1、云發(fā)展進(jìn)入快車道

十幾年前，當(dāng)AWS證明了云是可行的業(yè)務(wù)之后，越來越多的行業(yè)巨頭齊聚云市場，云服務(wù)成了家常菜，全世界都流行不自己維護(hù)服務(wù)器，把運(yùn)算和存儲放到云上。但每個(gè)新事物都會有個(gè)成熟的過程，這十年來，很多業(yè)務(wù)對云的態(tài)度從懷疑、擔(dān)心到逐漸嘗試，直到國家發(fā)展戰(zhàn)略正式提出了“數(shù)字中國”概念，政務(wù)云、金融云、能源云、交通云等各式各樣的云應(yīng)運(yùn)而生，云作為數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化的天然承載者，步入了快車道和云2.0時(shí)代。

2 、云安全的演變

有了云，自然離不開云的安全，云的特點(diǎn)是讓使用者可以更便捷的訪問及應(yīng)用，同樣對于黑客來說，攻擊路徑也更加簡短和直接。

隨著互聯(lián)網(wǎng)技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)空間威脅和風(fēng)險(xiǎn)日益增多。主要表現(xiàn)在：網(wǎng)絡(luò)攻擊高發(fā)頻發(fā)，攻擊組織性與目的性更加凸顯；高危0day漏洞數(shù)量上升，信息系統(tǒng)面臨的漏洞威脅更加嚴(yán)峻；數(shù)據(jù)安全防護(hù)意識薄弱，大規(guī)模數(shù)據(jù)泄露事件頻發(fā)；網(wǎng)絡(luò)攻擊自動(dòng)化程度不斷提升，技術(shù)對抗更加激烈；集團(tuán)企業(yè)業(yè)務(wù)系統(tǒng)安全問題依然突出，新技術(shù)應(yīng)用帶來新的安全隱患。

十五年之前，Web應(yīng)用防火墻（WAF）剛在國內(nèi)發(fā)展起來，大量的WAF被買來放入內(nèi)網(wǎng)邊界作為抵御Web應(yīng)用攻擊的防線。而隨著云的發(fā)展，越來越多的業(yè)務(wù)上云，越來越多的業(yè)務(wù)需要安全保護(hù)，我們會突然發(fā)現(xiàn)硬件的WAF無從部署，不知道怎么融入到云體系內(nèi)發(fā)揮其作用。同時(shí)我們也發(fā)現(xiàn)了一個(gè)重要問題，硬件安全產(chǎn)品放入內(nèi)網(wǎng)后，基本就降低了它的生命力，無法隨著時(shí)間的推移而不斷積累它的能力。是不是有個(gè)熟悉的場景：競測和招投標(biāo)PK的時(shí)候，友商之間比誰的防護(hù)策略種類多、條目多，你說有1000條規(guī)則，我就敢寫有2000條，等到了實(shí)際中標(biāo)后產(chǎn)品上線的時(shí)候，卻因?yàn)榕抡`攔截只敢開最小組合的策略包，也許只有100條規(guī)則被用了起來，適配無誤后，這臺硬件防護(hù)設(shè)備可能就此不會再有人關(guān)注，即使時(shí)常有策略的更新推送也基本不會被應(yīng)用。反正我的一個(gè)客戶，現(xiàn)在仍然在用7年前購買的硬件WAF而從來沒有升級過，竟然這個(gè)WAF仍然一絲不茍的在服役。

2009年左右，美國有一家叫Cloudflare的云服務(wù)公司成立，做云防火墻、DDoS 防護(hù)、CDN等業(yè)務(wù)。到了2019年，它已經(jīng)占有全球16%以上的CDN市場。Cloudflare能做什么？它可以讓你的網(wǎng)站成為永遠(yuǎn)打不死的小強(qiáng)。不但可以讓你的網(wǎng)站訪問速度更快，還能抵御絕大部分的網(wǎng)絡(luò)攻擊，智能過濾可疑流量，隱藏你的真實(shí)網(wǎng)站IP地址。讓許多中小網(wǎng)站十分頭疼的DDoS攻擊在Cloudflare面前都是小菜一碟。

更不得了的是，Cloudflare還特別的便宜，大家都能用得起，免費(fèi)服務(wù)就可以防御大部分DDoS攻擊。便宜是一方面，配置還十分簡單，只需要修改域名的DNS解析指向，在Cloudflare后臺就可以一鍵開啟防護(hù)。即使只是一個(gè)個(gè)人普通的網(wǎng)站，也可以做到銅墻鐵壁。

歐美國家網(wǎng)站普遍使用Cloudflare，如果要去攻擊這些網(wǎng)站將會非常痛苦，實(shí)際上對絕大多數(shù)人來說是根本不可能的，所有攻擊都是考慮怎樣繞過Cloudflare直接攻擊源服務(wù)器，但是如果配置正確源站也很少會暴露。Cloudflare還支持IPv6解析，要掃描IPv6是不可能完成的任務(wù)。懂點(diǎn)技術(shù)的話，在服務(wù)器上配置好防火墻，只允許Cloudflare的IP列表使用80和443端口，這樣就完全解決了暴露源站IP的問題。Cloudflare有專門用于源服務(wù)器與CDN網(wǎng)絡(luò)之間雙向TLS加密的方法。即只能由Cloudflare的CDN與源服務(wù)器之間進(jìn)行通信。

當(dāng)感受到Cloudflare和傳統(tǒng)WAF之間的能力差距之后，我看到了一個(gè)趨勢和場景，使用云架構(gòu)的安全產(chǎn)品來防護(hù)云的安全，一定會成為了云最主要的防護(hù)手段，云也將是隔空和黑客對抗的直接戰(zhàn)場，云的安全也將取決于誰能更好的利用云的特性，誰能更快的使用大數(shù)據(jù)的來發(fā)現(xiàn)蛛絲馬跡，誰能夠協(xié)同更多的資源和力量。也正是因?yàn)榭吹搅诉@個(gè)方向，我聯(lián)合創(chuàng)立的安全公司知道創(chuàng)宇里投入了大量研發(fā)力量進(jìn)行了云防護(hù)相關(guān)的研究和產(chǎn)品開發(fā)，做出來一款可以真正和黑客隔空對抗的、可以隨著時(shí)間的推移不斷增加其經(jīng)驗(yàn)和能力的“活的”云防護(hù)產(chǎn)品“創(chuàng)宇盾”。

3、對抗的本質(zhì)和上帝視角

我經(jīng)常在思考，攻防對抗的核心能力是什么？思考下來，攻防對抗其實(shí)就是人的智慧在對抗，脫離不了攻防者的經(jīng)驗(yàn)和思路，而安全硬件設(shè)備就是希望能夠?qū)⑷说慕?jīng)驗(yàn)固化為機(jī)器可操作的指令，因此有了規(guī)則。但是人的經(jīng)驗(yàn)和智慧是隨時(shí)在變化的，攻防的對抗也在不斷升級，你來我往，不亦樂乎。那么機(jī)器規(guī)則能不能實(shí)時(shí)的跟進(jìn)這種升級和變化呢，目前肯定是不行的。時(shí)至今日，大家都在提AI，在我看來AI還不能替代人的經(jīng)驗(yàn)，現(xiàn)在最有效的“人工智能”，應(yīng)該還是人工+智能的模式，我們經(jīng)常開玩笑地說：“有多少人工，就能有多少智能”。智能通過大數(shù)據(jù)、深度學(xué)習(xí)等技術(shù)得出輔助決策數(shù)據(jù)，供人來判斷和使用，而這些數(shù)據(jù)會隨著時(shí)間的推移不斷積累和反應(yīng)，直到發(fā)生質(zhì)變，產(chǎn)生高維度的視角和能力。

知道創(chuàng)宇云防護(hù)體系的核心，正是由一群極其富有經(jīng)驗(yàn)和想象力的年輕人組成的“積極防御小組”，這個(gè)小組一直保持著精英小隊(duì)的模式，人人精通攻防技術(shù)，熟悉大數(shù)據(jù)分析和各種深度學(xué)習(xí)算法，同時(shí)也擁有海量的數(shù)據(jù)，這些大數(shù)據(jù)經(jīng)過分析和提煉后，給積極防御小組提供了更高維度的決策依據(jù)。比如積極防御小組可以通過一個(gè)IP線索，找到歷史上這個(gè)IP在什么時(shí)間，訪問過什么系統(tǒng)，從哪里進(jìn)行的訪問，做過哪些操作，是否有過攻擊行為，使用過哪些攻擊工具或者漏洞，攻擊過哪些系統(tǒng)等等；再比如，當(dāng)出現(xiàn)一個(gè)0day的時(shí)候，我們可以發(fā)現(xiàn)知道創(chuàng)宇云防御體系保護(hù)下的100多萬系統(tǒng)有多少正在受到攻擊，有多少系統(tǒng)已經(jīng)被攻破了，還可以知道0day公開之前，誰用過這個(gè)漏洞進(jìn)行過攻擊。以上這種一覽無余的視角我們叫做“上帝視角”。

當(dāng)云防御體系擁有這種“上帝視角”的時(shí)候，很多攻防的對抗就顯得相對容易了許多，可以很快發(fā)現(xiàn)攻擊者的痕跡并進(jìn)行干預(yù)?；谖覀冮L達(dá)數(shù)年的分析、跟蹤和積累后，現(xiàn)在我們的黑客數(shù)據(jù)庫里已經(jīng)躺了33萬黑客的資料，這些黑客都做過什么，用過什么工具，有什么特征，用過哪些IP地址等等，都被我們標(biāo)記了出來，并且在近幾年的國家網(wǎng)絡(luò)攻防演練中，黑客數(shù)據(jù)庫對溯源都發(fā)揮了重大作用。2020年的演練過程中，我們不但溯源到了紅隊(duì)的攻擊人員，還溯源到了隱藏在演練攻擊流量里的真實(shí)境外黑客。當(dāng)我們將這份溯源報(bào)告上報(bào)給國家監(jiān)管部門后，得到了高度的嘉獎(jiǎng)和1000分以上的單個(gè)溯源報(bào)告得分。

4、基于大數(shù)據(jù)的向前防御體系

向前防御這個(gè)概念，就是要將防線推到我的資產(chǎn)邊界之外，在前線進(jìn)行快速、直接的防御，有點(diǎn)類似于籃球戰(zhàn)術(shù)里的高位逼搶。其實(shí)在美國網(wǎng)軍的戰(zhàn)術(shù)里，就多次提到“forward defense”，他們將防線推到自身網(wǎng)絡(luò)覆蓋范圍之外，甚至直接在對手的地盤上直接防御和反擊。

為什么要提向前防御概念，首先，內(nèi)網(wǎng)相對來說更像一個(gè)灰盒狀態(tài)，越是大型政府、企業(yè)越是如此，雖然運(yùn)維人員有內(nèi)網(wǎng)拓?fù)鋱D，但是實(shí)際上內(nèi)網(wǎng)經(jīng)常是錯(cuò)綜復(fù)雜的，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)、策略配置、人等等，每一個(gè)因素都可能導(dǎo)致內(nèi)網(wǎng)產(chǎn)生不可預(yù)知的變化，這也給了黑客更多的藏身之所以及實(shí)施攻擊的便利條件，在內(nèi)網(wǎng)做攻防基本等同于捕風(fēng)捉影，即使能夠捕捉到對手的痕跡，也可能會為了一個(gè)堡壘機(jī)、一個(gè)服務(wù)器的權(quán)限爭奪開展肉搏巷戰(zhàn)，何其慘烈；其次，如果黑客已經(jīng)進(jìn)入內(nèi)網(wǎng)，往往意味著邊界防御已經(jīng)被突破了，可能黑客已經(jīng)被拿到了權(quán)限、賬號口令及資產(chǎn)清單，此時(shí)再進(jìn)行防守，相當(dāng)于亡羊補(bǔ)牢，難度可想而知；最后，向前防御不但可以將防線提前，將戰(zhàn)場轉(zhuǎn)移至更加開闊的互聯(lián)網(wǎng)，更可以通過大數(shù)據(jù)積累把全網(wǎng)協(xié)同能力發(fā)揮出來。黑客在外部做攻擊嘗試時(shí)，一定會有痕跡及特征留下來，只是看防御者能不能發(fā)現(xiàn)，比如黑客使用了同樣的漏洞利用代碼在其它類似網(wǎng)站上進(jìn)行過攻擊嘗試，比如黑客攻擊過同行業(yè)的其它業(yè)務(wù)系統(tǒng)等等，只要能夠在外部利用大協(xié)同、大連接、大數(shù)據(jù)的特點(diǎn)發(fā)現(xiàn)蛛絲馬跡，就可以定位黑客，并按照防守者的意愿全網(wǎng)攔截或者進(jìn)行攻擊誘捕及溯源。

云防御的最新應(yīng)用和優(yōu)勢，正是使用了向前防御的理念，可以想象，當(dāng)某集團(tuán)所有面向互聯(lián)網(wǎng)開放的業(yè)務(wù)系統(tǒng)都被云防御安全罩包裹在公網(wǎng)時(shí)，所有的攻防邊界都將在安全罩的最外層進(jìn)行，這個(gè)安全罩的外層越大，接觸面也就越大，那么可以感受到攻擊的范圍也就越廣，也越迅速。

5、網(wǎng)絡(luò)安全應(yīng)轉(zhuǎn)化成安全網(wǎng)絡(luò)

云業(yè)務(wù)已經(jīng)成為了一大產(chǎn)業(yè)，并已成為了像阿里、騰訊、華為這類巨無霸公司新的發(fā)展驅(qū)動(dòng)力，可以預(yù)見，云安全也將相輔相成地成為最重要、對抗最直接、發(fā)展最快的一塊安全陣地。我們希望，安全也能夠成為必需品而非奢侈品或者附加品，云的安全能夠成為凈水器一樣的裝置，給業(yè)務(wù)帶來純凈的流量，讓“水”這個(gè)生存的必要條件可以更安全、更可靠。

因此，我們的最終目標(biāo)，是將網(wǎng)絡(luò)安全轉(zhuǎn)化成安全網(wǎng)絡(luò)，讓每個(gè)網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)在接入時(shí)就可以享受到安全純凈的輸入流量，而不用再擔(dān)心網(wǎng)絡(luò)里是否有“雜質(zhì)”，我相信，云防御終究可以達(dá)到這個(gè)目標(biāo)。