【51CTO.com原创稿件】当前,网络安全市场已经进入快速发展期,中国也已经成长为全球第二大网络安全支出国家。IDC预测,2019年中国安全解决方案总体支出将达到近70亿美元,年复合增长率更是远高于全球平均水平。
Akamai是网络安全权威企业,其定期发布的《互联网发展状况安全报告》,是业内知名的互联网“情资”。近日,Akamai企业安全产品资深总监Nick Hawkins、Akamai亚太区云安全区域副总裁Unmesh Deshmukh、Akamai区域副总裁暨大中华区总经理李昇接受了51CTO记者的采访,对当今网络安全的趋势及应对方法进行了深入探讨。
网络安全新动态
Akamai区域副总裁暨大中华区总经理李昇结合Akamai发布的《互联网发展状况安全报告》及Akamai发布的产品更新,从三个方面分享了网络安全新动态。
一、很多人认为“撞库”对电商或金融行业的危害较大,但Akamai报告数据显示,除了传统意义上受“撞库”影响较大的电商及金融行业外,媒体行业、互联网视频、互联网社交媒体等行业网站被“撞库”概率也非常高。根据Akamai报告,2018年出现的三次大规模的撞库均是针对流媒体服务,规模介于1.33亿次到2亿次尝试,且都是在被报告数据泄露后不久发生的。
此外,这些威胁呈现出一个特点:即这是一个“黑产业”,存在其产业链。一旦某个网站客户的账号和密码组合被泄露,那么在第二天甚至几个小时后,互联网上就会发起巨量的“撞库”尝试。很多互联网用户为了方便记忆,会在不同的平台上使用相同的账号密码,不法分子就是利用这一点发起“撞库”,因此成功率也非常高。而同样地,媒体行业也越来越受到这一“黑产业”的关注。举例来说,最近HBO的热门剧、需要付费观看的《权力的游戏》,它的视频资源在正式发布之前就被泄露了。
二、从整个互联网流量看,传统HTML的流量比例在逐年减少。而基于原生应用程序的API流量增长率非常高,去年的统计是83%的流量来自于API,而非传统的页面浏览。
三、今年3月份Akamai发布了一些重要产品更新,特别是对安全类产品做了一些补充。众所周知,Akamai在“安全防护”产品上,包含了从基础设施层的DDoS,到应用层的WAF,包括爬虫管理器(Bot Manager),这些都可以理解为从金字塔低到高扩展的防护手段。在“爬虫管理”的场景下,Akamai的重点是帮助用户防范像“撞库”的发生。今年,Akamai通过收购一家“用户身份管理”行业的领导企业Janrain,来强化这方面的用户标识、用户登陆账号的管理。通过此次收购,Akamai在互联网“账号滥用”防范方面的技术手段又得到了新的增强。通过两家公司技术的强强联合,Akamai能够对用户的身份管理、账户管理进行更有效的检测。并且,即使检测出某账户和密码已在系统存在,Akamai还能够通过其它维度来判断这一访问是不是来自正常用户:是账号拥有者正常登录,还是通过其它非正常手段进行尝试。
5G与边缘计算带来的新挑战
5G时代即将到来,5G可以更大地扩展边界、更大范围地提高用户体验。5G还会大幅度提高设备运行的速度、增加可以接入的设备数量。由于有越来越多的设备接入,同时带宽越来越大,网络威胁将与日俱增。李昇表示,应对方式主要有两种:一是网络接入设备的生产商,有责任来保证网络连接设备的安全性,而且要尽可能地减少漏洞。二是像Akamai这样的公司,可以给用户提供更好的安全防护战略,从而保护他们免受现在网络上流行的威胁,以及将来有可能发生的威胁。
说到边缘安全,Akamai亚太区云安全区域副总裁Unmesh Deshmukh表示,Akamai所有的执行机制都是在边缘,所以Akamai能够从容应对非常“聪明”且访问量巨大的威胁。例如,Akamai能够通过人工智能和机器学习技术有效地分析出好爬虫和恶意爬虫。同时,Akamai的执行完全分散到Akamai的边缘,每个边缘都有足够的能力,智能地执行安全策略和判断。所以Akamai边缘安全的“可扩展性”是非常大的,这一“扩展性”与边缘交付、内容交付的可扩展性一致。
Akamai亚太区云安全区域副总裁Unmesh Deshmukh
边缘的安全控制和防范是Akamai最主要的能力。除此之外,Akamai还能够把对于用户内容的一些处理“分担”或“卸载”到边缘上来做,例如对图片不同格式的处理和游戏直播等。可见,边缘计算在未来有很大发展空间。
李昇也进一步表示,一些领先的IT咨询公司已经意识到互联网云计算的新一波重点已从初期的“超级计算中心”走向“边缘”。“边缘”是未来云计算的新趋势,其也与5G的发展有一定的相关性:未来,企业不可能把所有的请求全部返回到中心的超级大数据库里,必须在离用户、离设备、离物联网中的“物件”最近的地方,就有能力去处理。
对“零信任”架构的看法
对于当下较火的“零信任”架构,Akamai企业安全产品资深总监Nick Hawkins也给出了自己的评价。在他看来,“零信任”架构的适用原则主要有三个方面:
要一直假设这个网络是不安全的,时刻都要警惕威胁的存在。
第二,不再允许或者是不再提供基于地点的任何优势。也就意味着,在公司内部的网络上网与在公司外部的网络上网相比,是没有任何优势的。
第三,所有的通讯都需要经过身份验证,并且会被授权,这样才能够进行通讯。
Nick Hawkins表示,基于这三个重要原则,应用程序防护措施应该是“自上而下”的,而不是像之前“自下而上”的,即用户需要成功验证自己的身份后,才能获得授权、才有权利被连接。“身份”是验证方式,使他们能够获得成功的授权进行访问。如果用户无处不在、应用程序无处不在,就需要这样一个“边缘保护”平台,才能够更好地执行“零信任”措施。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】