華為云|云上作戰(zhàn)指揮中心

“知己知彼，百戰(zhàn)不殆”。

“誰是我們的敵人，誰是我們的朋友，這是中國革命的首要問題”。

同樣地，在網(wǎng)絡(luò)安全防護上，也要知道什么人在攻擊你、攻擊的全局態(tài)勢是什么樣的，甚至要能根據(jù)現(xiàn)有信息預(yù)測出來攻擊者可能的行動方向。不然稀里糊涂的，不知道自己云上業(yè)務(wù)系統(tǒng)的安全態(tài)勢，就很難說怎么有針對性的去防護。態(tài)勢感知，相當于在企業(yè)面前豎起一個作戰(zhàn)大屏，讓企業(yè)看清安全攻擊的全貌，從容制定防御策略。

顧名思義，態(tài)勢感知就是對能夠引起用戶云上系統(tǒng)的安全態(tài)勢發(fā)生變化的所有安全要素進行獲取、理解以及預(yù)測未來的發(fā)展趨勢，并通過可視化技術(shù)呈現(xiàn)出來，為安全防護行動提供決策。核心的是感知、理解、預(yù)測、呈現(xiàn)、決策：

感知：獲取當前系統(tǒng)和網(wǎng)絡(luò)的安全狀態(tài)，比如是哪個IP在攻擊我、是什么類型的攻擊、攻擊的頻率怎么樣的，這一層次是最基礎(chǔ)的信息收集整理的階段。

理解：整合感知到的數(shù)據(jù)和信息，分析其相關(guān)性，比如理解攻擊的危害、攻擊發(fā)生的原因等。對此，

預(yù)測：基于對云上安全信息的感知和理解，預(yù)測相關(guān)攻擊未來的發(fā)展趨勢。

呈現(xiàn)：即通過可視化技術(shù)，把攻擊情況清楚地顯示出來。

決策：即對態(tài)勢感知提供的洞察，采取的相應(yīng)的防護措施。

基于以上基本概念，業(yè)界實現(xiàn)的態(tài)勢感知類的產(chǎn)品大同小異，原理都是對用戶的全流量進行旁路分析，結(jié)合可視化技術(shù)、威脅情報、行為分析、機器學(xué)習(xí)、大數(shù)據(jù)等技術(shù)，對用戶云上的全網(wǎng)流量實現(xiàn)資產(chǎn)可視化、威脅可視化等，幫助用戶及時發(fā)現(xiàn)云上的安全威脅。

全流量分析，這是很多安全產(chǎn)品都會做的工作，即可把經(jīng)過系統(tǒng)或者服務(wù)器的所有流量都進行分析，以發(fā)現(xiàn)其中的異常。為了不影響業(yè)務(wù)，最常用的全流量分析方法是程序猿們經(jīng)常說的“旁路鏡像”，即把全流量復(fù)制一份下來，在旁邊悄悄地進行分析，發(fā)現(xiàn)問題就采取相應(yīng)的防護策略，比如下發(fā)一個策略阻斷現(xiàn)網(wǎng)的惡意訪問。

威脅情報關(guān)聯(lián)，即把歷史或合作伙伴分析的威脅情報關(guān)聯(lián)到現(xiàn)在的系統(tǒng)里，分析可能存在的異常。比如歷史的威脅情報里表明，某個IP經(jīng)常發(fā)起惡意攻擊，那這個IP出現(xiàn)在用戶訪問列表里，就有一定的可疑，結(jié)合其他的分析手段，就能知道這個IP到底是正常訪問還是惡意攻擊。

異常行為分析，顧名思義，即從全流量里獲取的信息分析用戶是否有異常行為，是否可能是惡意攻擊，比如分析用戶的賬號是否異常、云主機是否被攻破了、數(shù)據(jù)有沒有泄露等等。

可視化呈現(xiàn)，這是為了方便無論是否是安全專業(yè)人士，都能夠清晰的了解當前系統(tǒng)的安全狀態(tài)，方便企業(yè)安全人員發(fā)現(xiàn)和處理威脅，提高處置安全事件的效率。

作為以上原理的工程實現(xiàn)，華為云態(tài)勢感知服務(wù)實現(xiàn)了以下主要功能：

一、態(tài)勢展示：提供綜合態(tài)勢感知大屏，后續(xù)還會增加主機安全和網(wǎng)絡(luò)安全大屏，集中呈現(xiàn)資產(chǎn)的所有安全狀態(tài)，評估整體安全風(fēng)險。

二、威脅告警：檢測DDoS攻擊、暴力破解、Web攻擊、后門木馬、漏洞攻擊、僵尸主機、異常行為、命令與控制等20+種云上安全風(fēng)險模型，并提供告警功能。

三、漏洞管理：對系統(tǒng)進行檢測，快速識別風(fēng)險，并發(fā)現(xiàn)攻擊者可能感興趣的資產(chǎn)，幫助用戶彌補安全短板。其集成了漏洞掃描功能，可以在不安裝主機agent的情況下，從網(wǎng)絡(luò)側(cè)掃描主機漏洞和網(wǎng)站漏洞。

四、基線檢查：檢測操作系統(tǒng)、中間件、主機、數(shù)據(jù)庫存在的風(fēng)險和配置，并提供修復(fù)建議。

五、安全聯(lián)動；針對主要的威脅告警，提供安全編排功能，聯(lián)動已有安全服務(wù)，執(zhí)行檢測分析、防御阻斷、深度排查和安全加固等防御策略。