云安全中心2.0持续演进:防护体系全面化、智能化、轻量化
内容介绍:
一、云上安全风险的趋势和问题
二、云安全中心一体化升级方案
三、云安全中心升级客户应用场景
四、云安全中心产品普惠政策
本次分享的主题是云安全中心2.0持续演进:防护体系全面化、智能化、轻量化,由阿里云智能集团高级安全产品专家梁雷分享。
本次将分享云安全中心的升级能力的发布,在去年的云栖大会,正式发布云安全中心的2.0,是一体化安全运营,之前的云安全中心更多的是从主机工作负载单体的维度及安全防护,到现在是提供一体化的安全运营,从事前、事中,事后进行整体安全性的贯穿。这次对现有的能力做提升,将通过四个方面介绍。
一、云上安全风险的趋势和问题
第一个是云上的安全风险的趋势和问题,它分享的是整个用户上公有云的速度,包括在公有云上支出的开支的增速是20%左右,这是国际的数据,国内数据的比例要比它更高一些,而越来越多的用户在云上使用不同的业务,不同的业务就可能会面临着不同的安全风险。共总结为四点,分别是多部署架构性、多层次服务,多样化的工作负载和多行业属性。
举个例子,比如在多部署架构性,很多用户都是采用多公有云的模式,包括很多头部客户都是具体的情况,好处是多公有云可能有更高的可用性,更高的灵活性和选择性,但是往往这些便利也带来更多的风险,比如不同的云之间的数据的流转可能带来数据流失的风险,云和云之间大量的需要通过API进行相关的访问,API安全的问题也比较严峻,所以还有像多云之间的可见性的统一的运营,这种需求也日益的增多,包括多层次服务,AI和大数据的服务的提供,看到现在整个AI已经深入到生活中各行各业,包括早上通过股票软件来看,这里也嵌入很多AI的能力,它可以分析当前股票的情况,提任何问题,他会帮你做解答,但是AI和大数据的应用也带来本身针对于AI攻击的风险,比如针对于高可用的计算集群,GPU的服务集群的攻击情况,包括训练模型的投毒的风险问题,还有多样化的工作负载,像Serverless的应用,其实也会有一些安全风险的问题。
而在参考很多第三方的数据和报告时,这个图挺有意思,CIC就是云安全联盟在2024年新发的报告数据,这里面做了详细的对比,在2022年和2024年最大的区别是24年的第九项和第十项的风险是新增的,第九项的风险是缺乏云上的可见性,如果缺乏云上的可见性,就会导致很多云资产被攻击的时候不知道,甚至很多攻击的行为是被隐藏掉的,这是新增的风险的趋势。
第十个是针对于共享文件没有经过有效的认证,导致一些敏感的文件和数据被访问的风险。所以可能要针对于这种API或者其他的访问有强相关的认证体系,这里其实变化比较大的一个是在2022年的第三项错误云产品的配置在2024年变成风险最高的一个事情,这是在预估之中,因为经常会帮用户做一些安全服务和安全应急的事情,在安全服务应急的时候,会发现一个问题,很多的攻击都是由于用户的云产品的配置问题导致攻击的进入,所以用户在云产品的配置上面临着很大的一个挑战,看到很多新闻和数据,比如银行或者国际的金融机构常有由于存储的传访问权限的配置问题,导致用户的敏感信息,身份证,信用卡号被泄露的情况发生,所以要得到重点的重视和关注,其余的像第二个风险,身份访问权限的管理的薄弱的问题,包括不安全的接口和API的问题。
第四个是云产品没有产生正确的策略配置,导致没有有效的防护和抵御攻击,但第四项和第一项做合并,也是云产品的错误配置,所以不光看云产品,也要看云安全产品是否达到的预期效果,这是看到的云上风险的变化。
在这里面,基于报告总结安全风险的四个趋势:
第一个趋势是攻击复杂性的增加。大模型在安全上是一把双刃剑,可以给防御者提供很好的威胁分析检测的建议和支撑,如果攻击者拿到大模型,也可以通过它生成对抗性的样本或者钓鱼的邮件,通过它进行攻击,所以他也有可能帮助攻击者去提升他的攻击手段,降低他的门槛,所以未来可能会有更多的基于AI的攻击事件。
第二点是供应链风险的增加,供应链风险的增加。不仅是针对于常用的第三方的应用软件镜像,甚至有一些合作服务公司的外包,它有可能由于权限身份的问题导致一些风险事件,
第三个是包括海外的机构,还是国内的,监管处罚的力度是越来越大,特别是针对于数据安全要求越来越严格。
第四个是勒索软件即服务Raas,这个是快速的崛起。勒索事件的比例上升的情况,看到在海外,勒索软件的攻击已经形成产业化的事情,它有可能会分成攻击者,软件开发者甚至是勒索者,大家分工协作,对业务系统产生攻击,进行一些勒索的行为,可以看到未来的安全风险的趋势目前还是更加严峻。
所以这是面临比较大的问题,在这里面是基于用户的视角看安全防御的难题,总结现在一些痛点的问题,三点问题。
第一点问题是人的问题,人的问题指的是比如员工缺乏安全意识,点击钓鱼邮件产生的风险。第二是缺乏训练有素的人员,安全运营和安全运维人员面临着高级的复杂的攻击,各种各样的攻击行为,没有办法很好的快速的响应和处置,这是人的问题。
第三是缺乏动作,组织内各自为战,这个其实也是人的问题,比如的开发团队,运维团队,架构团队没有形成一个很好的配合。
第二个问题是产品的问题,当前产品的问题是第一个集成度和互操作性比较差,用户要做一件事情可能要部署三到四款不同的工具和软件,达成一个效果,但是涉及到云上跨账号体系,可能又要重新面临这样一个风险问题。同时需要分析大量的数据,包括漏洞优先级,第三个问题,预算不足,在现有的安全投入里面,投入的开支受到一个很严重的限制。
二、云安全中心一体化升级方案
针对问题,安全厂商做产品第一点是要尽量结合AI应用,帮助用户提升威胁分析的水位,降低门槛。第二点要做产品间的集成易用性,然后简化操作。第三点是产品售卖的灵活性,还要支持按阶梯,后付费,按量甚至降价的行为,让更多的用户能够用得起安全。
在这里面有云安全防护上的四点的建议:
第一点的建议是尽量结合AI,提升平均响应时间和平均检测时间,通过AI分析告警处置。
第二,建议安全防护要有体系化的设计,要从碎片化到体系化建设,不要出现头痛医头,脚痛医脚的行为,比如今天发现有漏洞被攻击,就天天修漏洞,第二天发现密钥被泄露了,又开始去管理密钥,所以应该从头建立一个体系化的设计,才能解决这样的问题。
第三点,缩减资产防护盲区,提供持续的安全合规。云上有很多的产品,包括不光云上的产品,还有API,还有身份认证的各种各样的身份体系,这都是资产,所以要持续的看资产的变化情况。
第四,灵活的部署,保证业务的稳定性,安全其实是为业务服务的,如何让安全能够保证业务稳定有序的发展,也是安全产品的重要责任,这是从云安全防护上的建议,在这里面引用了garner的CNAPP定义和能力框架,这个提的比较早,大概有四年左右时间。
最开始看到CNAPP的概念是在2020年的garner的报告,讲的是CNAPP的洞察的报告。是针对于云上的复杂的业务情况,提供一套云衍生的应用防护平台,平台不仅是一个工具,更是一套集成性的平台,它可以帮助用户从开发阶段到运行阶段的全生命周期的安全管理。所以是这样的一套理念和概念,但是在这里面拆解CNAPP平台应该具备的几个安全的能力:
第一个是CSPM的能力,叫云安全态势管理,可以看到整个云上的资产和风险的问题,
第二个能力叫KSPM,是容器类的云原生的安全的风险问题。
第三个是CIEM,是云基础设施的特权管理。
第四个是CWPP,云的工作负载的防护,一个标准的CNAPP的平台架构要支持以下四大能力,同时这件事情不仅是安全团队的事情,更多可以看到它需要应用的开发团队、安全的运营团队和云的架构团队一起来配合应用CNAPP平台,才能达到一个最好安全效果。CNAPP平台是践行secops比较好的理论的工具,它是让安全左移,从开发阶段就开始进行全员的参与,然后不同的团队进行协调、合作、配合,从而达到最好的安全效果。
所以看到的一个发展方向,在CNAPP平台中尽量要支持这种统一的综合的平台,一个平台解决用户所有的问题,第二个是要进行持续的监测、扫描和自动化的集成,自动化集成不仅是集成云产品,包括CI/CD的集成工具,甚至要跟用户的SIEM的产品进行集成,看到更加深度的威胁事件,然后提供全面的合规性和多云的兼容性,这是CNAPP平台的定义和能力的框架,在这里面可以看到,云安全中心整体的功能的能力框架,将近有40多项的功能,这里边有可能有大功能,有小功能,但是整体有40多项,把40多项功能进行拆解,按照不同的用户运营的阶段进行拆解。
举个例子,比如如果是安全运营的客户,第一件事情重点要做资产的梳理,首先要知道有多少资产,有多少虚拟机,有多少镜像,包括网络资产,甚至是跨云平台的资产都要知道,如果自己不知道有多少资产,怎么防护,在最新的一年里面增加Serverless类的资产的识别和防护,这里面有ICE,ECI包括Paimon的Serverless的平台。
都会统一接入到资产管理里面,发现资产之后,第二件事情要做的是基于资产,看这些资产到底有哪些问题和风险,比如接到一个虚拟机,要看虚拟机里有没有操作系统的漏洞,接云产品,云产品有哪些错误的一些配置,比如存储是不是有一些权限访问的问题,是不是有暴露在互联网的风险的问题。这些配置要看,同时还要看身份账号权限是不是最小权限的机制,是不是权限过大,这些问题都是要持续来看。
在新的点里标黄,增加云产品错误配置的能力,增加PCIDS包括ISO等海外的一些标准,同时也增加跨云检测的能力,现在这个能力里面已经支持像AWS、腾讯包括阿里云的四个云平台,重点针对镜像和快照的风险进行支持,基于Agentless的技术可以读取到镜像快照里面的漏洞,病毒,机械敏感文件的风险信息,这个可以提供给客户,资产梳理完之后又发现风险,下一步基于运维的业务流程,针对下一步进行加固,所以要对系统进行修复,对权限进行优化,对云产品增加一键修复的能力,比如云产品错误配置,可以一键把错误配置变更掉。前三个都是基础的安全防护工作,如果前三步没有做好,直接做后两步,不一定会有特别好的防护效果,这个安全是循序渐进的,只要把基础做好,在后面的防护工作中,才会减轻工作压力。
前三步做好之后,做第四步,就要进行实时的防护。基于规则和特征,威胁情报的能力针对于所有的风险进行对抗,在这里面增加Serverless安全防护能力,全面支持阿里云的工作负载的防护。
第五点,前面都已经做完之后要做主动的检测与响应,要进行积极的防护。首先主动检测与响应里面已经支持像云密罐这样的高交互的的攻击诱捕的系统,同时增加多账号、多产品、多云的告警和威胁的统一的分析,统一的溯源,统一的响应处置的能力,帮助用户去快速的进行风险的发现和处置,这个上面是所有功能的更新,在下面又更新云安全中心的大模型的AI智能助手,帮助用户更好的解读所有的威胁和告警,这是一个整体的能力框架,也是按照用户运维和业务的思路,一步一步进行循序渐进的,在这里面自己梳理一下,对应的定义里边的功能是什么?比如包含CWPP的能力,CSPM的能力,KSPM的能力,包含蜜罐的能力,SIEM加SOAR的能力,整体上是完全可以覆盖当前CNAPP的能力框架。
三、云安全中心升级客户应用场景
在这里重点讲云安全中心近一年能力提升最多的五个场景:
第一个场景是覆盖Serverless形态的云工作负载的一体化,这是今年重点做的一件事情,之前好多大模型的客户,第一件事情是针对于Serverless产品对大模型的运行的工作载体,有没有什么安全防护的能力和建议,因为上面跑的业务都是非常重要的,所以安全诉求很强烈。它的风险有哪些,举一个简单的例子,比如加载镜像和应用,如果存在漏洞,可能就会被攻击者利用,产生容器逃逸和特权提升的风险,风险很大。
如果Serverless产品存在错误的配置,也有可能被黑客攻击,所以这类的安全风险事件比较多,基于云原生的理念和安全能力做结合,可以直接和Serverless类的产品进行打通,拉取资产信息和状态信息,再结合底层Agent的能力去全面提供漏洞的检测,全面提供恶意文件的检测,然后基线的检测包括一些行为特征的检测,在这里面用户不需要单独部署客户端,一个Agent可以解决主机,容器加Serverless的一体化的防护策略,这里面也欢迎现场的用户试用Serverless产品,不需要部署,一键开通就可以达成以上的所有效果。
这是发布1,然后发布2是多云产品的检测及修复能力的一体化,是CSPM,CSPM经历一年的迭代之后,提升比较大的安全能力。首先所有的检测项从原有的三四百项已经提到700检测项,而且还在持续提升,这里面包含像云产品的最佳实践,合规的基线等,在这里面增加四个能力点,分别是跨云检测、一键修复、统一运营和自定义规则。
为什么要增加这四个能力点,包括跟很多用户沟通的时候,他会把所有阿里云上的云产品的错误配置都检测,都修复,是不是也会发生从其他云上如果没有做,导致跨云的攻击的产生,安全就像一个木桶,当有一个地方出现短板的时候,水肯定会出来,所以做跨云能力检测的目的,不是要在其他云上去做什么事情,而是想帮助用户提供一套统一的多云的安全防护的平台和能力,当前可以支持AWS agent,像腾讯和阿里云的统一的云平台的规则,包括风险的统一的水位检测。
第二点是支持一键修复的能力,之前用CSPM,或者用很多公司的CSPM,会出现问题,现在有很多售后配置,告诉你应该去怎么修,正常修的逻辑是一项一项按照规则跳转到对应的云产品上,按照方法去点击做处置,效率特别低,而且会对的业务产生很大的影响,现在是直接可以拉取对应的100家核心检查项风险检测修复的API直接从控制台一键修掉。
举个例子,比如nosql的一个数据库没有做灾备,如果通过检查项,就会发现没有做灾备,风险很高,建议在非工作日进行,每天做一次灾备,就可以做直接的修复,不需要跳到对应的控制台,或者是密钥正常要求定期轮转,如果密钥没有做定期的轮转,可以基于策略,比如配置40天轮转一次,到时间的时候就自动轮转密钥,从而提升整体的安全性。这个能力是很多用户特别急需的,可以解决它实际上的风险问题。
第三个,统一运营分析和自定义规则,是要看到全局多云上所有云产品的产品配置的通过率是什么样的,不同云平台的水位是否拉齐,同时很多大型的客户有自定义的需求,比如有自己的一套安全标准,要基于自己的安全标准进行规则的校验,所以自己写规则,这是当前在多云产品检测及修复能力的发布,第三个发布是更轻量的零资源占用的检测能力,叫Agentless检测能力,它没有客户端,没有Agent,在七月份的时候,出了一个全球都比较出名的事件cross stack的驱动更新和微软的插件冲突导致蓝屏,蓝屏之后全球有将近几百万的终端导致业务不能正常运转。
银行,交通,卫生很多相关的机构产生很大的业务风险,为什么会出现这种事情,因为Agent要做对抗,需要在驱动层写很多的东西,现在云上也有很多用户是这样的需求情况,有很多敏感性的资源,资源敏感到不能在系统里面加载任何的插件,不能写任何的东西,非常的敏感,但它又有很强的安全诉求。
在这个时候基于用户的业务场景,设计两套理论和架构,第一套叫Agent base,要装一个Agent软件到ECS里面进行攻防的对抗,保证安全效果,风险可以干掉。第二种的架构叫Agentless,就是任何的客户端不装,基于快照镜像,只分享功能,把所有的风险扫出来,可以覆盖漏洞的检测,恶意文件的检测,安全基建和敏感文件的检测,通过这样的方案,不需要任何安装就可以实现零资源占用的全面的风险发现,同时有些用户可能还有定制化的操作系统,也是可以通过这种方式进行落地,第四个发布是针对于跨云,多账号,多安全产品的一体化的技术运营,在去年做CTDR的产品,业内比较好理解叫Class SIEM加Sort的能力,在这里面叫CTDR,主要是云上的威胁检测和响应的平台,在之前支持跨账号,跨产品,跨云平台的所有的告警日志的统一接入,然后帮助用户降低所有的运营成本。
做告警的聚合和自动化的响应处置,做溯源的能力。当前支持三朵云平台的接入,20家大类的产品的分析,50家总日志的深度检测和20个内置剧本。举一个例子比如是一个安全运营人员,接到一个监管的通报,或者自己内部的通报,外网的一个网络出口访问一个挖矿人,就是矿池,或者访问恶意网站,通常这种情况的下,可能直接在防火墙或EIP上把IP封禁掉。这是平常的标准动作,如果针对于CTDR,可以基于IP来看是哪一个实例产生的访问,基于实例来看是哪一个网络进程导致的访问,基于网络进程来看是基于哪一个文件导致的访问,这个文件还在哪些账号下的ECS存在过,是通过什么样的手段进来的,是通过漏洞还是云产品的配置的问题进来的。
所有的风险溯源直接结束之后,提供内置剧本的响应的联动处置,可以调用EIP,可以调用云墙,可以调用wave做所有IP的分段的组件,也可以去基于现有的所有的漏洞修复的能力,包括客户端的能力做进程的阻断,漏洞的修复,云产品的配置修复,其实可以做到跨账号、跨产品的一体化的安全运营,从一个问题解决所有的风险的事件,当前安全事件的告警收敛率达到99.94%,跨资产的安全事件的发生率到达75%,推荐处置的覆盖率到达80%,同时在新的一年里面发布了售卖1.0,可以理解它更便宜,不用买存储的存储空间,直接买流量就行,然后做三款技术产品的自动接入,以及第三方产品是投递,比如用长亭的wave,用长亭的其他产品,也可以直接投递进来,然后形成全举的安全风险分析。
第五点发布是针对于云安全中心的安全助手,安全大模型进行能力的升级,经过大概将近一年时间的迭代,云安全中心的大模型在去年的初期重点是针对告警做分析,目前看到已经大概有88%的用户经常定期看告警分析的大模型能力的结果,在这里面增加四个新的功能:
第一个功能叫产品使用及问题咨询,这是自然语言绘画的能力,就是有任何的问题都可以提问,比如请帮拉出来top10的ECS里面高危漏洞最多的名单,就可以做这件事情。请告诉云安全中心应该怎么去部署。把所有的产品的指南,产品的安全的知识以及工单系统做模型的学习和训练提供给客户。
第二个是安全告警解释与事件调查、安全事件处置与响应,提供一体化的安全运营的大模型体验,从告警产生,到告警详情的解释,到告警的溯源,到告警的处置建议以及对应的报告,可以通过一体化的方式提供出来,
第四个是智能运营的报告,帮助用户直接出报告,这是几个新的能力升级之后的案例,第一个客户特点很明确,有几十个UID,每个UID下都有上百个云产品,需求是云产品会经常的变更,所以要尽快的发现新上线的云产品是不是有一些错误的配置,通过API的方式,直接调用云安全中心的CSPM,去拉取所有UID下的云产品的配置检测,每天可以快速对所有UID下的上百个,上千个云产品进行风险检查,检查的结果就可以定向投递到运营业务团队里面,要求他们修复整改,第二个是威胁分析,响应的案例,用户只有两到三个人,但每天要运维十几款安全产品,要翻不同的控制台看风险,然后做处置,做告警。
如果通过CTDR的产品架构,可以把三个账号下所有的安全产品统一接入到一个账号下,然后进行统一的威胁的聚合分析,结合内置剧本做响应处置,从而提升响应率。第三个客户是有很多敏感资源,敏感资源可以使用Agentless,不需要安装插件,非敏感需要高攻防对抗,用Agent base方案做相关的结合,并将所有的风险透露在云安全中心的界面中。
四、云安全中心产品普惠政策
云安全中心2.0的升级。一直在向更全面、更轻量和更智能的方向做产品能力的迭代和演进。这里面讲一下普惠的价格策略。首先是防病毒版本,它提供给用户三个月的免费使用,帮助用户针对病毒进行一个查杀。
第二个,在云栖大会新发一个能力针对每一个用户,一年提供100次漏洞修复的免费动作,从而大家可以通过它修漏洞,并且这个是免费的,第三个是云平台的配置检查,CSPM每年提供1000次免费的修复和检测,同时做很大的降价,之前检测一次一毛钱,现在检测一次最高价是0.065元,大概降价93%,并且它也一直在不断的优化价格体系,满足用户的需求。第四个是最高级的企业版和旗舰版,可以让用户进行七天的免费试用。这个产品也得到很多相关机构的认可,包括IDC,CWPP,它连续三年是公有云市场份额的第一,EDR的能力是纵轴能力第一,包括在Forrester的安全能力测评里边容器安全达到全球的最高分,这是市场的认可,但更多的认可是用户的认可,同时希望大家多支持产品,多使用产品,有问题随时反馈。
