雲時代從新定義主機安全：自動化安全閉環是核心

時間 2019-12-06

原文原文鏈接

摘要：隨着愈來愈多的企業和機構正在逐步上雲，主機安全是企業上雲首先須要考慮的問題。在當前安全事件頻發，且企業尚未具有專業安全運營能力的現狀下，只具有檢測或防護等單一功能的傳統主機安全產品已再也不適應這樣的場景和需求，產品具有檢測、防護爲一體的安全閉環能力將成爲剛需。安全

1、主機安全面臨的挑戰網絡

1. 惡意攻擊仍將持續猖獗學習

所謂擒賊先擒王，主機對於一家企業來講是整個系統的根本，攻陷了主機就等於攻陷了整個企業，所以主機層面的攻防戰爭永遠硝煙瀰漫。挖礦程序、蠕蟲病毒、勒索病毒、木馬程序、DDoS木馬、後門程序、感染性病毒、惡意程序等各種入侵主機的病毒在2019年將持續猖獗，由於利用這些病毒入侵主機從而獲取加密貨幣，已成爲黑客牟利的主要途徑。根據McAfee最新報告，加密貨幣惡意軟件數量過去一年增加了4000%。雖然在2018年加密貨幣大幅貶值，但這並不影響黑客變現的熱情，這也預示着2019年勒索、挖礦、蠕蟲等病毒仍將繼續猖獗，企業在主機入侵防護方面一刻不能鬆懈。大數據

2. 安全事件頻發，而安全產品能力過於單一優化

截止2018年12月27日，由惡意軟件形成的經濟損失已超百億美金，以 Wannacry病毒家族爲例，在過去一年就衍生變種上萬種，病毒蠕蟲化趨勢明顯， 2017年之後，該類新型勒索病毒已經不知足於只加密一臺機器，而是經過漏洞或弱口令攻擊網絡中的其它機器，以獲取更多的利益。網站

美國FBI（聯邦調查局）一位高管曾說：世界上只有兩種企業，一種是知道本身已被黑客入侵的；另外一種是還渾然未知的。阿里雲

當前絕大部分企業仍面臨安全自動化程度低、安全運營能力不足的現狀，疲於應急卻一籌莫展。而目前市場上提供的安全產品基本上只能解決一個問題，一家企業若是要保障自身的主機安全，可能須要購買七八種產品，在這種碎片化嚴重的傳統煙囪式安全市場中，對於不是安全行業從事者的企業用戶來講，要挑選出適合自身業務場景的安全產品並將其整合成一體化的安全解決方案並不是易事，一般須要3-9個月的時間才能完成採購、部署和試運營，每每在此期間，企業已被黑客入侵。因此，對於絕大多數企業用戶而言，最佳選擇是採購一款即買即用（SaaS化）的能夠實現一站式自動化安全閉環的主機安全產品或解決方案。雲計算

3. 99%的企業不具有專業安全運營能力加密

2019年，中國信息安全行業規模將達到千億量級，安全人才還是緊缺資源，預計缺口將超過140萬。尤爲對於主機安全而言，威脅分析能力尤其重要，而真正具有這種能力的人才更是稀缺。在這樣的趨勢下，保障主機安全的成本仍將持續走高。對於99%的企業而言，構建專業的安全運營團隊將是僞命題。3d

這將進一步要求雲主機安全產品應更加充分利用雲計算的特性，爲企業提供自動化檢測、分析、防護爲一體的閉環服務，在企業人員有限的狀況下儘可能下降安全運營人員的工做量，幫助企業更好的抵禦惡意軟件威脅。

2、數據智能驅動的主機安全閉環能力

主機安全是企業上雲後首先要考慮的問題，在當前安全事件頻發，且企業尚未具有專業安全運營能力的現狀下，完善的安全閉環能力將成爲用戶剛需。因爲雲廠商原生的安全產品對於平臺的易用性和耦合性更強，相對於傳統安全產品更具有必定優點。

安騎士是阿里雲推出的一款主機安全產品，能夠爲用戶提供自動化檢測、分析、防護爲一體的安全閉環服務。其自動化安全閉環PDCA（Plan-Do-Check-Act）機制以下圖所示：

在數據採集和檢測階段，安騎士能夠自動化採集登錄流水、進程啓動、網絡鏈接等七大類主機原始安全日誌，並能夠基於安全檢測引擎進行自動化監測，相對於傳統主機安全產品而言，數據採集維度多樣，更具完整性。

在威脅預警階段，目前市場上大多數主機安全產品缺乏對海量源數據的自動化分析能力，用戶須要花費大量精力來處理海量告警信息。僅一家中小企業天天的日誌量就能夠達到百萬級別，安全告警千餘條，一家大企業的日誌量則可能達到數億級別。對於沒有專業分析人才的企業而言，面對海量數據，難以對全部告警信息作關聯分析並加以合理處置，並且大量低危異常信息佔據安全人員的絕大多數時間，致使真正須要關心的威脅告警被掩蓋、遺漏。

爲了解決此痛點，安騎士將自動化關聯分析加入產品的默認功能當中。在數據採集和檢測階段，安騎士不只能夠實時採集主機安全日誌，並且從用戶行爲、大數據關聯分析引擎和主機運行狀態等多維度對日誌進行實時自動化關聯分析，從海量的日誌數據中挖掘出真正的威脅告警給到用戶。以挖礦病毒爲例，安騎士會將挖礦通訊行爲、挖礦病毒及主機CPU載荷數據進行自動化關聯分析，經過短信、郵件等多渠道通知用戶，並以可視化的方式呈現，讓用戶一目瞭然的看清告警，並能快速處置安全威脅。

自動關聯分析：從海量告警信息中找出真正威脅

自動關聯分析告警界面示例

數據採集、檢測並向用戶發佈預警以後並不能就此結束，具有安全閉環能力的產品還須要作到精準防護。通常狀況下病毒會經過主機上的弱點植入，植入主機後，木馬啓動時會對應啓動一個進程，安騎士會在這個進程啓動時進行檢測，若檢測到該進程爲惡意進程，則會自動進行攔截，無需用戶作任何操做，便可成功防護病毒，這樣一個完整的安全閉環纔算完成。

基於阿里雲十年攻防經驗打造的安騎士具有以下優點：

數據驅動：以數據爲中心的安全模式，利用阿里雲大規模的計算能力，實現海量原始數據自動化實時檢測分析，讓威脅無處隱藏。
自動化關聯分析：阿里雲安全經驗輸出的核心入口，讓99%的企業具有專業的安全分析能力，讓真正的威脅浮出水面，實現快速應急決策能力
精準防護：由阿里雲安全專家分析驗證，確保零誤殺，實現業務零影響，主動防護已知的主流病毒，將應急處置能力實時化，同時解決基礎安全運營工做量。

3、結語

當前全國40%的網站業務運行在阿里雲上，阿里雲已成爲一個攻防大練場，能最快速的得到最新威脅情報，並不斷積累自身的攻防實戰經驗，這爲阿里雲安全產品的不斷優化升級提供了獨特優點。將來不只是主機產品須要從單一功能產品向產品解決方案發展，全部安全產品都應該造成默認安全閉環，演變成一個解決方案，減小用戶的學習成本，下降用戶在安全運營等各方面投入，讓用戶用最少的產品組合達到最大的安全保障，爲業務安全保駕護航。