摘要:随着越來越多的企業和機構正在逐漸上雲,主機安全是企業上雲首先需要考慮的問題。在目前安全事件頻發,且企業還沒有具備專業安全營運能力的現狀下,隻具備檢測或防禦等單一功能的傳統主機安全産品已不再适應這樣的場景和需求,産品具備檢測、防禦為一體的安全閉環能力将成為剛需。
一、主機安全面臨的挑戰
1. 惡意攻擊仍将持續猖獗
所謂擒賊先擒王,主機對于一家企業來說是整個系統的根本,攻陷了主機就等于攻陷了整個企業,是以主機層面的攻防戰争永遠硝煙彌漫。挖礦程式、蠕蟲病毒、勒索病毒、木馬程式、DDoS木馬、後門程式、感染性病毒、惡意程式等各類入侵主機的病毒在2019年将持續猖獗,因為利用這些病毒入侵主機進而擷取加密貨币,已成為黑客牟利的主要途徑。根據McAfee最新報告,加密貨币惡意軟體數量過去一年增長了4000%。雖然在2018年加密貨币大幅貶值,但這并不影響黑客變現的熱情,這也預示着2019年勒索、挖礦、蠕蟲等病毒仍将繼續猖獗,企業在主機入侵防禦方面一刻不能松懈。
2. 安全事件頻發,而安全産品能力過于單一
截止2018年12月27日,由惡意軟體造成的經濟損失已超百億美金,以 Wannacry病毒家族為例,在過去一年就衍生變種上萬種,病毒蠕蟲化趨勢明顯, 2017年以後,該類新型勒索病毒已經不滿足于隻加密一台機器,而是通過漏洞或弱密碼攻擊網絡中的其它機器,以擷取更多的利益。
美國FBI(聯邦調查局)一位高管曾說:世界上隻有兩種企業,一種是知道自己已被黑客入侵的;另一種是還渾然未知的。
目前絕大部分企業仍面臨安全自動化程度低、安全營運能力不足的現狀,疲于應急卻束手無策。而目前市場上提供的安全産品基本上隻能解決一個問題,一家企業如果要保障自身的主機安全,可能需要購買七八種産品,在這種碎片化嚴重的傳統煙囪式安全市場中,對于不是安全行業從事者的企業使用者來說,要挑選出适合自身業務場景的安全産品并将其整合成一體化的安全解決方案并非易事,通常需要3-9個月的時間才能完成采購、部署和試營運,往往在此期間,企業已被黑客入侵。是以,對于絕大多數企業使用者而言,最佳選擇是采購一款即買即用(SaaS化)的可以實作一站式自動化安全閉環的主機安全産品或解決方案。
3. 99%的企業不具備專業安全營運能力
2019年,中國資訊安全行業規模将達到千億量級,安全人才仍是緊缺資源,預計缺口将超過140萬。尤其對于主機安全而言,威脅分析能力尤為重要,而真正具備這種能力的人才更是稀缺。在這樣的趨勢下,保障主機安全的成本仍将持續走高。對于99%的企業而言,建構專業的安全營運團隊将是僞命題。
這将進一步要求雲主機安全産品應更加充分利用雲計算的特性,為企業提供自動化檢測、分析、防禦為一體的閉環服務,在企業人員有限的情況下盡量降低安全營運人員的工作量,幫助企業更好的抵禦惡意軟體威脅。
二、資料智能驅動的主機安全閉環能力
主機安全是企業上雲後首先要考慮的問題,在目前安全事件頻發,且企業還沒有具備專業安全營運能力的現狀下,完善的安全閉環能力将成為使用者剛需。由于雲廠商原生的安全産品對于平台的易用性和耦合性更強,相對于傳統安全産品更具備一定優勢。
安騎士是阿裡雲推出的一款主機安全産品,可以為使用者提供自動化檢測、分析、防禦為一體的安全閉環服務。其自動化安全閉環PDCA(Plan-Do-Check-Act)機制如下圖所示:
在資料采集和檢測階段,安騎士可以自動化采集登陸流水、程序啟動、網絡連接配接等七大類主機原始安全日志,并可以基于安全檢測引擎進行自動化監測,相對于傳統主機安全産品而言,資料采集次元多樣,更具完整性。
在威脅預警階段,目前市場上大多數主機安全産品缺少對海量源資料的自動化分析能力,使用者需要花費大量精力來處理海量告警資訊。僅一家中小企業每天的日志量就可以達到百萬級别,安全告警千餘條,一家大企業的日志量則可能達到數億級别。對于沒有專業分析人才的企業而言,面對海量資料,難以對所有告警資訊做關聯分析并加以合理處置,而且大量低危異常資訊占據安全人員的絕大多數時間,導緻真正需要關心的威脅告警被掩蓋、遺漏。
為了解決此痛點,安騎士将自動化關聯分析加入産品的預設功能當中。在資料采集和檢測階段,安騎士不僅可以實時采集主機安全日志,而且從使用者行為、大資料關聯分析引擎和主機運作狀态等多元度對日志進行實時自動化關聯分析,從海量的日志資料中挖掘出真正的威脅告警給到使用者。以挖礦病毒為例,安騎士會将挖礦通信行為、挖礦病毒及主機CPU載荷資料進行自動化關聯分析,通過短信、郵件等多管道通知使用者,并以可視化的方式呈現,讓使用者一目了然的看清告警,并能快速處置安全威脅。
自動關聯分析告警界面示例
資料采集、檢測并向使用者釋出預警之後并不能就此結束,具備安全閉環能力的産品還需要做到精準防禦。一般情況下病毒會通過主機上的弱點植入,植入主機後,木馬啟動時會對應啟動一個程序,安騎士會在這個程序啟動時進行檢測,若檢測到該程序為惡意程序,則會自動進行攔截,無需使用者做任何操作,即可成功防禦病毒,這樣一個完整的安全閉環才算完成。
基于阿裡雲十年攻防經驗打造的安騎士具備如下優勢:
- 資料驅動:以資料為中心的安全模式,利用阿裡雲大規模的計算能力,實作海量原始資料自動化實時檢測分析,讓威脅無處隐藏。
- 自動化關聯分析:阿裡雲安全經驗輸出的核心入口,讓99%的企業具備專業的安全分析能力,讓真正的威脅浮出水面,實作快速應急決策能力
- 精準防禦:由阿裡雲安全專家分析驗證,確定零誤殺,實作業務零影響,主動防禦已知的主流病毒,将應急處置能力實時化,同時解決基礎安全營運工作量。
三、結語
目前全國40%的網站業務運作在阿裡雲上,阿裡雲已成為一個攻防大練場,能最快速的獲得最新威脅情報,并不斷積累自身的攻防實戰經驗,這為阿裡雲安全産品的不斷優化更新提供了獨特優勢。未來不僅是主機産品需要從單一功能産品向産品解決方案發展,所有安全産品都應該形成預設安全閉環,演變成一個解決方案,減少使用者的學習成本,降低使用者在安全營運等各方面投入,讓使用者用最少的産品組合達到最大的安全保障,為業務安全保駕護航。