雲時代重新定義主機安全：自動化安全閉環是核心

摘要：隨著越來越多的企業和機構正在逐步上雲，主機安全是企業上雲首先需要考慮的問題。在當前安全事件頻發，且企業還沒有具備專業安全運營能力的現狀下，只具備檢測或防禦等單一功能的傳統主機安全產品已不再適應這樣的場景和需求，產品具備檢測、防禦為一體的安全閉環能力將成為剛需。

一、主機安全面臨的挑戰

1. 惡意攻擊仍將持續猖獗

所謂擒賊先擒王，主機對於一家企業來說是整個系統的根本，攻陷了主機就等於攻陷了整個企業，因此主機層面的攻防戰爭永遠硝煙瀰漫。挖礦程式、蠕蟲病毒、勒索病毒、木馬程式、DDoS木馬、後門程式、感染性病毒、惡意程式等各類入侵主機的病毒在2019年將持續猖獗，因為利用這些病毒入侵主機從而獲取加密貨幣，已成為黑客牟利的主要途徑。根據McAfee最新報告，加密貨幣惡意軟體數量過去一年增長了4000%。雖然在2018年加密貨幣大幅貶值，但這並不影響黑客變現的熱情，這也預示著2019年勒索、挖礦、蠕蟲等病毒仍將繼續猖獗，企業在主機入侵防禦方面一刻不能鬆懈。

2. 安全事件頻發，而安全產品能力過於單一

截止2018年12月27日，由惡意軟體造成的經濟損失已超百億美金，以 Wannacry病毒家族為例，在過去一年就衍生變種上萬種，病毒蠕蟲化趨勢明顯， 2017年以後，該類新型勒索病毒已經不滿足於只加密一臺機器，而是通過漏洞或弱口令攻擊網路中的其它機器，以獲取更多的利益。

美國FBI（聯邦調查局）一位高管曾說：世界上只有兩種企業，一種是知道自己已被黑客入侵的；另一種是還渾然未知的。

當前絕大部分企業仍面臨安全自動化程度低、安全運營能力不足的現狀，疲於應急卻束手無策。而目前市場上提供的安全產品基本上只能解決一個問題，一家企業如果要保障自身的主機安全，可能需要購買七八種產品，在這種碎片化嚴重的傳統煙囪式安全市場中，對於不是安全行業從事者的企業使用者來說，要挑選出適合自身業務場景的安全產品並將其整合成一體化的安全解決方案並非易事，通常需要3-9個月的時間才能完成採購、部署和試運營，往往在此期間，企業已被黑客入侵。所以，對於絕大多數企業使用者而言，最佳選擇是採購一款即買即用（SaaS化）的可以實現一站式自動化安全閉環的主機安全產品或解決方案。

3. 99%的企業不具備專業安全運營能力

2019年，中國資訊保安行業規模將達到千億量級，安全人才仍是緊缺資源，預計缺口將超過140萬。尤其對於主機安全而言，威脅分析能力尤為重要，而真正具備這種能力的人才更是稀缺。在這樣的趨勢下，保障主機安全的成本仍將持續走高。對於99%的企業而言，構建專業的安全運營團隊將是偽命題。

這將進一步要求雲主機安全產品應更加充分利用雲端計算的特性，為企業提供自動化檢測、分析、防禦為一體的閉環服務，在企業人員有限的情況下儘量降低安全運營人員的工作量，幫助企業更好的抵禦惡意軟體威脅。

二、資料智慧驅動的主機安全閉環能力

主機安全是企業上雲後首先要考慮的問題，在當前安全事件頻發，且企業還沒有具備專業安全運營能力的現狀下，完善的安全閉環能力將成為使用者剛需。由於雲廠商原生的安全產品對於平臺的易用性和耦合性更強，相對於傳統安全產品更具備一定優勢。

安騎士是阿里雲推出的一款主機安全產品，可以為使用者提供自動化檢測、分析、防禦為一體的安全閉環服務。其自動化安全閉環PDCA（Plan-Do-Check-Act）機制如下圖所示：

在資料採集和檢測階段，安騎士可以自動化採集登陸流水、程式啟動、網路連線等七大類主機原始安全日誌，並可以基於安全檢測引擎進行自動化監測，相對於傳統主機安全產品而言，資料採集維度多樣，更具完整性。

在威脅預警階段，目前市場上大多數主機安全產品缺少對海量源資料的自動化分析能力，使用者需要花費大量精力來處理海量告警資訊。僅一家中小企業每天的日誌量就可以達到百萬級別，安全告警千餘條，一家大企業的日誌量則可能達到數億級別。對於沒有專業分析人才的企業而言，面對海量資料，難以對所有告警資訊做關聯分析並加以合理處置，而且大量低危異常資訊佔據安全人員的絕大多數時間，導致真正需要關心的威脅告警被掩蓋、遺漏。

為了解決此痛點，安騎士將自動化關聯分析加入產品的預設功能當中。在資料採集和檢測階段，安騎士不僅可以實時採集主機安全日誌，而且從使用者行為、大資料關聯分析引擎和主機執行狀態等多維度對日誌進行實時自動化關聯分析，從海量的日誌資料中挖掘出真正的威脅告警給到使用者。以挖礦病毒為例，安騎士會將挖礦通訊行為、挖礦病毒及主機CPU載荷資料進行自動化關聯分析，通過簡訊、郵件等多渠道通知使用者，並以視覺化的方式呈現，讓使用者一目瞭然的看清告警，並能快速處置安全威脅。

自動關聯分析：從海量告警資訊中找出真正威脅

自動關聯分析告警介面示例

資料採集、檢測並向使用者釋出預警之後並不能就此結束，具備安全閉環能力的產品還需要做到精準防禦。一般情況下病毒會通過主機上的弱點植入，植入主機後，木馬啟動時會對應啟動一個程式，安騎士會在這個程式啟動時進行檢測，若檢測到該程式為惡意程式，則會自動進行攔截，無需使用者做任何操作，即可成功防禦病毒，這樣一個完整的安全閉環才算完成。

基於阿里雲十年攻防經驗打造的安騎士具備如下優勢：

• 資料驅動：以資料為中心的安全模式，利用阿里雲大規模的計算能力，實現海量原始資料自動化實時檢測分析，讓威脅無處隱藏。
• 自動化關聯分析：阿里雲安全經驗輸出的核心入口，讓99%的企業具備專業的安全分析能力，讓真正的威脅浮出水面，實現快速應急決策能力
• 精準防禦：由阿里雲安全專家分析驗證，確保零誤殺，實現業務零影響，主動防禦已知的主流病毒，將應急處置能力實時化，同時解決基礎安全運營工作量。

三、結語

當前全國40%的網站業務執行在阿里雲上，阿里雲已成為一個攻防大練場，能最快速的獲得最新威脅情報，並不斷積累自身的攻防實戰經驗，這為阿里雲安全產品的不斷優化升級提供了獨特優勢。未來不僅是主機產品需要從單一功能產品向產品解決方案發展，所有安全產品都應該形成預設安全閉環，演變成一個解決方案，減少使用者的學習成本，降低使用者在安全運營等各方面投入，讓使用者用最少的產品組合達到最大的安全保障，為業務安全保駕護航。