企業(yè)安全：從觸覺(jué)時(shí)代到視覺(jué)時(shí)代

　　筆者認為，基于“觸覺(jué)”的安全投資時(shí)代即將過(guò)去，例如這次WCry事件讓全世界意識到，在勒索軟件面前，事后修補的效果微乎其微，只有全面的安全治理，是未來(lái)的企業(yè)安全方向。

　　企業(yè)安全的“視覺(jué)”時(shí)代，企業(yè)更應把看見(jiàn)威脅／提前預防/全面治理，作為新的原則。其中，全方位／全天候的態(tài)勢感知系統，將成為企業(yè)安全的大腦，幫助企業(yè)洞察／洞悉／洞徹威脅。

　　“態(tài)勢感知”這個(gè)名詞，最早是在軍事領(lǐng)域出現的。在兩次海灣戰爭中，美軍依靠絕對的信息技術(shù)優(yōu)勢，對伊軍行動(dòng)了如指掌。采用精確打擊的方式，對伊軍事目標精準的進(jìn)行摧毀。如今在太空研究，核反應控制、國際關(guān)系等領(lǐng)域，都有態(tài)勢感知的身影。

　　知己知彼，百戰百勝。無(wú)論是軍方／企業(yè)還是機構，對敵方情報存在越多的盲區，就越難合理配比資源、主動(dòng)出擊。而作為一個(gè)幫助企業(yè)“看見(jiàn)”風(fēng)險的大腦，筆者認為態(tài)勢感知的核心能力在于其大數據分析能力和云上威脅情報共享。據了解，態(tài)勢感知每年幫助阿里云用戶(hù)進(jìn)行87萬(wàn)次的安全漏洞修補，平均每天協(xié)助用戶(hù)修補安全漏洞的數量接近2400次。云盾態(tài)勢感知的威脅庫更在以平均每天2萬(wàn)次更新數量在飛速增長(cháng)。

　　下面我們從“洞察”、“洞悉”、“洞徹”三個(gè)方面，對云盾態(tài)勢感知的安全分析能力、應用管理能力以及威脅發(fā)展趨勢預測能力進(jìn)行了評估與分析。

　　企業(yè)如果可以對自身的安全況態(tài)實(shí)時(shí)進(jìn)行洞察、對網(wǎng)絡(luò )威脅動(dòng)態(tài)清晰掌握，自然可以查敵先機，先于對手做好防御工作，甚至主動(dòng)出擊將黑客擒拿歸案，使其接受法律的制裁。那么如何可以對自身應用做到洞察秋毫呢，下面我們從態(tài)勢感知的“感脅”、“弱點(diǎn)”、以及“緊急事件”幾個(gè)部分，來(lái)具體做分析：

　　從海量的正常應用中識別網(wǎng)絡(luò )威脅是安全分析平臺很重要的能力。

　　態(tài)勢感知的威脅分析功能可以對Web攻擊、密碼爆破、撞庫、掃描器等網(wǎng)絡(luò )威脅和異常登錄、非常用IP連接、批量賬號登錄等異常網(wǎng)絡(luò )行為進(jìn)行統計。當態(tài)勢感知對此類(lèi)攻擊查覺(jué)之后，會(huì )向用戶(hù)提供出有針對性的解決方案，便于用戶(hù)及時(shí)對威脅進(jìn)行處理。

　　在威脅分析中，不但可以對常見(jiàn)的普通攻擊進(jìn)行統計，還可以將只針對于某特點(diǎn)用戶(hù)或業(yè)務(wù)的攻擊進(jìn)行記錄。和撒大網(wǎng)一樣的普通攻擊相比，針對性攻擊往往意味著(zhù)黑客已經(jīng)對企業(yè)數據進(jìn)行了“重點(diǎn)關(guān)注”。

　　在這方面，威脅分析可以將黑客最感興趣的資產(chǎn)IP統計出來(lái)，以便于用戶(hù)更加具有針對性的去進(jìn)行防護。當黑客的攻擊行為，不在隱匿在黑暗之中，可以被用戶(hù)極時(shí)的時(shí)行感知，并有針對性的進(jìn)行處理，黑客對企業(yè)的威脅必然也將隨之下降。

　　威脅分析不但可以有效的將用戶(hù)從海量日志分析中解放出來(lái)，直觀(guān)的對攻擊者的IP、攻擊時(shí)間、次數、頻率以及攻擊方式進(jìn)行記錄，協(xié)助用戶(hù)對攻擊者進(jìn)行溯源，以便從根源上解決問(wèn)題之外，更重要的是，這些模型全部運行在云盾的實(shí)時(shí)檢測引擎中，以前做這樣的分析，需要寫(xiě)大段腳本并用離線(xiàn)的方式做大量計算，現在云盾的實(shí)時(shí)引擎可在5分鐘內對黑客歷史的數據進(jìn)行遍歷，以最快的方式分析出最新的網(wǎng)絡(luò )威脅，真正的為用戶(hù)提供了一雙可以及時(shí)對威脅進(jìn)行洞察的雙眼。

　　企業(yè)信息系統中難免會(huì )存在一些舊有，或新出現的系統漏洞。這些弱點(diǎn)問(wèn)題如果不能及時(shí)處理，也會(huì )對系統安全造成威脅。態(tài)勢感知的弱點(diǎn)檢測功能，可以有效的彌補這一短板。

　　弱點(diǎn)功能，不光覆蓋了常見(jiàn)的SQL注入，XSS等awasp定義的各類(lèi)漏洞，還能對互聯(lián)網(wǎng)最新曝光的漏洞進(jìn)行快速掃描外。在漏洞的發(fā)現上，做到快速和準確。

　　此外，弱點(diǎn)檢測功能可以通過(guò)對資產(chǎn)的依賴(lài)關(guān)系，通過(guò)針對漏洞的攻擊識別和攻擊效果（例如有沒(méi)有攻擊成功、WAF是否防御、漏洞是否能直達核心服務(wù)器、是否能拖走數據庫等），對當前漏洞的風(fēng)險進(jìn)行動(dòng)態(tài)評估，并對補丁的下發(fā)，補丁是否需要重啟服務(wù)器等信息做補全，方便客戶(hù)做應急響應和業(yè)務(wù)決策。

　　比如前些天爆發(fā)的全球性勒索軟件事件主因是這個(gè)漏洞： “MS17-010 遠程命令執行漏洞”。用戶(hù)可前往《云盾》-《態(tài)勢感知》-《弱點(diǎn)》查看是否存受影響：

　　當監測到漏洞出現之后，態(tài)勢感知會(huì )及時(shí)向用戶(hù)告警，并提供相應解決方案，協(xié)助用戶(hù)及時(shí)將漏洞進(jìn)行彌補。

　　緊急事件就是客戶(hù)最需要緊急處理的事件！不處理就會(huì )產(chǎn)生資損或業(yè)務(wù)中斷。

　　態(tài)勢感知的緊急事件功能，可以針對頁(yè)面篡改、肉雞行業(yè)、暴力破解成功、后門(mén)、DDoS、非法登陸、異常網(wǎng)絡(luò )連接等多種網(wǎng)絡(luò )威脅行為進(jìn)行感知，并及時(shí)向用戶(hù)進(jìn)行告警。并可對受影響資產(chǎn)信息以及威脅事件進(jìn)行詳細描述，以便于用戶(hù)有針對性的去解決問(wèn)題。

　　緊急事件中，大部分告警都來(lái)自于網(wǎng)絡(luò )，主機，應用，三種不同維度的大數據分析的結果。這里面的核心能力是在于，這三種數據的數據結構完全不同，屬于異構數據，態(tài)勢感知的緊急事件功能，利用云計算的大數據處理能力，能夠在幾分鐘內快速的處理上TB的數量量，并能對各維度的威脅和異常點(diǎn)進(jìn)行關(guān)聯(lián)，最后產(chǎn)出能引起資損的緊急事件。

　　當用戶(hù)接到緊急事件告警后，可以通過(guò)查看報告了解威脅的具體情況，并且可以根據態(tài)勢感知提供的解決方案，對事件妥善進(jìn)行處理。

　　三分防，七分管。一款出色的防護軟件，不但要對威脅及時(shí)察覺(jué)，還應協(xié)助用戶(hù)對正常應用進(jìn)行分析和管理。幫助用戶(hù)了解網(wǎng)絡(luò )系統中有哪些應用最受用戶(hù)關(guān)注，哪些訪(fǎng)問(wèn)是惡意在進(jìn)行灌水，訪(fǎng)問(wèn)流量的高峰會(huì )在何時(shí)出現，系統的業(yè)務(wù)穩定性如何進(jìn)行保障。

　　目前，阿里云云盾的態(tài)勢感知則是基于阿里云的實(shí)時(shí)計算能力，即在大規模云計算環(huán)境中，對那些能夠引發(fā)網(wǎng)絡(luò )安全態(tài)勢發(fā)生變化的要素，進(jìn)行全面、快速和準確地捕獲和分析，最終分析判斷出未來(lái)可能產(chǎn)生的安全事件的威脅風(fēng)險，并提供一個(gè)體系化的安全解決方案。下面，我們就從訪(fǎng)問(wèn)分析、資產(chǎn)控測、業(yè)務(wù)穩定這三方面，再對態(tài)勢感知應用管理能力分析能力進(jìn)行一下了解。

　　在態(tài)勢感知的訪(fǎng)問(wèn)分析功能模塊中，可以對來(lái)訪(fǎng)IP進(jìn)行分別進(jìn)行統計，并且將正常訪(fǎng)問(wèn)IP與惡意訪(fǎng)問(wèn)IP進(jìn)行區分。使用戶(hù)可以了解什么服務(wù)器部署的什么應用最受用戶(hù)關(guān)注，有哪些應用的訪(fǎng)問(wèn)數量過(guò)高，是否需要將其中的業(yè)務(wù)在其它服務(wù)器上進(jìn)行負載均衡。

　　在對正常訪(fǎng)問(wèn)進(jìn)行統計的同時(shí)，訪(fǎng)問(wèn)分析還可以對惡意訪(fǎng)問(wèn)IP進(jìn)行統計，查看進(jìn)行訪(fǎng)問(wèn)的網(wǎng)絡(luò )連接中，是否有惡意灌水的情況出現。從而更加精準的協(xié)助用戶(hù)對業(yè)務(wù)訪(fǎng)問(wèn)情況進(jìn)行判斷。從而保障用戶(hù)網(wǎng)絡(luò )業(yè)務(wù)穩定高效的進(jìn)行運營(yíng)。

　　當用戶(hù)在云計算系統中的應用增長(cháng)至一定規模之后，對這些資產(chǎn)的運營(yíng)管理問(wèn)題將逐漸開(kāi)始顯現：哪些應用開(kāi)放了什么樣的端口？對應著(zhù)什么樣的域名？是否存在著(zhù)未進(jìn)行修補的漏洞？態(tài)勢感知的資產(chǎn)探測功能可能有效的協(xié)助用戶(hù)進(jìn)行這方面的管理。

　　在資產(chǎn)探測模塊中，可以直觀(guān)的對服務(wù)器IP、操作系統版本、使用軟件、開(kāi)放端口個(gè)數進(jìn)行了解，并可以在查看詳情中進(jìn)一步對開(kāi)放的端口號、是否存在弱點(diǎn)漏洞進(jìn)行查看。從而便于用戶(hù)對當前網(wǎng)絡(luò )資產(chǎn)進(jìn)行更加有效的監管。在減少漏洞的同時(shí)，對企業(yè)網(wǎng)絡(luò )業(yè)務(wù)進(jìn)行統一規劃。

　　http://click.aliyun.com/m/10713——態(tài)勢感知產(chǎn)品詳情頁(yè)

　　網(wǎng)絡(luò )業(yè)務(wù)的穩定運營(yíng)，需要對全網(wǎng)的網(wǎng)絡(luò )狀況有一個(gè)全局的掌握。網(wǎng)絡(luò )的業(yè)務(wù)響應時(shí)延，是評價(jià)業(yè)務(wù)狀態(tài)的一個(gè)最直觀(guān)的技術(shù)指標。

　　在態(tài)勢感知可視化大屏的“業(yè)務(wù)穩定性監控”中，可以對全國各地網(wǎng)絡(luò )業(yè)務(wù)的響應時(shí)延，進(jìn)行實(shí)時(shí)的查看。并將國內重點(diǎn)城市、響應最快與最慢的地區電信服務(wù)商以圖文的形式提供了出來(lái)，極大方便了用戶(hù)對于網(wǎng)絡(luò )運營(yíng)狀態(tài)的全局掌控。

　　對風(fēng)險進(jìn)行預判，將威脅消滅在萌芽之中，這確實(shí)可以稱(chēng)得上是安全防護的最高境界。但是安全的風(fēng)險需要如何進(jìn)行預判？威脅信息又應當如何進(jìn)行采集、分析？在海量的日志和頻發(fā)的威脅告警中如何對有效信息進(jìn)行判定？有很多SIEM（安全信息與事件管理）工具也在進(jìn)行著(zhù)日志審計類(lèi)的工作，但其效果往往是亡羊補牢，對于當前主流的“0 day”等新發(fā)網(wǎng)絡(luò )威脅，基本上無(wú)能為力。防患于未然對于網(wǎng)絡(luò )安全而言，更多的是一種美好的夢(mèng)想。

　　企業(yè)要想求追求網(wǎng)絡(luò )業(yè)務(wù)的良性發(fā)展，就必須對業(yè)務(wù)發(fā)展和威脅趨勢進(jìn)行準確判斷。

　　對于小微企業(yè)和個(gè)人用戶(hù)而言，一個(gè)安全事件告警就可以滿(mǎn)足用戶(hù)的防護需求。而有一定服務(wù)器規模的用戶(hù)，還需要有對緊急事件和威脅分析能力、漏洞掃描以及系統脆弱點(diǎn)進(jìn)行監控的能力。但是對于一些上規模的企業(yè)而言，就需要具備實(shí)時(shí)可視化的業(yè)務(wù)與威脅感知能力。下面我們就來(lái)看一下，云盾態(tài)勢感知是如何通過(guò)10塊可視化的大屏界面與高效全面的情報分析能力，來(lái)協(xié)助用戶(hù)實(shí)時(shí)對業(yè)務(wù)和威脅進(jìn)行感知的。

　　態(tài)勢感知為用戶(hù)提供了10塊可視化的實(shí)時(shí)監控大屏，通過(guò)可視化的方式，實(shí)時(shí)的對業(yè)務(wù)運營(yíng)狀態(tài)、安全態(tài)勢、業(yè)務(wù)訪(fǎng)問(wèn)狀況等多種信息進(jìn)行分析，并以圖形化的方式實(shí)時(shí)的展現到客戶(hù)面前。從而協(xié)助用戶(hù)對企業(yè)業(yè)務(wù)進(jìn)行管理，對威脅狀態(tài)進(jìn)行預判，保障企業(yè)網(wǎng)絡(luò )應用業(yè)務(wù)的穩定運營(yíng)。

　　態(tài)勢感知系統，并不是一個(gè)簡(jiǎn)單的圖形化管理界面，在它的背后是由阿里云的大數據安全分析平臺進(jìn)行支撐。態(tài)勢感知系統通過(guò)對資產(chǎn)、自然、情報三大類(lèi)二十余種數據的采集，對資產(chǎn)等級劃分、漏洞/隱患分析，對攻擊和異常行為的感知、對業(yè)務(wù)風(fēng)險的評估，以及對入侵過(guò)程的回溯、惡意行為的回溯乃至于對黑客身份的定位等多種嚴密的分析形式，有效的協(xié)助企業(yè)解決因黑客攻擊導致企業(yè)數據泄露問(wèn)題的出現。

　　態(tài)勢感知的分析系統會(huì )自動(dòng)化的實(shí)時(shí)進(jìn)行百億級日志分析。依靠機器學(xué)習和建模算法，黑客攻擊的下一步行動(dòng)點(diǎn)，都可以被預測，并讓防御提前發(fā)生。并且態(tài)勢感知具有對每個(gè)安全事件，在攻擊前后一定時(shí)間內的原始日志數據分析檢索能力，可以通過(guò)威脅模型自動(dòng)化分析和還原黑客攻擊全過(guò)程，對入侵原因進(jìn)行回溯，幫助找到“幕后的人”。

　　全量日志的采集和TB級大數據量的處理，一直是運維團隊日常比較繁重的工作，現在態(tài)勢感知利用了云的資源優(yōu)勢，和大數據處理能力，幫客戶(hù)自動(dòng)采集了云上全業(yè)務(wù)的網(wǎng)絡(luò )流量HTTP請求日志（in，out方向），session五元組日志（全端口網(wǎng)絡(luò )連接五元組），并能對15分鐘前的全量日志進(jìn)行邏輯檢索，支持布爾表達式，如包含，不包含，等于，不等于，大于，小于，等邏輯。方便客戶(hù)，對安全事件，或網(wǎng)絡(luò )異常，進(jìn)行日志查詢(xún)和關(guān)聯(lián)分析，更快更準更便捷的精準定位問(wèn)題原因

　　對一兩家用戶(hù)進(jìn)行態(tài)勢感知分析可能并不困難，難就難在要對阿里云上11萬(wàn)以上的企業(yè)用戶(hù)所使用的云主機來(lái)實(shí)時(shí)進(jìn)行分析。云盾態(tài)勢感知系統要采集主機端數據、網(wǎng)絡(luò )邊界數據、網(wǎng)絡(luò )空間威脅情報數據。為了應對如此龐大，以PB級來(lái)計算的數據分析，阿里云開(kāi)發(fā)出了通過(guò)大數據分析和流式計算的智能化安全體系。客戶(hù)可根據自己業(yè)務(wù)環(huán)境，從30多種機器學(xué)習算法和模型中，自如選擇適于自身需求的數據進(jìn)行分析。

　　通過(guò)對這些數據的分析，用戶(hù)在面對惡意攻擊時(shí)，不但具備了可以觀(guān)察秋毫的雙眼，還具備了可以明辨是非的大腦。從而可以有效對攻擊的黑客進(jìn)行溯源，使得用戶(hù)在面對黑客攻擊的時(shí)候，不但能夠有效的組織防御，還有了可以進(jìn)行反擊的辦法。