阿里云將推安全態(tài)勢(shì)感知 欲為客戶打開(kāi)”上帝視角”
7月9日,阿里巴巴天下無(wú)賊安全峰會(huì)在北京舉行。峰會(huì)上,著名白帽子、阿里巴巴資深總監(jiān)吳翰清(網(wǎng)名:道哥、刺)發(fā)表了《安全的未來(lái)是態(tài)勢(shì)感知》的主題演講。在演講中,他感嘆,從業(yè)十余年最大的痛苦莫過(guò)于,客戶花了錢,還被黑。
著名白帽子、阿里巴巴資深總監(jiān)吳翰清
如何讓用戶清楚看見(jiàn)自己的安全全局?如何全面、快速、準(zhǔn)確的感知過(guò)去、現(xiàn)在、未來(lái)的安全威脅?有了海量的安全數(shù)據(jù),有了云計(jì)算的強(qiáng)大計(jì)算能力,吳翰清透露,為了解決用戶這些痛點(diǎn),阿里云安全品牌云盾計(jì)劃近期推出全新安全解決方案態(tài)勢(shì)感知。
一、花了錢添置安全設(shè)備,為什么還被黑
坦白地說(shuō),吳翰清闡述的情況在企業(yè)安全市場(chǎng)并不罕見(jiàn)。
去年五月,全球知名安全公司FireEye發(fā)布了一份名為《網(wǎng)絡(luò)安全的最后防線:深度防御的實(shí)境評(píng)估》的研究報(bào)告。報(bào)告者,F(xiàn)ireEye分析了全球1,217家遭受安全攻擊的企業(yè)。盡管這些企業(yè)廣泛部署了諸如防火墻、IPS、沙箱或防病毒產(chǎn)品,97%參與調(diào)查的企業(yè)仍被黑客成功入侵。
這是一個(gè)有趣的現(xiàn)象。
問(wèn)題在哪里呢?
雖然部署了安全設(shè)備,但是感覺(jué)到它們存在的時(shí)候往往是在入侵事件發(fā)生之后。這又是一件令人郁悶的事情:為什么總是看不到黑客的入侵,為什么跟在黑客屁股后面?
當(dāng)然,也有可以實(shí)時(shí)給予你存在感的系統(tǒng),但是—大堆的告警,更專業(yè)一點(diǎn)地說(shuō),是混雜了大量誤報(bào)和無(wú)用信息的信息轟炸——其實(shí)和看不到?jīng)]兩樣。
這種“看不到”并非偶然。在吳翰清看來(lái),安全攻防完全可以用木桶理論來(lái)解釋。木桶理論認(rèn)為,只有構(gòu)成木桶的所有木板都足夠高,木桶才安全;所有木板比最低木板高出的部分都是沒(méi)有意義的,要想增加木桶的安全,應(yīng)該設(shè)法增加最低木板的高度,這是最有效也是最直接的途徑。因?yàn)椋诳涂偸菚?huì)從意想不到的地方入侵。
在很多時(shí)候,防護(hù)一方由于各種原因,其防護(hù)視角沒(méi)有從全局角度來(lái)看木桶的高度,就像下圖所示的那樣。這樣一來(lái),攻擊者就可以繞過(guò)防護(hù)系統(tǒng),達(dá)到入侵的目的。
二、態(tài)勢(shì)感知,讓安全防御可視化
事實(shí)上,對(duì)于防護(hù)一方來(lái)說(shuō),不管是攻擊的一面還是防護(hù)的一面,安全就是一副圖,如果沒(méi)有看整張圖的視野,就等于什么也看不到。換句話說(shuō),安全防御需要可視化。
關(guān)于如何解決安全的可視化,國(guó)內(nèi)外的安全專家進(jìn)行過(guò)大量的研究。一個(gè)關(guān)鍵的突破是“態(tài)勢(shì)感知”(Situation Awareness)理念的引入。
態(tài)勢(shì)感知最早來(lái)自美國(guó)軍方的研究。美國(guó)軍方認(rèn)為,決策的基礎(chǔ)是信息,是數(shù)據(jù)。要想獲得決策優(yōu)勢(shì),就必須獲得信息/數(shù)據(jù)的優(yōu)勢(shì),而信息/數(shù)據(jù)優(yōu)勢(shì)拼的是信息/數(shù)據(jù)的質(zhì)量和處理能力;最后,為了獲得更多有用的信息/數(shù)據(jù)以及戰(zhàn)場(chǎng)主動(dòng)性,就必須要獲得足夠的控制能力.
態(tài)勢(shì)感知的模型如下:
態(tài)勢(shì)感知模型(Source:http://thepeakmind.com/ )
從上圖的模型來(lái)看,態(tài)勢(shì)感知分為三個(gè)階段:
階段1: 信息的覺(jué)察和獲取;
階段2: 信息的理解與融合;
階段3: 預(yù)測(cè)。
下圖可以更為清晰地體現(xiàn)態(tài)勢(shì)感知的階段性和重要輸出:
態(tài)勢(shì)感知的階段性
由此可見(jiàn),態(tài)勢(shì)感知根本目的是將安全漸進(jìn)明晰進(jìn)而解決可視化的問(wèn)題。只有在可視化的前提下,才可能適應(yīng)和主導(dǎo)瞬息萬(wàn)變的戰(zhàn)場(chǎng)(包括網(wǎng)絡(luò)戰(zhàn)場(chǎng))。
三、云計(jì)算帶來(lái)的安全新機(jī)會(huì)
態(tài)勢(shì)感知的核心理念可以理解為一個(gè)漸進(jìn)明晰的過(guò)程,它分為態(tài)勢(shì)覺(jué)察、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)層次,通過(guò)態(tài)勢(shì)要素獲取,獲得必要的數(shù)據(jù),然后借助數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解,進(jìn)而實(shí)現(xiàn)對(duì)未來(lái)的態(tài)勢(shì)預(yù)測(cè)。
只是,在三個(gè)階段中我們都要覺(jué)察什么,如何獲取,如何理解以及如何預(yù)測(cè)呢?
問(wèn)題的答案可以歸結(jié)為三個(gè)能力,即數(shù)據(jù)的獲取能力、數(shù)據(jù)的處理能力以及未來(lái)的預(yù)測(cè)能力。
吳翰清認(rèn)為,想要實(shí)現(xiàn)全面、快速、準(zhǔn)確感知過(guò)去、現(xiàn)在、未來(lái)的安全威脅,首先要充分尊重原始數(shù)據(jù),或者稱之為基礎(chǔ)數(shù)據(jù)。基礎(chǔ)數(shù)據(jù)包括:
如上圖所示,基礎(chǔ)數(shù)據(jù)是態(tài)勢(shì)感知的基礎(chǔ),沒(méi)有這些原始數(shù)據(jù),安全可視化無(wú)從談起。只是,在傳統(tǒng)統(tǒng)安全設(shè)備時(shí)代,受限于單機(jī)性能,工作模式以“過(guò)濾“為主,擁有足夠的原始數(shù)據(jù)是一件奢侈的事情。
例如,WAF、NGFW等都會(huì)進(jìn)行特征匹配,保存命中的惡意請(qǐng)求,丟棄掉占總量99.99%的正常日志。因?yàn)榇鎯?chǔ)不下來(lái)。
云計(jì)算的興起讓海量數(shù)據(jù)的存儲(chǔ)與計(jì)算變成可能。云計(jì)算的存儲(chǔ)來(lái)源可以基于整個(gè)體系,既有主機(jī)端數(shù)據(jù),也有網(wǎng)絡(luò)數(shù)據(jù);既有線上數(shù)據(jù),也有線下數(shù)據(jù)。數(shù)據(jù)來(lái)源足夠豐富,足以覆蓋防護(hù)面上的漏洞和盲點(diǎn)。
數(shù)據(jù)的處理不僅包括存儲(chǔ),還有計(jì)算。這幾年,人人都在談?wù)摯髷?shù)據(jù)。到底多大的數(shù)據(jù)是大數(shù)據(jù)呢?這個(gè)問(wèn)題沒(méi)有固定答案;不過(guò),大數(shù)據(jù)往往表現(xiàn)為大到不能被遷移走,或者對(duì)數(shù)據(jù)的處理要求不能容忍數(shù)據(jù)被遷移走,需要在數(shù)據(jù)產(chǎn)生的地方就近甚至原地處理。而在這方面,云計(jì)算也能實(shí)現(xiàn)。
吳翰清透露,就在上個(gè)月,阿里云遇到最大的一次CC攻擊(即HTTP Get Flood,HTTP請(qǐng)求洪水)達(dá)到200萬(wàn)QPS。請(qǐng)注意是CC應(yīng)用層攻擊,而不是諸如SYN Flood或UDP Flood的網(wǎng)絡(luò)層洪水。這是什么概念——意味著100億次的請(qǐng)求和數(shù)百G的日志(天)。
這些原始數(shù)據(jù)存哪,怎么處理?答案只有一個(gè)——云計(jì)算。云計(jì)算提供了取之不盡、用之不竭的資源池——體會(huì)一下5000臺(tái)服務(wù)器集群處理PB級(jí)數(shù)據(jù)的感受。這正是阿里云云盾系統(tǒng)的體驗(yàn)。
有了強(qiáng)大的儲(chǔ)存與計(jì)算能力,就能通過(guò)數(shù)據(jù)分析處理結(jié)果建立的風(fēng)險(xiǎn)模型以及對(duì)規(guī)律性的判斷進(jìn)行預(yù)測(cè)了。
