首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全是如何塑造云上高速发展通道的?看看这几个案例

安全是如何塑造云上高速发展通道的?看看这几个案例

作者头像
腾讯云安全
发布2019-08-07 20:10:42
1.5K0
发布2019-08-07 20:10:42
举报

今天的安全不仅仅是企业发展的底线,也是天花板,企业能不能通过云平台实现风险抵御等等,这都是企业必须要在接入云平台前要首先考量的问题,如果将云比喻为一条高速公路的话,安全就是保证这条高速公路高速畅行的关键。

腾讯副总裁丁珂在刚刚结束的CSS 2019上带来的比喻,掀起新一轮云安全的讨论。在云安全专场上,来自腾讯安全以及合作伙伴更是带来了不少云上安全趋势和案例分享。一起来看看,都是哪些干货?

家乐福

618保卫战

(家乐福技术总监袁鸣凯)

“就在上台前10分钟,我还发出了一个安全策略调整邮件,要求晚上上线。”7月31日下午,CSS 2019云安全专场上,家乐福技术总监袁鸣凯走上讲台的第一句话,就透露出家乐福与黑灰产之间无比激烈的攻防战争。

从袁鸣凯担任家乐福技术总监以来,这种战争就在无时无刻上演。在袁鸣凯的分享中,列举了家乐福在过去三年中遭遇的各种黑灰产攻击套路。而每到营销旺季,这些套路更是集体出动。

围绕刚刚过去电商大促618,家乐福启动了从520到628的超长促销期。在这次的战争中,与以往孤军奋战不同的是,家乐福开始和腾讯安全联合狙击黑灰产,针对性地构筑了以“大数据+AI引擎”的防御体系。

在WAF攻防策略上,家乐福基于自有技术,引入了腾讯安全Web 应用防火墙)、监控、黑白名单、CC规则、BOT规则等技术,袁鸣凯将这套战术命名为“围点打援”——用包括探测器、业务逻辑和优惠券组成的“诱饵”,试探黑会产,一旦不在白名单范围内,就予以拦截。

反制“薅羊毛”同样是家乐福的重要目标。“家乐福的‘羊毛’被人薅得很苦,我们打到现在,从520被打到610,我们被打得‘鼻青脸肿’。从610开始,我们和腾讯安全天御进行联合,大家做了一次防刷登录注册上的防御,611完胜,”袁鸣凯这样总结合作效果。

具体做法则是,在腾讯安全天御的协助下,家乐福构建了三层防御体系

➤用户手机端“堵漏”——基于电子识别指纹辨别是否为真实用户

➤建立征信机制——记录登录手机的修改状态

➤攻防对抗——在抢券、秒杀、抽奖等业务层面,实时拦截“羊毛党”

演讲结束后,袁鸣凯就要参与到当晚新一轮的黑产战役中。但与之前不一样的是,家乐福往后的每场安全对抗,都将有腾讯安全的鼎力支持。

中国银行

阻断100亿+风险交易金额

(中国银行总行网金部总经理郭为民)

在过去一年,中国银行通过与腾讯的合作,结合大数据、人工智能、云计算、云网端安全防护体系,累计监测超过30亿笔交易,其中阻断了超过100亿的交易金额。

这是在7月30日CSS 2019的主论坛上,中国银行总行网金部总经理郭为民在谈及新科技在助力金融安全提升风险防范的价值时,提到的一组数据。

郭为民在现场还介绍道,通过与腾讯的合作,很多依靠原来银行的数据手段做不到的事情,依托腾讯海量的黑灰产数据,以及积累的大量黑产对抗经验模型,实现了对客户账户风险等级非常精准的定义。

此外,在信用风险防控方面,运用大数据,包括腾讯提供的一系列解决方案,也获得了较高的收获。郭为民表示,现在通过使用包括人工智能、大数据、云计算等等先进技术,现在中国银行有能力给每一个客户提供个性化的产品和服务。

郭为民在现场还分享了一个心得,“与腾讯公司合作,我晚上睡觉都更加安稳了,因为他面临的攻击比我们要多。运用这些新技术,我们现在有信心能够保证我们客户的资金安全、交易安全”。

蒙牛

4个月内节省超1000万

(腾讯安全云业务安全负责人周斌)

同样是零售业,但是蒙牛面临的黑灰产挑战中却不一样,简而言之在一个“码”上。

2018 年,蒙牛成为FIFA世界杯全球赞助商,拨出了2亿元现金红包与消费者互动,用户扫描二维码就可参与到奖励丰富的活动中,这也因此成为了黑灰产关注的重点目标。要知道,流传在业内黑灰产的规模可是超过百万的从业者、过亿张运营商黑卡、千亿营收….如此大型的营销活动,不可能不令这些人眼红。

腾讯安全云业务安全负责人周斌在云安全专场上讲解了腾讯安全护航蒙牛在营销活动期间的做法:在“一物一码”从用户扫码到派发奖励这一派发路径中,进行了安全风险拆解,加入了精准识别、实时判断和分级处理三层保障,快、准、狠地拒绝“羊毛党”掠夺。

双方合作的“战绩”显著:在2亿人次线下扫码、7100万总参与人数,3次人均复购频次的活动期内,腾讯安全帮助蒙牛在4个月内节省了超过1000万元。

目前,腾讯安全基于智慧风控打造的天御风控系统,已经向互金、银行、保险、出行、政务、汽车等15大行业输出,累计服务超2000家企业客户,助力保障各行业各企业的云上安全。

智慧政务

用安全中台满足严苛合规需求

(腾讯安全云基础安全负责人吴昊)

产业互联网时代,智慧政务是不能不说的热门领域。腾讯安全云基础安全负责人吴昊在云安全专场上,也带来了这个领域的安全实践。

“在政务行业中,云的建设者和最后云上的租户,可能隶属于不同的部门,他们之间是没有一些约束关系的,很可能那些租户会担心,我以前的系统挺安全,上去以后满足不了等保怎么办,满足不了国家的监管要求怎么办?”

对于政务行业普遍担心的问题,吴昊分享了腾讯安全的做法——基于腾讯安全中台,腾讯安全在保障云平台自身的安全同时,以安全中台为核心对租户的业务进行安全防护的同时进行安全应用场景的建设工作,其中安全中台分为租户安全服务中台和安全运营中台:

➤租户安全服务中台围绕着数据层,主机层,应用层,网络层构建了强大的基础安全体系,并且联合生态提供了丰富的安全能力;

➤安全运营中台聚焦在安全运营和安全管理,其中利用我们腾讯自身提供的御见(云SOC),御界产品并集合客户的安全配置,账号体系,服务编排形成统一管理,并能与租户安全服务形成联防联防,构建立体的基础防御体系;

这套方案,不仅能充分满足租户多样化安全需求,还能将整个租户层跟平台层把责任能划得更清楚,极大方便安全管理。目前,腾讯安全在政务行业的安全解决方案,已在长沙超级大脑以及厦门政务云等项目中落地应用。

安全合规标准

发布《基于PCI DSS 的云用户数据安全合规白皮书》

(《基于PCI DSS 的云用户数据安全合规白皮书》发布仪式

除了用好工具,企业做好数据安全合规的方法论是什么?在云安全专场上,腾讯安全重点针对云环境下每个数据安全标准点的责任细分,围绕公有云范畴,联合艾特赛克发布《基于PCI DSS 的云用户数据安全合规白皮书》,提出了数据安全合规建设的方法论,同时也尽可能详细地将合规要求落到实处,特别是“云服务提供商与云用户的PCI DSS 合规要求责任分析”,详细诠释了云服务提供商和云用户在基于PCI DSS 实施数据安全合规时,逐条阐述了各自责任和具体工作。

PCI DSS是什么?

PCI DSS 虽然是支付卡行业的数据安全国际标准,但是该标准围绕数据安全的核心要求,提出了一整套完整的规范要求,也称“要求最严格的数据安全标准”。

发布十余年以来,该标准已经在全球范围内形成统一标准,并且作为在数据安全合规领域最早的规范要求,获得了广泛认可和实施,推动了数据安全防护水平。

爱特赛克中国常务董事刘岩表示,数据安全合规并不是一次性工作,产业的技术不断演进发展,同时各个系统组件也会出现新的脆弱性和攻击模型。未来,将持续联合腾讯安全,致力于该白皮书以及相关技术的更新,不断监控标准以及技术的更新,从而更好地为产业合规做出贡献。

在今年的CSS上,我们很开心地看到越来越多的企业正在腾讯安全的帮助下,构建了扎实的安全防护体系,成为业务发展强力推动,这也让我们帮助越来越多的企业有了更多信心。

就像腾讯安全副总裁黎巍在云安全专场上分享的那样,“整个产业在发展,各家企业都希望攀登“珠穆朗玛峰”。作为安全人员,我们希望为整个产业互联网的发展搭建我们自己的喜马拉雅的天梯”。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2019-08-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯云安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
大数据
全栈大数据产品,面向海量数据场景,帮助您 “智理无数,心中有数”!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档