欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

【2016中国企业服务峰会】SaaS服务安全如何保证?

来源:本站整理 作者:佚名 时间:2016-04-22 TAG: 我要投稿

 编者按:安全一直是被挂在嘴边但从未重视过的问题,对于安全企业也往往存在着侥幸心理和亡羊补牢的行为。但随着 SaaS 行业的不断发展,SaaS 平台上正存储着越来越多的重要数据,那么 SaaS 服务的安全如何保障?在这场企业服务峰会上,XCon 创始人王英健,安全狗 CEO 陈奋青藤云安全 CEO 张福四叶草安全 CEO 马坤,IDF 实验室联合创始人万涛就这个问题做了分享。

万涛:最近邮件勒索等事件引起了广泛关注,随着 SaaS 服务在企业内的普及,就会产生越来越多的数据,但安全问题也随之而来,各位怎么看?

王英健:首先,我认为所有的勒索邮件以及现在锁 iPhoneID 都是社会发展的必然阶段。这十几二十年来我在做这方面的安全研究的方面,我们看到攻击方法的不断的变化,由简单到复杂,由复杂到简单,而现在的方式变得加简单。

随着时代和整个互联网的发展,我认为这是一个必然的阶段,但这不完全是一件坏事,它会成为互联网成长中的一部分。

就象以前我们没有汽车,也不会考虑到堵车的问题,我认为这是正常的,就要研究如何解决和消除它,推动整个产业和互联网行业的前进。

陈奋:勒索邮件最近确实比较严重,我身边很多朋友都遭受到这样的攻击。我们对它的病毒也专门做了分析,黑客确实用了一些比较特别的手段,加密的强度非常高,目前这个阶段的技术基本上没有办法破解这个密码。那么我们的安全厂商是不是只能举手投降了?我觉得这个问题应该分开来看。

首先针对企业来讲,许多企业安全意识还不高,所以企业需要做好基础的安全意识的培训,比如说我们针对来源不明的邮件千万不要点附件,这是最基础的常识,但许多非技术岗的人最容易受到这方面的攻击。

另外一方面,企业需要加大安全方面的投入。从企业发展的信息化程度来看,未来安全方面投入多少钱,我觉得都不算多。前年索尼的安全事件,虽然它在安全方面投入了几千万美金,但仍做不到非常完美。对于我们现在中国的企业来说,在企业发展过程中,就应该在安全领域投入资金和精力来做到事前的防御。

马坤:之前我收到过勒索的邮件,从两个方面来说,一是培养我们自己的安全意识,另外一方面是可能相关的厂商的安全做得不够好。

个人意识上我们是需要慢慢培养的,但企业级安全是需要加强的。中国大概 80%甚至 90%以上的企业是没有在安全方面投入资金,如果企业被黑客攻击导致据泄露,就会出现连带效应。因此作为一个企业来说在安全上,最好能够防范于未然。

张福:大家都讲得很清晰了,我最后补充三点:

第一,在法律层面希望能够进一步的完善,来保障企业权利。

第二,希望企业在安全方面其实要有一些投入,如果平时没有安全投入,出了问题也很难解决。企业对于用户的数据应该有契约精神,用户的信息保存在企业里,企业就有义务要保管好它。

第三,对于勒索来讲,中国现在 ID 管理系数比较低,企业内部要做好安全培训来避免这个问题。

 万涛:SaaS 兴起以及云化的服务对安全提出新的要求,越来越多的企业走向 SaaS 服务化的时候,我们的优势在哪?

陈奋:现在企业在做互联网化的业务时,传统防火墙架构无法适应云环境,这个时候就需要我们这些新兴安全公司来提供完整的解决方案。安全狗和阿里云、腾讯、Ucloud、都是非常好饿合作伙伴,我们的安全能力和他们的防御业务相结合,为用户提供云服务的完整解决方案。

我们去年年 底在 AWS 在平台上提供一键创建安全环境的功能。以前可能要花几个月的时间去搭建硬件防火墙的功能,现在在云平台下可能花几分钟就能完成,这是在新的安全环境能实现的,也是新兴的安全公司才能做的事情。

所以我认为在新的形势下,我们会有一些新的解决方案,帮我们的用户在新的环境下创建这种新的防御的方案。我们也跟一些 SaaS 的服务厂商合作,为他们的底层基础设施提供安全防御,这样用户就可以有更放心的平台。

张福:我想说四点,第一,现在 IT 基础设施变得越来越动态和复杂了,除了新的软件其实层出不穷外,基础环境因为有云平台又变得很动态,对于企业来讲,要把安全做好变得比过去更困难了。

第二点,不知道大家有没有看过 AWS 提的安全责任共担模型,对于云平台来讲,它能够解决云平台自身的安全问题。但是用户安全问题—包括企业数据,安全的漏洞、配置,需要由企业自己来完成的。

第三点,由于青藤云和安全狗将安全的能力云化,这样使得安全产品越来越便宜,把安全从一个奢侈品变成了一个大众消费品,随着安全服务的普及,大家的数据也会更有保障。

第四点,按照之前的构想,所有企业的安全连在了一起,而之前黑客那种一招鲜吃遍天的情况就不太容易出现。

当一家企业遇到的安全问题,我们得到的经验和教训可以共享给其它企业,从而总体降低安全的成本。

万涛:漏洞发现的能力是否是衡量安全公司技术能力的标准?是不是需要通过报出他们更多的安全漏洞来让他们提升安全性,有没有其他的方式让用户和厂商去重视安全这个问题?

陈奋:虽然漏洞的发现对于安全厂商很重要,而且市面上的安全事件都是以漏洞的角度展示给客户,但漏洞在整个安全领域都是冰山一角,其他方面也很重要。比如,配置上的风险、源组织架构上的风险,以及资产上的安全管理……一个体系化的东西。需要企业投入大量的精力,但如果基础问题没有解决好,必然会面临更大的风险。

王英健:首先不是漏洞不是报不报漏洞的问题,而是企业对于安全的重视程度。如果企业不重视,就算安全厂商报了漏洞也无所谓,所以我们应该让企业认识到问题的重点,漏洞会对你造成什么损害,这才是报漏洞的意义。像乌云这些漏洞提交平台对于企业来说是非常有意义的事情,花了很少,甚至不花钱就能帮你改进产品质量,而不是等到造成不良后果之后采取 PR,那样是没有意义的。只有企业意识到危害,努力的去修改提升安全系数,才是有意义的。从目前的发展程度来看,这是最有效最直接的方法。

马坤:说到漏洞,一些企业不太关注,觉得对其自身业务没有什么影响。拿心脏出血的例子来说,在全球范围修复率还没到 80%。

为什么会这样?就是因为企业没有意识到漏洞带来的危害,所以白帽子们去平台提交漏洞的时候,会有一个过程,需要用户去理解,然后知道如何解决。因此我们安全厂商会在这个过程中提供服务。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载