首页 - 天富娱乐科技 - 阿里云发布2019云上企业安全指南,破解云上安全运营难题

阿里云发布2019云上企业安全指南,破解云上安全运营难题

发布时间:2020-03-26  分类:天富娱乐科技  作者:dadiao  浏览:4

近日,阿里云安全联合FreeBuf发布了 《2019云上企业安全指南》 ,阿里云安全运营中心对2019年网络安全态势做了分析,并给出2020年云上安全运营建议。

2019网络安全四大威胁

1.以33.4% 的高占比,挖矿病毒“卫冕”安全威胁之最

2019,共发现80个大型木马挖掘团伙。从受害者主机的操作系统来看,69%是Linu天富,31%是Windows,十大木马挖掘团伙主要针对Linu天富。流量超过

2.日均 2000 余次,强度、频度的升级让DDoS 攻击更难防御

100 g的攻击成倍增加,Tb级流量和1000万级并发攻击的出现使得DDoS攻击更加猛烈。与此同时,阿里云安全运营中心也观察到应用层DDoS(CC攻击)成为最常见的攻击类型,与2018年相比,攻击方式也更加多样和复杂。

2019年高峰流量超过100Gbps的事件分布

3.暴力破解依然是“最具性价比”的主流攻击手段

在所有拦截的攻击中,暴力破解和网络攻击在2019年将继续增加,分别达到7亿和4000万,分别占拦截总数的48%和3%。

4.更垂直,利益驱动下的“百花齐放”

电子商务和其他行业将在黑灰色的生产链中面临更加全面和专业的网络攻击。在房地产交易、交通运输、游戏、电子商务和信息论坛等多个行业中,恶意爬虫的比例已经超过50%。这些行业需要加强对恶意爬虫的安全防范和控制。

2019最受企业关注的四大安全问题

基于大量的客户服务和经验交流,以及国家法律法规和企业安全管理现状等各种因素,阿里云安全运营中心对过去一年企业最关注的十大安全问题进行了盘点,如下图所示。不难看出,合规性、数据安全、IOT安全和基于云的安全运营是企业最关心的四个问题。

1.服务提供商合规等级决定了云上企业能达到的最高合规水平

网络安全法规定了“谁运营、谁使用、谁负责、谁收费”的原则及其他相关规定,前提是云平台通过与用户系统级相同的保护级别,否则,云上用户的信息系统级保护将受到分级和归档的影响。异戊二烯2.0是企业今年关注的合规标准。企业使用的云服务类型(IaaS、PaaS和SaaS服务模式)不同,异戊二烯2.0要求的技术评估项目也不同。因此,只要云平台通过同等保护评估,云用户在物理安全、网络和虚拟层安全等基础安全保护方面的投资就可以因云平台的能力而大大减少,重点可以更加集中在业务和系统的保护需求上。

阿里云不同服务模式下云用户2.0技术评估项目数

从上图可以看出,在云平台通过2.0评估的前提下,企业越深入云端,需要开展的评估项目越少。当然,它需要投资的成本将会更低,从而使企业能够拥有高水平的安全能力,同时有更多的精力专注于自身的业务发展。

2. 数据安全水位决定企业整体安全防护水平

数据安全是一项复杂而全面的工作。从数据收集、传输、存储、处理、交换到销毁,有许多问题需要关注和解决。因此,在构建数据安全保护系统时,基于云的企业需要充分考虑未来业务发展、当前业务状况、敏感数据场景、上下游数据等。并制定3-5年的数据安全计划。根据不同类型的数据,不同的使用场景,不同环节的威胁和风险,做出充分的分析,配套建设技术检测和防护措施;在管理体系建设方面,应考虑与现有管理体系充分整合,最终形成一种规划、管理、技术的模式,全面控制数据在其整个生命周期的安全性。

3. 即将突破 208亿的IoT在线设备,600%增长的物联网攻击

随着5G、大数据和人工智能的深入发展,物联网产品发展迅速。2020年,物联网设备的在线量预计将超过208亿。由于物联网设备涉及云、管道、终端和边缘四大方面,安全风险不断扩大,物联网攻击将以600%的速度增长。

物联网设备的爆炸式增长

同时,通过对物联网安全漏洞的梳理,发现CVE固件的质量和可用性在互联网固件中存在漏洞

4.云上规模化红利让安全运营降低至少50%

安全性不是产品的叠加。基于云的安全系统需要整体保护。从云安全系统前的整体安全方案设计到云安全系统和安全风险评估后的安全产品使用,都需要安全专家参与咨询、设计和后期安全操作,以快速解决整体保护中的各种漏洞和潜在安全风险。网络的攻击和防御是动态的,攻击手段不断变化,防御手段也需要及时调整。在安全防护系统中,安全产品的作用是一种工具,它要求安全专家在不同时期不断分析、操作和调整安全策略,不断提高事件处理和应急处理等安全技术能力,以保证业务系统的正常安全。因此,专业的云安全托管运营可以帮助客户更有效地形成管理加技术和技术产品的风险闭环,还可以帮助企业降低运营成本。云的规模和系统化特征意味着运营成本降低,降低的运营成本的红利将直接分配给每个客户。

2020云上安全运营四大建议

基于2019年云企业面临的主要问题和安全风险分析,我们给出以下行动指南,帮助企业做好云安全建设:

合规建设。云用户通过此类保险,首先需要确认云平台通过此类保险评估。其次,根据当前业务情况确定保定等级,并根据云服务业务模式(IaaS、PaaS、SaaS)匹配等保险要求进行合规建设。最后,通过选择具有基于云的评估经验和综合实力的专业评估组织,完成相同的保险评估。

数据安全建设。企业可以从数据生命周期的维度评估每个阶段的数据风险,结合业务数据流和敏感数据使用场景,构建数据安全管理体系和相应的技术保护措施,确保数据在整个生命周期的安全。

IoT 安全能力建设。完成云、管道、终端和边缘的物联网安全保护,并评估整体风险。重视设备的可信检测和认证,提高设备的整体认证能力;加强数据安全保护,使用可信的安全方案建立平台安全;使用物联网的专业安全运营计划,避免对平台造成不可挽回的损失。

常态化安全运营。定期对云资产(基线、漏洞、策略等)进行基本安全检查。);基于业务开发和云平台网络架构,定期评估云上资产的安全风险。结合自身业务迭代频率,做好上线前的安全检查工作。控制风险并在事故发生前预防事故。

点击[阅读原文]下载报告