華為云|云上作戰(zhàn)指揮中心

“知己知彼，百戰(zhàn)不殆”。

“誰(shuí)是我們的敵人，誰(shuí)是我們的朋友，這是中國(guó)革命的首要問(wèn)題”。

同樣地，在網(wǎng)絡(luò)安全防護(hù)上，也要知道什么人在攻擊你、攻擊的全局態(tài)勢(shì)是什么樣的，甚至要能根據(jù)現(xiàn)有信息預(yù)測(cè)出來(lái)攻擊者可能的行動(dòng)方向。不然稀里糊涂的，不知道自己云上業(yè)務(wù)系統(tǒng)的安全態(tài)勢(shì)，就很難說(shuō)怎么有針對(duì)性的去防護(hù)。態(tài)勢(shì)感知，相當(dāng)于在企業(yè)面前豎起一個(gè)作戰(zhàn)大屏，讓企業(yè)看清安全攻擊的全貌，從容制定防御策略。

顧名思義，態(tài)勢(shì)感知就是對(duì)能夠引起用戶云上系統(tǒng)的安全態(tài)勢(shì)發(fā)生變化的所有安全要素進(jìn)行獲取、理解以及預(yù)測(cè)未來(lái)的發(fā)展趨勢(shì)，并通過(guò)可視化技術(shù)呈現(xiàn)出來(lái)，為安全防護(hù)行動(dòng)提供決策。核心的是感知、理解、預(yù)測(cè)、呈現(xiàn)、決策：

感知：獲取當(dāng)前系統(tǒng)和網(wǎng)絡(luò)的安全狀態(tài)，比如是哪個(gè)IP在攻擊我、是什么類型的攻擊、攻擊的頻率怎么樣的，這一層次是最基礎(chǔ)的信息收集整理的階段。

理解：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性，比如理解攻擊的危害、攻擊發(fā)生的原因等。對(duì)此，

預(yù)測(cè)：基于對(duì)云上安全信息的感知和理解，預(yù)測(cè)相關(guān)攻擊未來(lái)的發(fā)展趨勢(shì)。

呈現(xiàn)：即通過(guò)可視化技術(shù)，把攻擊情況清楚地顯示出來(lái)。

決策：即對(duì)態(tài)勢(shì)感知提供的洞察，采取的相應(yīng)的防護(hù)措施。

基于以上基本概念，業(yè)界實(shí)現(xiàn)的態(tài)勢(shì)感知類的產(chǎn)品大同小異，原理都是對(duì)用戶的全流量進(jìn)行旁路分析，結(jié)合可視化技術(shù)、威脅情報(bào)、行為分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)等技術(shù)，對(duì)用戶云上的全網(wǎng)流量實(shí)現(xiàn)資產(chǎn)可視化、威脅可視化等，幫助用戶及時(shí)發(fā)現(xiàn)云上的安全威脅。

全流量分析，這是很多安全產(chǎn)品都會(huì)做的工作，即可把經(jīng)過(guò)系統(tǒng)或者服務(wù)器的所有流量都進(jìn)行分析，以發(fā)現(xiàn)其中的異常。為了不影響業(yè)務(wù)，最常用的全流量分析方法是程序猿們經(jīng)常說(shuō)的“旁路鏡像”，即把全流量復(fù)制一份下來(lái)，在旁邊悄悄地進(jìn)行分析，發(fā)現(xiàn)問(wèn)題就采取相應(yīng)的防護(hù)策略，比如下發(fā)一個(gè)策略阻斷現(xiàn)網(wǎng)的惡意訪問(wèn)。

威脅情報(bào)關(guān)聯(lián)，即把歷史或合作伙伴分析的威脅情報(bào)關(guān)聯(lián)到現(xiàn)在的系統(tǒng)里，分析可能存在的異常。比如歷史的威脅情報(bào)里表明，某個(gè)IP經(jīng)常發(fā)起惡意攻擊，那這個(gè)IP出現(xiàn)在用戶訪問(wèn)列表里，就有一定的可疑，結(jié)合其他的分析手段，就能知道這個(gè)IP到底是正常訪問(wèn)還是惡意攻擊。

異常行為分析，顧名思義，即從全流量里獲取的信息分析用戶是否有異常行為，是否可能是惡意攻擊，比如分析用戶的賬號(hào)是否異常、云主機(jī)是否被攻破了、數(shù)據(jù)有沒(méi)有泄露等等。

可視化呈現(xiàn)，這是為了方便無(wú)論是否是安全專業(yè)人士，都能夠清晰的了解當(dāng)前系統(tǒng)的安全狀態(tài)，方便企業(yè)安全人員發(fā)現(xiàn)和處理威脅，提高處置安全事件的效率。

作為以上原理的工程實(shí)現(xiàn)，華為云態(tài)勢(shì)感知服務(wù)實(shí)現(xiàn)了以下主要功能：

一、態(tài)勢(shì)展示：提供綜合態(tài)勢(shì)感知大屏，后續(xù)還會(huì)增加主機(jī)安全和網(wǎng)絡(luò)安全大屏，集中呈現(xiàn)資產(chǎn)的所有安全狀態(tài)，評(píng)估整體安全風(fēng)險(xiǎn)。

二、威脅告警：檢測(cè)DDoS攻擊、暴力破解、Web攻擊、后門木馬、漏洞攻擊、僵尸主機(jī)、異常行為、命令與控制等20+種云上安全風(fēng)險(xiǎn)模型，并提供告警功能。

三、漏洞管理：對(duì)系統(tǒng)進(jìn)行檢測(cè)，快速識(shí)別風(fēng)險(xiǎn)，并發(fā)現(xiàn)攻擊者可能感興趣的資產(chǎn)，幫助用戶彌補(bǔ)安全短板。其集成了漏洞掃描功能，可以在不安裝主機(jī)agent的情況下，從網(wǎng)絡(luò)側(cè)掃描主機(jī)漏洞和網(wǎng)站漏洞。

四、基線檢查：檢測(cè)操作系統(tǒng)、中間件、主機(jī)、數(shù)據(jù)庫(kù)存在的風(fēng)險(xiǎn)和配置，并提供修復(fù)建議。

五、安全聯(lián)動(dòng)；針對(duì)主要的威脅告警，提供安全編排功能，聯(lián)動(dòng)已有安全服務(wù)，執(zhí)行檢測(cè)分析、防御阻斷、深度排查和安全加固等防御策略。