況相當(dāng)危急。

當(dāng)時團隊成員決定取消團建，在開車趕回公司的途中，威脅情報系統(tǒng)已經(jīng)完成對木馬的自動化分析。“當(dāng)天晚上8點多鐘我們已經(jīng)完全確認分析，并把威脅情報、應(yīng)用級的情報、運營級的情報下發(fā)到騰訊云各安全產(chǎn)品里面去”。

僅用了3個小時，團隊完成了威脅情報在云安全產(chǎn)品中的下發(fā)、病毒的隔離、防治和清理。看起來似乎很輕松，讓企業(yè)客戶在攻防中取得“未攻先防”的優(yōu)勢，也體現(xiàn)出騰訊安全團隊的價值所在。

通過威脅情報搶占攻防先機，只是騰訊云在產(chǎn)業(yè)互聯(lián)網(wǎng)時代安全布局的第一個環(huán)節(jié)。此外，在云平臺的合規(guī)管理、基礎(chǔ)設(shè)施、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)訪問固件自身安全上，騰訊云也不斷通過云全棧安全研究工作組進行前瞻性的研究和建設(shè)。

騰訊在以個人用戶為核心的移動互聯(lián)網(wǎng)時代一路積累下來的技術(shù)和經(jīng)驗，在產(chǎn)業(yè)互聯(lián)網(wǎng)時代被沉淀下來形成一系列服務(wù)企業(yè)的安全產(chǎn)品，能夠?qū)Ω鞣N復(fù)雜的安全情況進行快速的響應(yīng)和處理，加上騰訊安全“一對一“專家式服務(wù)，不斷將安全能力輸出給政府和企業(yè)側(cè)，助力提升安全競爭力。

騰訊云的安全高速

云上的攻擊和復(fù)雜程度更甚，傳統(tǒng)的安全邊界也被打破。

CSA（國際云安全聯(lián)盟）發(fā)布的最新版本云安全問題報告中，列舉了包括數(shù)據(jù)泄露、身份、憑證和訪問管理不當(dāng)、系統(tǒng)漏洞、賬戶劫持等在內(nèi)的12類安全風(fēng)險。

國家信息安全漏洞庫數(shù)據(jù)顯示，云上平均每周至少出現(xiàn)1300+新漏洞，漏洞從公開到被外部利用周期不到7天。用戶每天都在遭受著各類漏洞威脅，云服務(wù)企業(yè)對漏洞事件的檢測以及即時響應(yīng)是安全性的基礎(chǔ)保障。

安全能力成為企業(yè)挑選云服務(wù)商的首要考量。

憑借云上基礎(chǔ)設(shè)施建設(shè)的不斷夯實以及業(yè)界領(lǐng)先的信息安全實力，騰訊云已成為最值得信賴的云計算服務(wù)商之一。一直以來，騰訊云都將服務(wù)穩(wěn)定和信息安全作為發(fā)展基準(zhǔn)。

一方面，不斷持續(xù)加大基礎(chǔ)設(shè)施建設(shè)，在業(yè)界率先實現(xiàn)“全網(wǎng)服務(wù)器總量超過100萬臺，帶寬峰值突破100T”，提升云平臺的容災(zāi)能力，保障云服務(wù)的連貫性；

另一方面，騰訊云為云上租戶安全構(gòu)建了業(yè)務(wù)安全“護城河”，在網(wǎng)絡(luò)攻防的第一道關(guān)卡，威脅情報能力方面，騰訊云建立了“租戶安全運營中臺”，能夠?qū)崟r分析全云安全態(tài)勢，為云用戶提供主動的安全響應(yīng)服務(wù)：實現(xiàn)分鐘級發(fā)現(xiàn)全網(wǎng)新增高危端口，小時級定位新出現(xiàn)的零日漏洞影響范圍，日級內(nèi)實現(xiàn)全網(wǎng)的安全漏洞處理。

數(shù)據(jù)庫足夠強大，自動分析能力足夠強，能夠?qū)︼L(fēng)險進行預(yù)估評測、未攻先防，對于云上攻擊來說非常關(guān)鍵。比如騰訊安全玄武實驗室，在2019年發(fā)現(xiàn)重大漏洞“BucketShock”，阻止了一場可能影響70%云存儲應(yīng)用的安全威脅。

不僅如此，騰訊安全還將其威脅情報能力向外輸出，提供定制化的解決方案。比如在直播行業(yè)的防護系統(tǒng)搭建除了可以有效解決用戶訪問延遲以及網(wǎng)絡(luò)攻擊問題以外，還能夠針對高危業(yè)務(wù)進行威脅情報溯源分析，防止網(wǎng)絡(luò)病毒惡意攻擊，防患于未然；在零售行業(yè)，依托騰訊安全的定制方案，為東鵬特飲公司提供威脅情報服務(wù)，通過調(diào)用天御風(fēng)控API，給出用戶評級，對營銷風(fēng)險提前作出預(yù)判，識別惡意行為并進行攔截，幫助企業(yè)過濾虛假流量，對抗羊毛黨，打擊黑產(chǎn)牟利, 每年幫助企業(yè)節(jié)省3000萬營銷成本。

在安全標(biāo)準(zhǔn)最為嚴苛的金融領(lǐng)域，已有6000多家企業(yè)選擇騰訊云，包括逾150家銀行及數(shù)十家保險、證券公司。與此同時，騰訊云還在不斷向智慧出行、智慧醫(yī)療、數(shù)字政務(wù)等產(chǎn)業(yè)領(lǐng)域的市場滲透。

顯然，企業(yè)的信息安全在云上的搭建已經(jīng)成為產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的重要一環(huán)。而有其做支撐的騰訊云，安全的標(biāo)簽也愈發(fā)具體可感。

本文來自“熊出墨請注意”，轉(zhuǎn)載請聯(lián)系原作者獲取授權(quán)