摘要:随着越来越多的企业和机构正在逐步上云,主机安全是企业上云首先需要考虑的问题。在当前安全事件频发,且企业还没有具备专业安全运营能力的现状下,只具备检测或防御等单一功能的传统主机安全产品已不再适应这样的场景和需求,产品具备检测、防御为一体的安全闭环能力将成为刚需。
一、主机安全面临的挑战
1. 恶意攻击仍将持续猖獗
所谓擒贼先擒王,主机对于一家企业来说是整个系统的根本,攻陷了主机就等于攻陷了整个企业,因此主机层面的攻防战争永远硝烟弥漫。挖矿程序、蠕虫病毒、勒索病毒、木马程序、DDoS木马、后门程序、感染性病毒、恶意程序等各类入侵主机的病毒在2019年将持续猖獗,因为利用这些病毒入侵主机从而获取加密货币,已成为黑客牟利的主要途径。根据McAfee最新报告,加密货币恶意软件数量过去一年增长了4000%。虽然在2018年加密货币大幅贬值,但这并不影响黑客变现的热情,这也预示着2019年勒索、挖矿、蠕虫等病毒仍将继续猖獗,企业在主机入侵防御方面一刻不能松懈。
2. 安全事件频发,而安全产品能力过于单一
截止2018年12月27日,由恶意软件造成的经济损失已超百亿美金,以 Wannacry病毒家族为例,在过去一年就衍生变种上万种,病毒蠕虫化趋势明显, 2017年以后,该类新型勒索病毒已经不满足于只加密一台机器,而是通过漏洞或弱口令攻击网络中的其它机器,以获取更多的利益。
美国FBI(联邦调查局)一位高管曾说:世界上只有两种企业,一种是知道自己已被黑客入侵的;另一种是还浑然未知的。
当前绝大部分企业仍面临安全自动化程度低、安全运营能力不足的现状,疲于应急却束手无策。而目前市场上提供的安全产品基本上只能解决一个问题,一家企业如果要保障自身的主机安全,可能需要购买七八种产品,在这种碎片化严重的传统烟囱式安全市场中,对于不是安全行业从事者的企业用户来说,要挑选出适合自身业务场景的安全产品并将其整合成一体化的安全解决方案并非易事,通常需要3-9个月的时间才能完成采购、部署和试运营,往往在此期间,企业已被黑客入侵。所以,对于绝大多数企业用户而言,最佳选择是采购一款即买即用(SaaS化)的可以实现一站式自动化安全闭环的主机安全产品或解决方案。
3. 99%的企业不具备专业安全运营能力
2019年,中国信息安全行业规模将达到千亿量级,安全人才仍是紧缺资源,预计缺口将超过140万。尤其对于主机安全而言,威胁分析能力尤为重要,而真正具备这种能力的人才更是稀缺。在这样的趋势下,保障主机安全的成本仍将持续走高。对于99%的企业而言,构建专业的安全运营团队将是伪命题。
这将进一步要求云主机安全产品应更加充分利用云计算的特性,为企业提供自动化检测、分析、防御为一体的闭环服务,在企业人员有限的情况下尽量降低安全运营人员的工作量,帮助企业更好的抵御恶意软件威胁。
二、数据智能驱动的主机安全闭环能力
主机安全是企业上云后首先要考虑的问题,在当前安全事件频发,且企业还没有具备专业安全运营能力的现状下,完善的安全闭环能力将成为用户刚需。由于云厂商原生的安全产品对于平台的易用性和耦合性更强,相对于传统安全产品更具备一定优势。
安骑士是阿里云推出的一款主机安全产品,可以为用户提供自动化检测、分析、防御为一体的安全闭环服务。其自动化安全闭环PDCA(Plan-Do-Check-Act)机制如下图所示:
在数据采集和检测阶段,安骑士可以自动化采集登陆流水、进程启动、网络连接等七大类主机原始安全日志,并可以基于安全检测引擎进行自动化监测,相对于传统主机安全产品而言,数据采集维度多样,更具完整性。
在威胁预警阶段,目前市场上大多数主机安全产品缺少对海量源数据的自动化分析能力,用户需要花费大量精力来处理海量告警信息。仅一家中小企业每天的日志量就可以达到百万级别,安全告警千余条,一家大企业的日志量则可能达到数亿级别。对于没有专业分析人才的企业而言,面对海量数据,难以对所有告警信息做关联分析并加以合理处置,而且大量低危异常信息占据安全人员的绝大多数时间,导致真正需要关心的威胁告警被掩盖、遗漏。
为了解决此痛点,安骑士将自动化关联分析加入产品的默认功能当中。在数据采集和检测阶段,安骑士不仅可以实时采集主机安全日志,而且从用户行为、大数据关联分析引擎和主机运行状态等多维度对日志进行实时自动化关联分析,从海量的日志数据中挖掘出真正的威胁告警给到用户。以挖矿病毒为例,安骑士会将挖矿通信行为、挖矿病毒及主机CPU载荷数据进行自动化关联分析,通过短信、邮件等多渠道通知用户,并以可视化的方式呈现,让用户一目了然的看清告警,并能快速处置安全威胁。
自动关联分析:从海量告警信息中找出真正威胁
自动关联分析告警界面示例
数据采集、检测并向用户发布预警之后并不能就此结束,具备安全闭环能力的产品还需要做到精准防御。一般情况下病毒会通过主机上的弱点植入,植入主机后,木马启动时会对应启动一个进程,安骑士会在这个进程启动时进行检测,若检测到该进程为恶意进程,则会自动进行拦截,无需用户做任何操作,即可成功防御病毒,这样一个完整的安全闭环才算完成。
基于阿里云十年攻防经验打造的安骑士具备如下优势:
- 数据驱动:以数据为中心的安全模式,利用阿里云大规模的计算能力,实现海量原始数据自动化实时检测分析,让威胁无处隐藏。
- 自动化关联分析:阿里云安全经验输出的核心入口,让99%的企业具备专业的安全分析能力,让真正的威胁浮出水面,实现快速应急决策能力
- 精准防御:由阿里云安全专家分析验证,确保零误杀,实现业务零影响,主动防御已知的主流病毒,将应急处置能力实时化,同时解决基础安全运营工作量。
三、结语
当前全国40%的网站业务运行在阿里云上,阿里云已成为一个攻防大练场,能最快速的获得最新威胁情报,并不断积累自身的攻防实战经验,这为阿里云安全产品的不断优化升级提供了独特优势。未来不仅是主机产品需要从单一功能产品向产品解决方案发展,所有安全产品都应该形成默认安全闭环,演变成一个解决方案,减少用户的学习成本,降低用户在安全运营等各方面投入,让用户用最少的产品组合达到最大的安全保障,为业务安全保驾护航。
