企業安全：從觸覺時代到視覺時代

——阿里云云盾態勢感知測評至頂網 董培欣

如今網路安全的「投入」前提，往往是觸覺。在安全事件發生之後，「痛感」成了激發安全防護意識的基礎。而看見威脅的「視覺」能力往往被人忽視。

筆者認為，基於「觸覺」的安全投資時代即將過去，例如這次WCry事件讓全世界意識到，在勒索軟體面前，事後修補的效果微乎其微，只有全面的安全治理，是未來的企業安全方向。

企業安全的「視覺」時代，企業更應把看見威脅／提前預防/全面治理，作為新的原則。其中，全方位／全天候的態勢感知系統，將成為企業安全的大腦，幫助企業洞察／洞悉／洞徹威脅。

「態勢感知」這個名詞，最早是在軍事領域出現的。在兩次海灣戰爭中，美軍依靠絕對的信息技術優勢，對伊軍行動了如指掌。採用精確打擊的方式，對伊軍事目標精準的進行摧毀。如今在太空研究，核反應控制、國際關係等領域，都有態勢感知的身影。

知己知彼，百戰百勝。無論是軍方／企業還是機構，對敵方情報存在越多的盲區，就越難合理配比資源、主動出擊。而作為一個幫助企業「看見」風險的大腦，筆者認為態勢感知的核心能力在於其大數據分析能力和雲上威脅情報共享。據了解，態勢感知每年幫助阿里雲用戶進行87萬次的安全漏洞修補，平均每天協助用戶修補安全漏洞的數量接近2400次。雲盾態勢感知的威脅庫更在以平均每天2萬次更新數量在飛速增長。

下面我們從「洞察」、「洞悉」、「洞徹」三個方面，對雲盾態勢感知的安全分析能力、應用管理能力以及威脅發展趨勢預測能力進行了評估與分析。

企業如果可以對自身的安全況態實時進行洞察、對網路威脅動態清晰掌握，自然可以查敵先機，先於對手做好防禦工作，甚至主動出擊將黑客擒拿歸案，使其接受法律的制裁。那麼如何可以對自身應用做到洞察秋毫呢，下面我們從態勢感知的「感脅」、「弱點」、以及「緊急事件」幾個部分，來具體做分析：

威脅分析

從海量的正常應用中識別網路威脅是安全分析平台很重要的能力。

態勢感知的威脅分析功能可以對Web攻擊、密碼爆破、撞庫、掃描器等網路威脅和異常登錄、非常用IP連接、批量賬號登錄等異常網路行為進行統計。當態勢感知對此類攻擊查覺之後，會向用戶提供出有針對性的解決方案，便於用戶及時對威脅進行處理。

在威脅分析中，不但可以對常見的普通攻擊進行統計，還可以將只針對於某特點用戶或業務的攻擊進行記錄。和撒大網一樣的普通攻擊相比，針對性攻擊往往意味著黑客已經對企業數據進行了「重點關注」。

在這方面，威脅分析可以將黑客最感興趣的資產IP統計出來，以便於用戶更加具有針對性的去進行防護。當黑客的攻擊行為，不在隱匿在黑暗之中，可以被用戶極時的時行感知，並有針對性的進行處理，黑客對企業的威脅必然也將隨之下降。

威脅分析不但可以有效的將用戶從海量日誌分析中解放出來，直觀的對攻擊者的IP、攻擊時間、次數、頻率以及攻擊方式進行記錄，協助用戶對攻擊者進行溯源，以便從根源上解決問題之外，更重要的是，這些模型全部運行在雲盾的實時檢測引擎中，以前做這樣的分析，需要寫大段腳本並用離線的方式做大量計算，現在雲盾的實時引擎可在5分鐘內對黑客歷史的數據進行遍歷，以最快的方式分析出最新的網路威脅，真正的為用戶提供了一雙可以及時對威脅進行洞察的雙眼。

弱點檢測

企業信息系統中難免會存在一些舊有，或新出現的系統漏洞。這些弱點問題如果不能及時處理，也會對系統安全造成威脅。態勢感知的弱點檢測功能，可以有效的彌補這一短板。

弱點功能，不光覆蓋了常見的SQL注入，XSS等awasp定義的各類漏洞，還能對互聯網最新曝光的漏洞進行快速掃描外。在漏洞的發現上，做到快速和準確。

此外，弱點檢測功能可以通過對資產的依賴關係，通過針對漏洞的攻擊識別和攻擊效果（例如有沒有攻擊成功、WAF是否防禦、漏洞是否能直達核心伺服器、是否能拖走資料庫等），對當前漏洞的風險進行動態評估，並對補丁的下發，補丁是否需要重啟伺服器等信息做補全，方便客戶做應急響應和業務決策。

比如前些天爆發的全球性勒索軟體事件主因是這個漏洞： 「MS17-010 遠程命令執行漏洞」。用戶可前往《雲盾》-《態勢感知》-《弱點》查看是否存受影響：

當監測到漏洞出現之後，態勢感知會及時向用戶告警，並提供相應解決方案，協助用戶及時將漏洞進行彌補。

緊急事件

緊急事件就是客戶最需要緊急處理的事件！不處理就會產生資損或業務中斷。

態勢感知的緊急事件功能，可以針對頁面篡改、肉雞行業、暴力破解成功、後門、DDoS、非法登陸、異常網路連接等多種網路威脅行為進行感知，並及時向用戶進行告警。並可對受影響資產信息以及威脅事件進行詳細描述，以便於用戶有針對性的去解決問題。

緊急事件中，大部分告警都來自於網路，主機，應用，三種不同維度的大數據分析的結果。這裡面的核心能力是在於，這三種數據的數據結構完全不同，屬於異構數據，態勢感知的緊急事件功能，利用雲計算的大數據處理能力，能夠在幾分鐘內快速的處理上TB的數量量，並能對各維度的威脅和異常點進行關聯，最後產出能引起資損的緊急事件。

當用戶接到緊急事件告警後，可以通過查看報告了解威脅的具體情況，並且可以根據態勢感知提供的解決方案，對事件妥善進行處理。

三分防，七分管。一款出色的防護軟體，不但要對威脅及時察覺，還應協助用戶對正常應用進行分析和管理。幫助用戶了解網路系統中有哪些應用最受用戶關注，哪些訪問是惡意在進行灌水，訪問流量的高峰會在何時出現，系統的業務穩定性如何進行保障。

目前，阿里云云盾的態勢感知則是基於阿里雲的實時計算能力，即在大規模雲計算環境中，對那些能夠引發網路安全態勢發生變化的要素，進行全面、快速和準確地捕獲和分析，最終分析判斷出未來可能產生的安全事件的威脅風險，並提供一個體系化的安全解決方案。下面，我們就從訪問分析、資產控測、業務穩定這三方面，再對態勢感知應用管理能力分析能力進行一下了解。

訪問分析

在態勢感知的訪問分析功能模塊中，可以對來訪IP進行分別進行統計，並且將正常訪問IP與惡意訪問IP進行區分。使用戶可以了解什麼伺服器部署的什麼應用最受用戶關注，有哪些應用的訪問數量過高，是否需要將其中的業務在其它伺服器上進行負載均衡。

在對正常訪問進行統計的同時，訪問分析還可以對惡意訪問IP進行統計，查看進行訪問的網路連接中，是否有惡意灌水的情況出現。從而更加精準的協助用戶對業務訪問情況進行判斷。從而保障用戶網路業務穩定高效的進行運營。

資產探測

當用戶在雲計算系統中的應用增長至一定規模之後，對這些資產的運營管理問題將逐漸開始顯現：哪些應用開放了什麼樣的埠？對應著什麼樣的域名？是否存在著未進行修補的漏洞？態勢感知的資產探測功能可能有效的協助用戶進行這方面的管理。

在資產探測模塊中，可以直觀的對伺服器IP、操作系統版本、使用軟體、開放埠個數進行了解，並可以在查看詳情中進一步對開放的埠號、是否存在弱點漏洞進行查看。從而便於用戶對當前網路資產進行更加有效的監管。在減少漏洞的同時，對企業網路業務進行統一規劃。

業務穩定

網路業務的穩定運營，需要對全網的網路狀況有一個全局的掌握。網路的業務響應時延，是評價業務狀態的一個最直觀的技術指標。

在態勢感知可視化大屏的「業務穩定性監控」中，可以對全國各地網路業務的響應時延，進行實時的查看。並將國內重點城市、響應最快與最慢的地區電信服務商以圖文的形式提供了出來，極大方便了用戶對於網路運營狀態的全局掌控。

對風險進行預判，將威脅消滅在萌芽之中，這確實可以稱得上是安全防護的最高境界。但是安全的風險需要如何進行預判？威脅信息又應當如何進行採集、分析？在海量的日誌和頻發的威脅告警中如何對有效信息進行判定？有很多SIEM（安全信息與事件管理）工具也在進行著日誌審計類的工作，但其效果往往是亡羊補牢，對於當前主流的「0 day」等新發網路威脅，基本上無能為力。防患於未然對於網路安全而言，更多的是一種美好的夢想。

企業要想求追求網路業務的良性發展，就必須對業務發展和威脅趨勢進行準確判斷。

對於小微企業和個人用戶而言，一個安全事件告警就可以滿足用戶的防護需求。而有一定伺服器規模的用戶，還需要有對緊急事件和威脅分析能力、漏洞掃描以及系統脆弱點進行監控的能力。但是對於一些上規模的企業而言，就需要具備實時可視化的業務與威脅感知能力。下面我們就來看一下，雲盾態勢感知是如何通過10塊可視化的大屏界面與高效全面的情報分析能力，來協助用戶實時對業務和威脅進行感知的。

可視化大屏

態勢感知為用戶提供了10塊可視化的實時監控大屏，通過可視化的方式，實時的對業務運營狀態、安全態勢、業務訪問狀況等多種信息進行分析，並以圖形化的方式實時的展現到客戶面前。從而協助用戶對企業業務進行管理，對威脅狀態進行預判，保障企業網路應用業務的穩定運營。

情報分析

態勢感知系統，並不是一個簡單的圖形化管理界面，在它的背後是由阿里雲的大數據安全分析平台進行支撐。態勢感知系統通過對資產、自然、情報三大類二十餘種數據的採集，對資產等級劃分、漏洞/隱患分析，對攻擊和異常行為的感知、對業務風險的評估，以及對入侵過程的回溯、惡意行為的回溯乃至於對黑客身份的定位等多種嚴密的分析形式，有效的協助企業解決因黑客攻擊導致企業數據泄露問題的出現。

安全威脅處置

態勢感知的分析系統會自動化的實時進行百億級日誌分析。依靠機器學習和建模演算法，黑客攻擊的下一步行動點，都可以被預測，並讓防禦提前發生。並且態勢感知具有對每個安全事件，在攻擊前後一定時間內的原始日誌數據分析檢索能力，可以通過威脅模型自動化分析和還原黑客攻擊全過程，對入侵原因進行回溯，幫助找到「幕後的人」。

全量日誌的准實時邏輯檢索引擎

全量日誌的採集和TB級大數據量的處理，一直是運維團隊日常比較繁重的工作，現在態勢感知利用了雲的資源優勢，和大數據處理能力，幫客戶自動採集了雲上全業務的網路流量HTTP請求日誌（in，out方向），session五元組日誌（全埠網路連接五元組），並能對15分鐘前的全量日誌進行邏輯檢索，支持布爾表達式，如包含，不包含，等於，不等於，大於，小於，等邏輯。方便客戶，對安全事件，或網路異常，進行日誌查詢和關聯分析，更快更准更便捷的精準定位問題原因

對一兩家用戶進行態勢感知分析可能並不困難，難就難在要對阿里雲上11萬以上的企業用戶所使用的雲主機來實時進行分析。雲盾態勢感知系統要採集主機端數據、網路邊界數據、網路空間威脅情報數據。為了應對如此龐大，以PB級來計算的數據分析，阿里雲開發出了通過大數據分析和流式計算的智能化安全體系。客戶可根據自己業務環境，從30多種機器學習演算法和模型中，自如選擇適於自身需求的數據進行分析。

通過對這些數據的分析，用戶在面對惡意攻擊時，不但具備了可以觀察秋毫的雙眼，還具備了可以明辨是非的大腦。從而可以有效對攻擊的黑客進行溯源，使得用戶在面對黑客攻擊的時候，不但能夠有效的組織防禦，還有了可以進行反擊的辦法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！