企业安全：从触觉时代到视觉时代

如今网络安全的“投入”前提，往往是触觉。在安全事件发生之后，“痛感”成了激发安全防护意识的基础。而看见威胁的“视觉”能力往往被人忽视。

笔者认为，基于“触觉”的安全投资时代即将过去，例如这次WCry事件让全世界意识到，在勒索软件面前，事后修补的效果微乎其微，只有全面的安全治理，是未来的企业安全方向。

企业安全的“视觉”时代，企业更应把看见威胁／提前预防/全面治理，作为新的原则。其中，全方位／全天候的态势感知系统，将成为企业安全的大脑，帮助企业洞察／洞悉／洞彻威胁。

全知即安全：视觉时代的新防护理念

“态势感知”这个名词，最早是在军事领域出现的。在两次海湾战争中，美军依靠绝对的信息技术优势，对伊军行动了如指掌。采用精确打击的方式，对伊军事目标精准的进行摧毁。如今在太空研究，核反应控制、国际关系等领域，都有态势感知的身影。

知己知彼，百战百胜。无论是军方／企业还是机构，对敌方情报存在越多的盲区，就越难合理配比资源、主动出击。而作为一个帮助企业“看见”风险的大脑，笔者认为态势感知的核心能力在于其大数据分析能力和云上威胁情报共享。据了解，态势感知每年帮助阿里云用户进行87万次的安全漏洞修补，平均每天协助用户修补安全漏洞的数量接近2400次。云盾态势感知的威胁库更在以平均每天2万次更新数量在飞速增长。

下面我们从“洞察”、“洞悉”、“洞彻”三个方面，对云盾态势感知的安全分析能力、应用管理能力以及威胁发展趋势预测能力进行了评估与分析。

洞察——态势感知安全分析能力解析

企业如果可以对自身的安全况态实时进行洞察、对网络威胁动态清晰掌握，自然可以查敌先机，先于对手做好防御工作，甚至主动出击将黑客擒拿归案，使其接受法律的制裁。那么如何可以对自身应用做到洞察秋毫呢，下面我们从态势感知的“感胁”、“弱点”、以及“紧急事件”几个部分，来具体做分析：

威胁分析

从海量的正常应用中识别网络威胁是安全分析平台很重要的能力。

态势感知的威胁分析功能可以对Web攻击、密码爆破、撞库、扫描器等网络威胁和异常登录、非常用IP连接、批量账号登录等异常网络行为进行统计。当态势感知对此类攻击查觉之后，会向用户提供出有针对性的解决方案，便于用户及时对威胁进行处理。

在威胁分析中，不但可以对常见的普通攻击进行统计，还可以将只针对于某特点用户或业务的攻击进行记录。和撒大网一样的普通攻击相比，针对性攻击往往意味着黑客已经对企业数据进行了“重点关注”。

在这方面，威胁分析可以将黑客最感兴趣的资产IP统计出来，以便于用户更加具有针对性的去进行防护。当黑客的攻击行为，不在隐匿在黑暗之中，可以被用户极时的时行感知，并有针对性的进行处理，黑客对企业的威胁必然也将随之下降。

威胁分析不但可以有效的将用户从海量日志分析中解放出来，直观的对攻击者的IP、攻击时间、次数、频率以及攻击方式进行记录，协助用户对攻击者进行溯源，以便从根源上解决问题之外，更重要的是，这些模型全部运行在云盾的实时检测引擎中，以前做这样的分析，需要写大段脚本并用离线的方式做大量计算，现在云盾的实时引擎可在5分钟内对黑客历史的数据进行遍历，以最快的方式分析出最新的网络威胁，真正的为用户提供了一双可以及时对威胁进行洞察的双眼。

弱点检测

企业信息系统中难免会存在一些旧有，或新出现的系统漏洞。这些弱点问题如果不能及时处理，也会对系统安全造成威胁。态势感知的弱点检测功能，可以有效的弥补这一短板。

弱点功能，不光覆盖了常见的SQL注入，XSS等awasp定义的各类漏洞，还能对互联网最新曝光的漏洞进行快速扫描外。在漏洞的发现上，做到快速和准确。

此外，弱点检测功能可以通过对资产的依赖关系，通过针对漏洞的攻击识别和攻击效果（例如有没有攻击成功、WAF是否防御、漏洞是否能直达核心服务器、是否能拖走数据库等），对当前漏洞的风险进行动态评估，并对补丁的下发，补丁是否需要重启服务器等信息做补全，方便客户做应急响应和业务决策。

比如前些天爆发的全球性勒索软件事件主因是这个漏洞： “MS17-010 远程命令执行漏洞”。用户可前往《云盾》-《态势感知》-《弱点》查看是否存受影响：

当监测到漏洞出现之后，态势感知会及时向用户告警，并提供相应解决方案，协助用户及时将漏洞进行弥补。

紧急事件

紧急事件就是客户最需要紧急处理的事件！不处理就会产生资损或业务中断。

态势感知的紧急事件功能，可以针对页面篡改、肉鸡行业、暴力破解成功、后门、DDoS、非法登陆、异常网络连接等多种网络威胁行为进行感知，并及时向用户进行告警。并可对受影响资产信息以及威胁事件进行详细描述，以便于用户有针对性的去解决问题。

紧急事件中，大部分告警都来自于网络，主机，应用，三种不同维度的大数据分析的结果。这里面的核心能力是在于，这三种数据的数据结构完全不同，属于异构数据，态势感知的紧急事件功能，利用云计算的大数据处理能力，能够在几分钟内快速的处理上TB的数量量，并能对各维度的威胁和异常点进行关联，最后产出能引起资损的紧急事件。

当用户接到紧急事件告警后，可以通过查看报告了解威胁的具体情况，并且可以根据态势感知提供的解决方案，对事件妥善进行处理。

洞悉——态势感知应用管理能力分析

三分防，七分管。一款出色的防护软件，不但要对威胁及时察觉，还应协助用户对正常应用进行分析和管理。帮助用户了解网络系统中有哪些应用最受用户关注，哪些访问是恶意在进行灌水，访问流量的高峰会在何时出现，系统的业务稳定性如何进行保障。

目前，阿里云云盾的态势感知则是基于阿里云的实时计算能力，即在大规模云计算环境中，对那些能够引发网络安全态势发生变化的要素，进行全面、快速和准确地捕获和分析，最终分析判断出未来可能产生的安全事件的威胁风险，并提供一个体系化的安全解决方案。下面，我们就从访问分析、资产控测、业务稳定这三方面，再对态势感知应用管理能力分析能力进行一下了解。

访问分析

在态势感知的访问分析功能模块中，可以对来访IP进行分别进行统计，并且将正常访问IP与恶意访问IP进行区分。使用户可以了解什么服务器部署的什么应用最受用户关注，有哪些应用的访问数量过高，是否需要将其中的业务在其它服务器上进行负载均衡。

在对正常访问进行统计的同时，访问分析还可以对恶意访问IP进行统计，查看进行访问的网络连接中，是否有恶意灌水的情况出现。从而更加精准的协助用户对业务访问情况进行判断。从而保障用户网络业务稳定高效的进行运营。

资产探测

当用户在云计算系统中的应用增长至一定规模之后，对这些资产的运营管理问题将逐渐开始显现：哪些应用开放了什么样的端口？对应着什么样的域名？是否存在着未进行修补的漏洞？态势感知的资产探测功能可能有效的协助用户进行这方面的管理。

在资产探测模块中，可以直观的对服务器IP、操作系统版本、使用软件、开放端口个数进行了解，并可以在查看详情中进一步对开放的端口号、是否存在弱点漏洞进行查看。从而便于用户对当前网络资产进行更加有效的监管。在减少漏洞的同时，对企业网络业务进行统一规划。

http://click.aliyun.com/m/10713——态势感知产品详情页

业务稳定

网络业务的稳定运营，需要对全网的网络状况有一个全局的掌握。网络的业务响应时延，是评价业务状态的一个最直观的技术指标。

在态势感知可视化大屏的“业务稳定性监控”中，可以对全国各地网络业务的响应时延，进行实时的查看。并将国内重点城市、响应最快与最慢的地区电信服务商以图文的形式提供了出来，极大方便了用户对于网络运营状态的全局掌控。

洞彻——态势感知威胁发展趋势预测

对风险进行预判，将威胁消灭在萌芽之中，这确实可以称得上是安全防护的最高境界。但是安全的风险需要如何进行预判？威胁信息又应当如何进行采集、分析？在海量的日志和频发的威胁告警中如何对有效信息进行判定？有很多SIEM（安全信息与事件管理）工具也在进行着日志审计类的工作，但其效果往往是亡羊补牢，对于当前主流的“0 day”等新发网络威胁，基本上无能为力。防患于未然对于网络安全而言，更多的是一种美好的梦想。

企业要想求追求网络业务的良性发展，就必须对业务发展和威胁趋势进行准确判断。

对于小微企业和个人用户而言，一个安全事件告警就可以满足用户的防护需求。而有一定服务器规模的用户，还需要有对紧急事件和威胁分析能力、漏洞扫描以及系统脆弱点进行监控的能力。但是对于一些上规模的企业而言，就需要具备实时可视化的业务与威胁感知能力。下面我们就来看一下，云盾态势感知是如何通过10块可视化的大屏界面与高效全面的情报分析能力，来协助用户实时对业务和威胁进行感知的。

可视化大屏

态势感知为用户提供了10块可视化的实时监控大屏，通过可视化的方式，实时的对业务运营状态、安全态势、业务访问状况等多种信息进行分析，并以图形化的方式实时的展现到客户面前。从而协助用户对企业业务进行管理，对威胁状态进行预判，保障企业网络应用业务的稳定运营。

情报分析

态势感知系统，并不是一个简单的图形化管理界面，在它的背后是由阿里云的大数据安全分析平台进行支撑。态势感知系统通过对资产、自然、情报三大类二十余种数据的采集，对资产等级划分、漏洞/隐患分析，对攻击和异常行为的感知、对业务风险的评估，以及对入侵过程的回溯、恶意行为的回溯乃至于对黑客身份的定位等多种严密的分析形式，有效的协助企业解决因黑客攻击导致企业数据泄露问题的出现。

安全威胁处置

态势感知的分析系统会自动化的实时进行百亿级日志分析。依靠机器学习和建模算法，黑客攻击的下一步行动点，都可以被预测，并让防御提前发生。并且态势感知具有对每个安全事件，在攻击前后一定时间内的原始日志数据分析检索能力，可以通过威胁模型自动化分析和还原黑客攻击全过程，对入侵原因进行回溯，帮助找到“幕后的人”。

全量日志的准实时逻辑检索引擎

全量日志的采集和TB级大数据量的处理，一直是运维团队日常比较繁重的工作，现在态势感知利用了云的资源优势，和大数据处理能力，帮客户自动采集了云上全业务的网络流量HTTP请求日志（in，out方向），session五元组日志（全端口网络连接五元组），并能对15分钟前的全量日志进行逻辑检索，支持布尔表达式，如包含，不包含，等于，不等于，大于，小于，等逻辑。方便客户，对安全事件，或网络异常，进行日志查询和关联分析，更快更准更便捷的精准定位问题原因

“视觉时代”的安全之眼

对一两家用户进行态势感知分析可能并不困难，难就难在要对阿里云上11万以上的企业用户所使用的云主机来实时进行分析。云盾态势感知系统要采集主机端数据、网络边界数据、网络空间威胁情报数据。为了应对如此庞大，以PB级来计算的数据分析，阿里云开发出了通过大数据分析和流式计算的智能化安全体系。客户可根据自己业务环境，从30多种机器学习算法和模型中，自如选择适于自身需求的数据进行分析。

通过对这些数据的分析，用户在面对恶意攻击时，不但具备了可以观察秋毫的双眼，还具备了可以明辨是非的大脑。从而可以有效对攻击的黑客进行溯源，使得用户在面对黑客攻击的时候，不但能够有效的组织防御，还有了可以进行反击的办法。

原文发布时间为：2017年5月24日

本文作者：杨昀煦