隨着數字化轉型的深入發展,企業雲上資產越來越多元化,隨之而來的是安全威脅的複雜化,企業需要花費大量精力進行告警分析、威脅檢測、病毒查殺等工作。Gartner曾指出,隨着安全警報的複雜性與頻率不斷增加,安全投資需要對安全運營中心(SOC)進行投資,到2022年,50%的安全運營中心將轉變爲具備綜合事件響應、威脅情報和威脅搜索能力的現代化安全運營中心。
阿里雲率先推出了亞洲第一個雲安全中心,通過一個平臺集中式安全管理,實現了雲上資產全面安全預防、威脅檢測、調查響應、主動防禦爲一體的自動化安全閉環,讓雲上客戶的安全運營人員從海量告警分析中解放出來,幫助雲上欠缺專業安全運營人員的客戶自動化解決安全問題,讓這種高等級的安全運營能力成爲所有企業的基礎設施能力之一,實現全方位默認安全防護。
主動防禦:自動化解決安全威脅
目前一般病毒都具備反查殺能力,善於僞裝進行“潛伏”。傳統通過黑名單進行查殺的方式在遇到僞裝後的病毒時就會失效,且病毒的變種繁多,傳播迅速,需要病毒庫實時更新。企業需要的是實時全局監控、智能分析及自動化防禦,而不是單點應急響應。
阿里雲安全中心部署在雲端,通過和阿里雲平臺的深度集成,可以在系統內核層面實現雲上文件和進程行爲的全局監控和實時分析,有效繞過頑固木馬和惡意程序的反查殺能力;還可以基於程序行爲分析,挖掘出黑名單未能辨識的惡意威脅,實現主動攔截;其雲端病毒庫實時更新,集成了國內外主流殺毒引擎、阿里雲自研沙箱和機器學習引擎等前沿技術,可以避免因病毒庫更新不及時而造成的損失。
除此之外,阿里雲安全中心還提供了網頁防篡改能力。網上無處不在的黑客入侵和掛馬是令大多數網站最頭疼的事。一但被掛馬入侵,除了網站內容被篡改成不當內容之外,還有可能淪爲黑客的肉雞。阿里雲安全中心爲用戶提供針對網站文字內容、圖片及腳本實時保護的能力,只有用戶允許的程序才能存取網頁文件,只要不是用戶允許的行爲都會被攔截並通知用戶。
安全預防:構建多維安全防線,讓威脅無縫可鑽
當前,企業越來越多的業務轉移到線上,爲自身發展帶來利好的同時也擴大了被攻擊面,加之安全意識不足,給了黑客可乘之機。在Gartner 今年針對89個國家3102名首席信息官的調查中發現,95%的受訪者認爲信息安全威脅將會上升。
阿里雲安全中心要做的不僅是對威脅入侵的攔截,更是通過構建多維安全防線,讓安全威脅連進來的機會都沒有,主要通過以下三方面來實現:
漏洞修復:基於自主研發的跨平臺漏洞掃描及修復引擎,幫助用戶實現同時對多個系統和應用進行掃描和修復的運維工作,目前已支持Windows系統、阿里雲提供的第三方Linux版本、主流的CMS系統,同時還能檢測官方未能提供補丁的系統或是應用的應急漏洞。
輸出雲安全最佳實踐:從身份認證、網絡訪問控制、數據安全、日誌審計、基礎安全防護五個維度,爲用戶提供最佳安全配置實踐。同時由於雲安全中心和雲平臺的深度集成,可以幫助用戶看到從雲主機到雲平臺等各個維度的安全隱患,從而降低因雲環境和雲產品配置錯誤導致的風險隱患。
基線檢查:通過任務下發模式,對主機進行安全配置掃描,包括賬號安全、系統配置、數據庫風險、合規對標要求等方面,對未符合標準的項目進行提醒。除此之外,用戶還可以自定義檢測策略,設置檢測項目、檢測週期、應用的服務器組等。
威脅檢測:讓所有威脅無處隱藏
威脅方式和攻擊手段逐漸由原來廣撒網式無差別掃描攻擊轉變爲定向攻擊,傳統的反病毒技術越來越難以應對這種新型威脅。大多數企業只能通過人工收集內部海量日誌進行分析,從而找到可疑的攻擊行爲,但是在海量的數據裏找到異常行爲,除了需要具備豐富經驗的運維人員,更需要投入大量的人力和物力,成本高昂。
由於雲上數據天然融合,阿里雲安全中心將各個產品進行深度整合,基於阿里雲的深度學習能力、海量數據以及強大的算力優勢,實現了威脅告警、攻擊事件的實時檢測和自動化關聯分析,從而挖掘出經過僞裝的潛在威脅,大大降低了人力成本和時間成本,讓黑客、掛馬後門程序無所遁行。
調查&響應:一切攻擊可視、可管、可控
隨着定向攻擊的增多,越來越多的被攻擊企業希望瞭解攻擊者是誰及其攻擊過程。但由於安全調查人員並不是企業標配,一旦遇到安全事件只能花費高昂成本聘請外部專業公司進行調查。
雲安全中心基於雲的原生優勢,可以全面收集和分析各個維度的安全日誌,爲用戶提供一個全知視角的安全管理中心,並通過可視化的界面,呈現給用戶。用戶只需要花幾分鐘通過幾個鼠標點擊動作就可以看到整個攻擊過程,包括攻擊時間、外部IP、被利用的系統漏洞等信息,並可以對惡意程序進行一鍵隔離,或是阻斷惡意IP的訪問。徹底告別傳統方式下通過逐個手動配置安全產品來進行防護和溯源的方式,大大提升了效率。
目前,阿里雲安全中心已全面上線,希望將這種雲的原生安全能力普惠到每個企業,讓所有客戶都能擁有阿里巴巴同等級別的安全能力,與生態夥伴、客戶共同維護整個網絡空間的安全。