企業(yè)安全：從觸覺時(shí)代到視覺時(shí)代

　　筆者認(rèn)為，基于“觸覺”的安全投資時(shí)代即將過去，例如這次WCry事件讓全世界意識(shí)到，在勒索軟件面前，事后修補(bǔ)的效果微乎其微，只有全面的安全治理，是未來的企業(yè)安全方向。

　　企業(yè)安全的“視覺”時(shí)代，企業(yè)更應(yīng)把看見威脅／提前預(yù)防/全面治理，作為新的原則。其中，全方位／全天候的態(tài)勢(shì)感知系統(tǒng)，將成為企業(yè)安全的大腦，幫助企業(yè)洞察／洞悉／洞徹威脅。

　　“態(tài)勢(shì)感知”這個(gè)名詞，最早是在軍事領(lǐng)域出現(xiàn)的。在兩次海灣戰(zhàn)爭(zhēng)中，美軍依靠絕對(duì)的信息技術(shù)優(yōu)勢(shì)，對(duì)伊軍行動(dòng)了如指掌。采用精確打擊的方式，對(duì)伊軍事目標(biāo)精準(zhǔn)的進(jìn)行摧毀。如今在太空研究，核反應(yīng)控制、國(guó)際關(guān)系等領(lǐng)域，都有態(tài)勢(shì)感知的身影。

　　知己知彼，百戰(zhàn)百勝。無論是軍方／企業(yè)還是機(jī)構(gòu)，對(duì)敵方情報(bào)存在越多的盲區(qū)，就越難合理配比資源、主動(dòng)出擊。而作為一個(gè)幫助企業(yè)“看見”風(fēng)險(xiǎn)的大腦，筆者認(rèn)為態(tài)勢(shì)感知的核心能力在于其大數(shù)據(jù)分析能力和云上威脅情報(bào)共享。據(jù)了解，態(tài)勢(shì)感知每年幫助阿里云用戶進(jìn)行87萬次的安全漏洞修補(bǔ)，平均每天協(xié)助用戶修補(bǔ)安全漏洞的數(shù)量接近2400次。云盾態(tài)勢(shì)感知的威脅庫(kù)更在以平均每天2萬次更新數(shù)量在飛速增長(zhǎng)。

　　下面我們從“洞察”、“洞悉”、“洞徹”三個(gè)方面，對(duì)云盾態(tài)勢(shì)感知的安全分析能力、應(yīng)用管理能力以及威脅發(fā)展趨勢(shì)預(yù)測(cè)能力進(jìn)行了評(píng)估與分析。

　　企業(yè)如果可以對(duì)自身的安全況態(tài)實(shí)時(shí)進(jìn)行洞察、對(duì)網(wǎng)絡(luò)威脅動(dòng)態(tài)清晰掌握，自然可以查敵先機(jī)，先于對(duì)手做好防御工作，甚至主動(dòng)出擊將黑客擒拿歸案，使其接受法律的制裁。那么如何可以對(duì)自身應(yīng)用做到洞察秋毫呢，下面我們從態(tài)勢(shì)感知的“感脅”、“弱點(diǎn)”、以及“緊急事件”幾個(gè)部分，來具體做分析：

　　從海量的正常應(yīng)用中識(shí)別網(wǎng)絡(luò)威脅是安全分析平臺(tái)很重要的能力。

　　態(tài)勢(shì)感知的威脅分析功能可以對(duì)Web攻擊、密碼爆破、撞庫(kù)、掃描器等網(wǎng)絡(luò)威脅和異常登錄、非常用IP連接、批量賬號(hào)登錄等異常網(wǎng)絡(luò)行為進(jìn)行統(tǒng)計(jì)。當(dāng)態(tài)勢(shì)感知對(duì)此類攻擊查覺之后，會(huì)向用戶提供出有針對(duì)性的解決方案，便于用戶及時(shí)對(duì)威脅進(jìn)行處理。

　　在威脅分析中，不但可以對(duì)常見的普通攻擊進(jìn)行統(tǒng)計(jì)，還可以將只針對(duì)于某特點(diǎn)用戶或業(yè)務(wù)的攻擊進(jìn)行記錄。和撒大網(wǎng)一樣的普通攻擊相比，針對(duì)性攻擊往往意味著黑客已經(jīng)對(duì)企業(yè)數(shù)據(jù)進(jìn)行了“重點(diǎn)關(guān)注”。

　　在這方面，威脅分析可以將黑客最感興趣的資產(chǎn)IP統(tǒng)計(jì)出來，以便于用戶更加具有針對(duì)性的去進(jìn)行防護(hù)。當(dāng)黑客的攻擊行為，不在隱匿在黑暗之中，可以被用戶極時(shí)的時(shí)行感知，并有針對(duì)性的進(jìn)行處理，黑客對(duì)企業(yè)的威脅必然也將隨之下降。

　　威脅分析不但可以有效的將用戶從海量日志分析中解放出來，直觀的對(duì)攻擊者的IP、攻擊時(shí)間、次數(shù)、頻率以及攻擊方式進(jìn)行記錄，協(xié)助用戶對(duì)攻擊者進(jìn)行溯源，以便從根源上解決問題之外，更重要的是，這些模型全部運(yùn)行在云盾的實(shí)時(shí)檢測(cè)引擎中，以前做這樣的分析，需要寫大段腳本并用離線的方式做大量計(jì)算，現(xiàn)在云盾的實(shí)時(shí)引擎可在5分鐘內(nèi)對(duì)黑客歷史的數(shù)據(jù)進(jìn)行遍歷，以最快的方式分析出最新的網(wǎng)絡(luò)威脅，真正的為用戶提供了一雙可以及時(shí)對(duì)威脅進(jìn)行洞察的雙眼。

　　企業(yè)信息系統(tǒng)中難免會(huì)存在一些舊有，或新出現(xiàn)的系統(tǒng)漏洞。這些弱點(diǎn)問題如果不能及時(shí)處理，也會(huì)對(duì)系統(tǒng)安全造成威脅。態(tài)勢(shì)感知的弱點(diǎn)檢測(cè)功能，可以有效的彌補(bǔ)這一短板。

　　弱點(diǎn)功能，不光覆蓋了常見的SQL注入，XSS等awasp定義的各類漏洞，還能對(duì)互聯(lián)網(wǎng)最新曝光的漏洞進(jìn)行快速掃描外。在漏洞的發(fā)現(xiàn)上，做到快速和準(zhǔn)確。

　　此外，弱點(diǎn)檢測(cè)功能可以通過對(duì)資產(chǎn)的依賴關(guān)系，通過針對(duì)漏洞的攻擊識(shí)別和攻擊效果（例如有沒有攻擊成功、WAF是否防御、漏洞是否能直達(dá)核心服務(wù)器、是否能拖走數(shù)據(jù)庫(kù)等），對(duì)當(dāng)前漏洞的風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)評(píng)估，并對(duì)補(bǔ)丁的下發(fā)，補(bǔ)丁是否需要重啟服務(wù)器等信息做補(bǔ)全，方便客戶做應(yīng)急響應(yīng)和業(yè)務(wù)決策。

　　比如前些天爆發(fā)的全球性勒索軟件事件主因是這個(gè)漏洞： “MS17-010 遠(yuǎn)程命令執(zhí)行漏洞”。用戶可前往《云盾》-《態(tài)勢(shì)感知》-《弱點(diǎn)》查看是否存受影響：

　　當(dāng)監(jiān)測(cè)到漏洞出現(xiàn)之后，態(tài)勢(shì)感知會(huì)及時(shí)向用戶告警，并提供相應(yīng)解決方案，協(xié)助用戶及時(shí)將漏洞進(jìn)行彌補(bǔ)。

　　緊急事件就是客戶最需要緊急處理的事件！不處理就會(huì)產(chǎn)生資損或業(yè)務(wù)中斷。

　　態(tài)勢(shì)感知的緊急事件功能，可以針對(duì)頁(yè)面篡改、肉雞行業(yè)、暴力破解成功、后門、DDoS、非法登陸、異常網(wǎng)絡(luò)連接等多種網(wǎng)絡(luò)威脅行為進(jìn)行感知，并及時(shí)向用戶進(jìn)行告警。并可對(duì)受影響資產(chǎn)信息以及威脅事件進(jìn)行詳細(xì)描述，以便于用戶有針對(duì)性的去解決問題。

　　緊急事件中，大部分告警都來自于網(wǎng)絡(luò)，主機(jī)，應(yīng)用，三種不同維度的大數(shù)據(jù)分析的結(jié)果。這里面的核心能力是在于，這三種數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)完全不同，屬于異構(gòu)數(shù)據(jù)，態(tài)勢(shì)感知的緊急事件功能，利用云計(jì)算的大數(shù)據(jù)處理能力，能夠在幾分鐘內(nèi)快速的處理上TB的數(shù)量量，并能對(duì)各維度的威脅和異常點(diǎn)進(jìn)行關(guān)聯(lián)，最后產(chǎn)出能引起資損的緊急事件。

　　當(dāng)用戶接到緊急事件告警后，可以通過查看報(bào)告了解威脅的具體情況，并且可以根據(jù)態(tài)勢(shì)感知提供的解決方案，對(duì)事件妥善進(jìn)行處理。

　　三分防，七分管。一款出色的防護(hù)軟件，不但要對(duì)威脅及時(shí)察覺，還應(yīng)協(xié)助用戶對(duì)正常應(yīng)用進(jìn)行分析和管理。幫助用戶了解網(wǎng)絡(luò)系統(tǒng)中有哪些應(yīng)用最受用戶關(guān)注，哪些訪問是惡意在進(jìn)行灌水，訪問流量的高峰會(huì)在何時(shí)出現(xiàn)，系統(tǒng)的業(yè)務(wù)穩(wěn)定性如何進(jìn)行保障。

　　目前，阿里云云盾的態(tài)勢(shì)感知?jiǎng)t是基于阿里云的實(shí)時(shí)計(jì)算能力，即在大規(guī)模云計(jì)算環(huán)境中，對(duì)那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)生變化的要素，進(jìn)行全面、快速和準(zhǔn)確地捕獲和分析，最終分析判斷出未來可能產(chǎn)生的安全事件的威脅風(fēng)險(xiǎn)，并提供一個(gè)體系化的安全解決方案。下面，我們就從訪問分析、資產(chǎn)控測(cè)、業(yè)務(wù)穩(wěn)定這三方面，再對(duì)態(tài)勢(shì)感知應(yīng)用管理能力分析能力進(jìn)行一下了解。

　　在態(tài)勢(shì)感知的訪問分析功能模塊中，可以對(duì)來訪IP進(jìn)行分別進(jìn)行統(tǒng)計(jì)，并且將正常訪問IP與惡意訪問IP進(jìn)行區(qū)分。使用戶可以了解什么服務(wù)器部署的什么應(yīng)用最受用戶關(guān)注，有哪些應(yīng)用的訪問數(shù)量過高，是否需要將其中的業(yè)務(wù)在其它服務(wù)器上進(jìn)行負(fù)載均衡。

　　在對(duì)正常訪問進(jìn)行統(tǒng)計(jì)的同時(shí)，訪問分析還可以對(duì)惡意訪問IP進(jìn)行統(tǒng)計(jì)，查看進(jìn)行訪問的網(wǎng)絡(luò)連接中，是否有惡意灌水的情況出現(xiàn)。從而更加精準(zhǔn)的協(xié)助用戶對(duì)業(yè)務(wù)訪問情況進(jìn)行判斷。從而保障用戶網(wǎng)絡(luò)業(yè)務(wù)穩(wěn)定高效的進(jìn)行運(yùn)營(yíng)。

　　當(dāng)用戶在云計(jì)算系統(tǒng)中的應(yīng)用增長(zhǎng)至一定規(guī)模之后，對(duì)這些資產(chǎn)的運(yùn)營(yíng)管理問題將逐漸開始顯現(xiàn)：哪些應(yīng)用開放了什么樣的端口？對(duì)應(yīng)著什么樣的域名？是否存在著未進(jìn)行修補(bǔ)的漏洞？態(tài)勢(shì)感知的資產(chǎn)探測(cè)功能可能有效的協(xié)助用戶進(jìn)行這方面的管理。

　　在資產(chǎn)探測(cè)模塊中，可以直觀的對(duì)服務(wù)器IP、操作系統(tǒng)版本、使用軟件、開放端口個(gè)數(shù)進(jìn)行了解，并可以在查看詳情中進(jìn)一步對(duì)開放的端口號(hào)、是否存在弱點(diǎn)漏洞進(jìn)行查看。從而便于用戶對(duì)當(dāng)前網(wǎng)絡(luò)資產(chǎn)進(jìn)行更加有效的監(jiān)管。在減少漏洞的同時(shí)，對(duì)企業(yè)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行統(tǒng)一規(guī)劃。

　　http://click.aliyun.com/m/10713——態(tài)勢(shì)感知產(chǎn)品詳情頁(yè)

　　網(wǎng)絡(luò)業(yè)務(wù)的穩(wěn)定運(yùn)營(yíng)，需要對(duì)全網(wǎng)的網(wǎng)絡(luò)狀況有一個(gè)全局的掌握。網(wǎng)絡(luò)的業(yè)務(wù)響應(yīng)時(shí)延，是評(píng)價(jià)業(yè)務(wù)狀態(tài)的一個(gè)最直觀的技術(shù)指標(biāo)。

　　在態(tài)勢(shì)感知可視化大屏的“業(yè)務(wù)穩(wěn)定性監(jiān)控”中，可以對(duì)全國(guó)各地網(wǎng)絡(luò)業(yè)務(wù)的響應(yīng)時(shí)延，進(jìn)行實(shí)時(shí)的查看。并將國(guó)內(nèi)重點(diǎn)城市、響應(yīng)最快與最慢的地區(qū)電信服務(wù)商以圖文的形式提供了出來，極大方便了用戶對(duì)于網(wǎng)絡(luò)運(yùn)營(yíng)狀態(tài)的全局掌控。

　　對(duì)風(fēng)險(xiǎn)進(jìn)行預(yù)判，將威脅消滅在萌芽之中，這確實(shí)可以稱得上是安全防護(hù)的最高境界。但是安全的風(fēng)險(xiǎn)需要如何進(jìn)行預(yù)判？威脅信息又應(yīng)當(dāng)如何進(jìn)行采集、分析？在海量的日志和頻發(fā)的威脅告警中如何對(duì)有效信息進(jìn)行判定？有很多SIEM（安全信息與事件管理）工具也在進(jìn)行著日志審計(jì)類的工作，但其效果往往是亡羊補(bǔ)牢，對(duì)于當(dāng)前主流的“0 day”等新發(fā)網(wǎng)絡(luò)威脅，基本上無能為力。防患于未然對(duì)于網(wǎng)絡(luò)安全而言，更多的是一種美好的夢(mèng)想。

　　企業(yè)要想求追求網(wǎng)絡(luò)業(yè)務(wù)的良性發(fā)展，就必須對(duì)業(yè)務(wù)發(fā)展和威脅趨勢(shì)進(jìn)行準(zhǔn)確判斷。

　　對(duì)于小微企業(yè)和個(gè)人用戶而言，一個(gè)安全事件告警就可以滿足用戶的防護(hù)需求。而有一定服務(wù)器規(guī)模的用戶，還需要有對(duì)緊急事件和威脅分析能力、漏洞掃描以及系統(tǒng)脆弱點(diǎn)進(jìn)行監(jiān)控的能力。但是對(duì)于一些上規(guī)模的企業(yè)而言，就需要具備實(shí)時(shí)可視化的業(yè)務(wù)與威脅感知能力。下面我們就來看一下，云盾態(tài)勢(shì)感知是如何通過10塊可視化的大屏界面與高效全面的情報(bào)分析能力，來協(xié)助用戶實(shí)時(shí)對(duì)業(yè)務(wù)和威脅進(jìn)行感知的。

　　態(tài)勢(shì)感知為用戶提供了10塊可視化的實(shí)時(shí)監(jiān)控大屏，通過可視化的方式，實(shí)時(shí)的對(duì)業(yè)務(wù)運(yùn)營(yíng)狀態(tài)、安全態(tài)勢(shì)、業(yè)務(wù)訪問狀況等多種信息進(jìn)行分析，并以圖形化的方式實(shí)時(shí)的展現(xiàn)到客戶面前。從而協(xié)助用戶對(duì)企業(yè)業(yè)務(wù)進(jìn)行管理，對(duì)威脅狀態(tài)進(jìn)行預(yù)判，保障企業(yè)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的穩(wěn)定運(yùn)營(yíng)。

　　態(tài)勢(shì)感知系統(tǒng)，并不是一個(gè)簡(jiǎn)單的圖形化管理界面，在它的背后是由阿里云的大數(shù)據(jù)安全分析平臺(tái)進(jìn)行支撐。態(tài)勢(shì)感知系統(tǒng)通過對(duì)資產(chǎn)、自然、情報(bào)三大類二十余種數(shù)據(jù)的采集，對(duì)資產(chǎn)等級(jí)劃分、漏洞/隱患分析，對(duì)攻擊和異常行為的感知、對(duì)業(yè)務(wù)風(fēng)險(xiǎn)的評(píng)估，以及對(duì)入侵過程的回溯、惡意行為的回溯乃至于對(duì)黑客身份的定位等多種嚴(yán)密的分析形式，有效的協(xié)助企業(yè)解決因黑客攻擊導(dǎo)致企業(yè)數(shù)據(jù)泄露問題的出現(xiàn)。

　　態(tài)勢(shì)感知的分析系統(tǒng)會(huì)自動(dòng)化的實(shí)時(shí)進(jìn)行百億級(jí)日志分析。依靠機(jī)器學(xué)習(xí)和建模算法，黑客攻擊的下一步行動(dòng)點(diǎn)，都可以被預(yù)測(cè)，并讓防御提前發(fā)生。并且態(tài)勢(shì)感知具有對(duì)每個(gè)安全事件，在攻擊前后一定時(shí)間內(nèi)的原始日志數(shù)據(jù)分析檢索能力，可以通過威脅模型自動(dòng)化分析和還原黑客攻擊全過程，對(duì)入侵原因進(jìn)行回溯，幫助找到“幕后的人”。

　　全量日志的采集和TB級(jí)大數(shù)據(jù)量的處理，一直是運(yùn)維團(tuán)隊(duì)日常比較繁重的工作，現(xiàn)在態(tài)勢(shì)感知利用了云的資源優(yōu)勢(shì)，和大數(shù)據(jù)處理能力，幫客戶自動(dòng)采集了云上全業(yè)務(wù)的網(wǎng)絡(luò)流量HTTP請(qǐng)求日志（in，out方向），session五元組日志（全端口網(wǎng)絡(luò)連接五元組），并能對(duì)15分鐘前的全量日志進(jìn)行邏輯檢索，支持布爾表達(dá)式，如包含，不包含，等于，不等于，大于，小于，等邏輯。方便客戶，對(duì)安全事件，或網(wǎng)絡(luò)異常，進(jìn)行日志查詢和關(guān)聯(lián)分析，更快更準(zhǔn)更便捷的精準(zhǔn)定位問題原因

　　對(duì)一兩家用戶進(jìn)行態(tài)勢(shì)感知分析可能并不困難，難就難在要對(duì)阿里云上11萬以上的企業(yè)用戶所使用的云主機(jī)來實(shí)時(shí)進(jìn)行分析。云盾態(tài)勢(shì)感知系統(tǒng)要采集主機(jī)端數(shù)據(jù)、網(wǎng)絡(luò)邊界數(shù)據(jù)、網(wǎng)絡(luò)空間威脅情報(bào)數(shù)據(jù)。為了應(yīng)對(duì)如此龐大，以PB級(jí)來計(jì)算的數(shù)據(jù)分析，阿里云開發(fā)出了通過大數(shù)據(jù)分析和流式計(jì)算的智能化安全體系�？蛻艨筛鶕�(jù)自己業(yè)務(wù)環(huán)境，從30多種機(jī)器學(xué)習(xí)算法和模型中，自如選擇適于自身需求的數(shù)據(jù)進(jìn)行分析。

　　通過對(duì)這些數(shù)據(jù)的分析，用戶在面對(duì)惡意攻擊時(shí)，不但具備了可以觀察秋毫的雙眼，還具備了可以明辨是非的大腦。從而可以有效對(duì)攻擊的黑客進(jìn)行溯源，使得用戶在面對(duì)黑客攻擊的時(shí)候，不但能夠有效的組織防御，還有了可以進(jìn)行反擊的辦法。