先知平臺助力企業級資訊保安——阿里雲雙11特別訪談

場景研讀發表於2017-11-07

摘要：在過去一年多的時間中，阿里雲的企業級安全專案“先知平臺”已經幫助了眾多的企業構建或改進出了各自完備的安全體系。此次阿里雲雙11訪談先知平臺專場中，阿里云云盾安全資深產品專家笑然就為大家簡單的介紹了阿里雲先知平臺的基本情況，並且對其發展歷程、產品優勢、合作伙伴、發展方向等內容做出了精彩的分享。

以下內容根據訪談視訊整理而成。

阿里雲企業級安全服務簡介

阿里雲的安全服務系列已經推出了較長時間，並在去年上線後又出現了一系列新的發展。

整體上，面對企業客戶的安全服務主要由先知平臺進行承載。具備包括“安全眾測”、“等保測評”、“安全培訓”、“SDL諮詢”等十多種安全服務。

先知安全服務平臺背景介紹

阿里雲的雲盾系列產品在2015年便已經上線，並針對其雲上客戶提供安全防禦和服務。其中一項名為滲透式測試的服務被廣泛歡迎。該服務由阿里雲內部團隊為客戶提供。客戶可以希望通過該服務檢驗自身系統的安全性，並規避被黑客入侵的風險。這項服務的定價並不便宜，每個域名可能都在十萬元左右，但是仍舊供不應求，存在大量的客戶期望排隊購買。很多購買服務的客戶都可能存在一個疑惑：假若發現了自身的系統中存在問題，例如能從某一個點洩露核心關鍵資料，或者是存在影響業務執行的重大弱點，在測試中成功被滲透的話，是否會有其他弱點也能導致同樣的嚴重後果呢？

為了能使客戶在更低的成本下發現更多安全問題，16年年初，原本的滲透測試服務被阿里雲下線，而阿里內部的ASRC（阿里巴巴安全應急響應中心）部門服務則開始對外開放。通過這一舉措，阿里巴巴能夠利用其在安全方面豐富的運營經驗和優秀的安全專家資源，同樣服務於廣大的企業客戶。這也就是先知平臺成立的背景。截至目前，先知平臺擁有五千餘名優秀的安全專家，以及數百個合作安全中心的強強聯合。

2016年期間，先知平臺主要專注於安全眾測場景，旨在為客戶提供最好的安全測試服務，17年一月份後，出於客戶對安全服務日益迫切的需求，阿里雲對先知平臺進行了一次全方位的升級，將其改變為一個安全服務平臺。先知上全部的安全服務均由阿里雲來定義服務內容、流程及其SLA（標準），並對安全專家進行嚴格的篩選。通過對人員安全的控制和把關，和對相關人員在技術方面的賦能和培訓，來保證他們提供的服務符合阿里雲先知平臺的標準，從而保證交付給客戶的服務質量。

優質透明 可信的服務提供

針對企業安全方面，阿里雲有著先天的巨大優勢，其一是阿里雲的品牌優勢：這意味著這一專案能夠將行業內最頂尖的安全技術專家和安全公司吸引過來。
其二是稽核優勢，在邀請外部安全專家入駐的同時，阿里雲自身的稽核要求同樣十分嚴格。包括支付寶的實名認證
，技能門檻的認證等。
滿足要求後，還要對安全人員進行整套服務的培訓。因為全部的服務流程都有阿里雲進行參與，所以對流程的把控也就特別的清晰和明確。

例如安全眾測服務中，測試人員通過使用阿里雲自己的VPN，來把測試流量轉發到客戶業務和系統上，從而做到對測試流量的實時監控和記錄。整個安全測試的過程和操作對阿里雲，對客戶都是透明的。不僅對服務過程進行了控制，也在另一個層面控制了整體的服務風險。

獨特且精準的漏洞層級劃分

迄今為止，先知安全眾測已經服務了五百多名客戶，在先知官網的首頁下方，我們很容易就能看到一套總結好的針對高中低危漏洞定義的標準，該標準基本可以做到通用於全行業，是雲安全參與者們在眾多專案中智慧的沉澱。簡單來說，一個漏洞對客戶業務的影響和危害性越大，它的層級劃分也就越高。針對部分客戶更高和更加個性化的需求，阿里雲也都能加以支援，並在測試前將在相應的標準交付控制檯，指出其與線上通用標準之間的差別。

明確而實用的系統完善方案

對每一位安全專家提供的漏洞，阿里雲的安全工程師都會給企業客戶提供明確的修復方案，這不僅包括程式碼層面的修復，同樣也會根據客戶的實際情況進行增進。例如，針對之前曾經遭受過SQL隱碼攻擊的企業，就可以考慮應用WAFF進行相應的防禦，以制止其他外部層面的攻擊。針對程式碼層面修復，阿里雲的安全工程師們同樣會對客戶的安全產品進行配置，幫助企業建立起自己的安全防禦體系。

包括阿里自身在內也是如此：由外部的安全專家為阿里業務提交漏洞和風險項，通過這些內容檢測自身的安全防禦措施有無短板，確認在安全監測、防禦、響應等方面應當如何提升。
並最終形成外部發現風險，內部對防禦體系進行提升的閉環。並隨著自身業務和風險的逐漸增加，繼續對其迭代以進行防禦和應對。

針對企業定製化的安全培訓

為了能夠提高企業客戶的安全開發意識，先知平臺專門提供了針對性的安全培訓服務。並可以根據企業的不同研發方向進行定製化，在各種程式語言的安全開發流程中都有其規範。從而令客戶企業的開發人員在開發時就能具備一定的安全意識，降低程式碼中出現安全錯誤的機率。阿里雲會通過直接現場培訓的方式培訓客戶企業的安全人員，並通過出題測試等方式，來保證培訓的效果。

面向小微企業的全方位安全管家

針對某些小企業伺服器規模有限，並且沒有專業的安全團隊進行保障的情況，先知平臺特別提供了安全管家服務，用於對雲上客戶進行常規的安全執行運營，以保證安全效果。對於已經出現安全事件的伺服器，安全管家可以針對客戶的安全事件進行應急響應，幫助客戶查詢出現安全事件的原因，並幫助客戶清理黑客植入的木馬和後門，及時進行業務止血，並在之後給客戶做一個安全加固的建議。簡而言之，安全管家就是企業的安全運營者，直接對安全運營的效果負責。其收費也不會高於企業自身招聘安全工程師的成本，保證了對客戶的經濟性。

先知平臺的未來發展方向

先知平臺的未來不僅由平臺自身決定，同樣也由雲上客戶的需求進行制定。先知平臺的發展目標就是為雲上雲下的客戶提供效果最好的安全服務，提供企業安全能力，幫助合作企業完成安全體系建設。新的網路安全法執行之後，幾乎全部企業都具備通過等保測評的需要，尤其是金融、政務、網約車方面的客戶更是如此。阿里雲希望通過先知平臺來更好的連結企業客戶與測評中心，來幫助企業更好更快的通過自身業務的等保測評。通過和國內較強的等保執行中心進行聯合的方式，在先知平臺上為阿里雲客戶提供等保測評服務。

以白帽子為標誌的優秀安全人員

以白帽子為標誌的優秀安全人員是先知平臺發展的基礎和源動力。實際上，這是一群很可愛的人，他們追求技術，並在平臺的連線中與越來越多的企業產生了聯絡。先知官網首頁有一個名人堂。在三月份，平臺也在北京舉辦了先知的白帽大會，對top級別的安全合作伙伴和白帽子進行表彰，代表性的top級別白帽子是GR36，他對web安全的理解非常深刻，並發現了眾多級別很高的漏洞。在大會上，他與其他安全人員共同分享了自己的一些經驗。此外，
安石科技的四爺；NO.XX；男一號等卓越的安全技術專家都與阿里雲進行著長期的技術合作，他們技術優秀，並受到客戶的廣泛好評。

公司級別的合作伙伴方面，上海的安石科技，西安的四葉草，上海駐雲科技，銀行卡檢測中心，中國金融電子化公司，工信部電子工業標準研究院都是阿里雲安全的優秀同僚，在這些安全公司和白帽子的加持之下，先知平臺有信心也有能力勝任各類企業的資訊保安工作。

“雙11”期間先知平臺的優惠和驚喜

今年是先知安全服務平臺首次參加雙十一，因此也給出了額度巨大的優惠。安全眾測方面，直接把漏洞單價（行業內一個高危漏洞均價5k）做到五折，這還多虧了白帽子們的支援。他們願意為更多企業提供更好的服務，保證這些企業本身安全措施的效果。公司也會對優秀的白帽子進行激勵，包括榮譽和其他的方面。

此外，安全培訓和應急響應同樣都是五折優惠。如果在雙十一期間購入這些服務，對企業來說是可以省很大一部分開銷的。等保測評這一服務相對特殊：在測評結果公佈時，大多數企業都會面臨各種風險和問題。為了降低企業在測評後整改的成本，對於雙十一期間購買等保測評服務的企業，阿里雲會直接贈送價值一萬元的先知安全眾測代金券，來幫助客戶更好符合等保要求。對普通企業來說，如果希望通過等保，並在雙十一期間下單的話，就會獲證這一萬元的代金券。用代金券進行先知眾測，查出的漏洞還能做到全面五折，形成一套連鎖的優惠體系。

先知平臺建立的初衷，就是要通過提供滿足客戶需求的服務，提升企業的安全效果，從而最終建立健全企業的安全體系。如果你的企業在資訊保安方面有相應的要求。那麼這次雙十一的機會，可千萬不要錯過。

========

阿里雲雙11訪談之容器服務 https://yq.aliyun.com/articles/229366

阿里雲雙11訪談之視訊雲 https://yq.aliyun.com/articles/229356

阿里雲雙11訪談之中介軟體 https://yq.aliyun.com/articles/229354

阿里雲雙11訪談之雲端儲存 https://yq.aliyun.com/articles/228482

阿里雲雙11訪談之ECS彈性計算 https://yq.aliyun.com/articles/228321

阿里雲雙11訪談之資料智慧 https://yq.aliyun.com/articles/228322

阿里雲雙11訪談之MaxCompute https://yq.aliyun.com/articles/228477

阿里雲雙11訪談之Elasticsearch https://yq.aliyun.com/articles/228478

阿里雲雙11訪談之雲安全 https://yq.aliyun.com/articles/232109

阿里雲雙11訪談之雲資料庫 https://yq.aliyun.com/articles/230063