阿里云將推安全態(tài)勢感知 欲為客戶打開”上帝視角”
7月9日,阿里巴巴天下無賊安全峰會在北京舉行。峰會上,著名白帽子、阿里巴巴資深總監(jiān)吳翰清(網名:道哥、刺)發(fā)表了《安全的未來是態(tài)勢感知》的主題演講。在演講中,他感嘆,從業(yè)十余年最大的痛苦莫過于,客戶花了錢,還被黑。
著名白帽子、阿里巴巴資深總監(jiān)吳翰清
如何讓用戶清楚看見自己的安全全局?如何全面、快速、準確的感知過去、現在、未來的安全威脅?有了海量的安全數據,有了云計算的強大計算能力,吳翰清透露,為了解決用戶這些痛點,阿里云安全品牌云盾計劃近期推出全新安全解決方案態(tài)勢感知。
一、花了錢添置安全設備,為什么還被黑
坦白地說,吳翰清闡述的情況在企業(yè)安全市場并不罕見。
去年五月,全球知名安全公司FireEye發(fā)布了一份名為《網絡安全的最后防線:深度防御的實境評估》的研究報告。報告者,FireEye分析了全球1,217家遭受安全攻擊的企業(yè)。盡管這些企業(yè)廣泛部署了諸如防火墻、IPS、沙箱或防病毒產品,97%參與調查的企業(yè)仍被黑客成功入侵。
這是一個有趣的現象。
問題在哪里呢?
雖然部署了安全設備,但是感覺到它們存在的時候往往是在入侵事件發(fā)生之后。這又是一件令人郁悶的事情:為什么總是看不到黑客的入侵,為什么跟在黑客屁股后面?
當然,也有可以實時給予你存在感的系統,但是—大堆的告警,更專業(yè)一點地說,是混雜了大量誤報和無用信息的信息轟炸——其實和看不到沒兩樣。
這種“看不到”并非偶然。在吳翰清看來,安全攻防完全可以用木桶理論來解釋。木桶理論認為,只有構成木桶的所有木板都足夠高,木桶才安全;所有木板比最低木板高出的部分都是沒有意義的,要想增加木桶的安全,應該設法增加最低木板的高度,這是最有效也是最直接的途徑。因為,黑客總是會從意想不到的地方入侵。
在很多時候,防護一方由于各種原因,其防護視角沒有從全局角度來看木桶的高度,就像下圖所示的那樣。這樣一來,攻擊者就可以繞過防護系統,達到入侵的目的。
二、態(tài)勢感知,讓安全防御可視化
事實上,對于防護一方來說,不管是攻擊的一面還是防護的一面,安全就是一副圖,如果沒有看整張圖的視野,就等于什么也看不到。換句話說,安全防御需要可視化。
關于如何解決安全的可視化,國內外的安全專家進行過大量的研究。一個關鍵的突破是“態(tài)勢感知”(Situation Awareness)理念的引入。
態(tài)勢感知最早來自美國軍方的研究。美國軍方認為,決策的基礎是信息,是數據。要想獲得決策優(yōu)勢,就必須獲得信息/數據的優(yōu)勢,而信息/數據優(yōu)勢拼的是信息/數據的質量和處理能力;最后,為了獲得更多有用的信息/數據以及戰(zhàn)場主動性,就必須要獲得足夠的控制能力.
態(tài)勢感知的模型如下:
態(tài)勢感知模型(Source:http://thepeakmind.com/ )
從上圖的模型來看,態(tài)勢感知分為三個階段:
階段1: 信息的覺察和獲取;
階段2: 信息的理解與融合;
階段3: 預測。
下圖可以更為清晰地體現態(tài)勢感知的階段性和重要輸出:
態(tài)勢感知的階段性
由此可見,態(tài)勢感知根本目的是將安全漸進明晰進而解決可視化的問題。只有在可視化的前提下,才可能適應和主導瞬息萬變的戰(zhàn)場(包括網絡戰(zhàn)場)。
三、云計算帶來的安全新機會
態(tài)勢感知的核心理念可以理解為一個漸進明晰的過程,它分為態(tài)勢覺察、態(tài)勢理解和態(tài)勢預測三個層次,通過態(tài)勢要素獲取,獲得必要的數據,然后借助數據分析進行態(tài)勢理解,進而實現對未來的態(tài)勢預測。
只是,在三個階段中我們都要覺察什么,如何獲取,如何理解以及如何預測呢?
問題的答案可以歸結為三個能力,即數據的獲取能力、數據的處理能力以及未來的預測能力。
吳翰清認為,想要實現全面、快速、準確感知過去、現在、未來的安全威脅,首先要充分尊重原始數據,或者稱之為基礎數據。基礎數據包括:
如上圖所示,基礎數據是態(tài)勢感知的基礎,沒有這些原始數據,安全可視化無從談起。只是,在傳統統安全設備時代,受限于單機性能,工作模式以“過濾“為主,擁有足夠的原始數據是一件奢侈的事情。
例如,WAF、NGFW等都會進行特征匹配,保存命中的惡意請求,丟棄掉占總量99.99%的正常日志。因為存儲不下來。
云計算的興起讓海量數據的存儲與計算變成可能。云計算的存儲來源可以基于整個體系,既有主機端數據,也有網絡數據;既有線上數據,也有線下數據。數據來源足夠豐富,足以覆蓋防護面上的漏洞和盲點。
數據的處理不僅包括存儲,還有計算。這幾年,人人都在談論大數據。到底多大的數據是大數據呢?這個問題沒有固定答案;不過,大數據往往表現為大到不能被遷移走,或者對數據的處理要求不能容忍數據被遷移走,需要在數據產生的地方就近甚至原地處理。而在這方面,云計算也能實現。
吳翰清透露,就在上個月,阿里云遇到最大的一次CC攻擊(即HTTP Get Flood,HTTP請求洪水)達到200萬QPS。請注意是CC應用層攻擊,而不是諸如SYN Flood或UDP Flood的網絡層洪水。這是什么概念——意味著100億次的請求和數百G的日志(天)。
這些原始數據存哪,怎么處理?答案只有一個——云計算。云計算提供了取之不盡、用之不竭的資源池——體會一下5000臺服務器集群處理PB級數據的感受。這正是阿里云云盾系統的體驗。
有了強大的儲存與計算能力,就能通過數據分析處理結果建立的風險模型以及對規(guī)律性的判斷進行預測了。
