云时代重新定义主机安全:自动化安全闭环是核心

摘要:随着越来越多的企业和机构正在逐步上云,主机安全是企业上云首先需要考虑的问题。在当前安全事件频发,且企业还没有具备专业安全运营能力的现状下,只具备检测或防御等单一功能的传统主机安全产品已不再适应这样的场景和需求,产品具备检测、防御为一体的安全闭环能力将成为刚需。

一、主机安全面临的挑战

1. 恶意攻击仍将持续猖獗

所谓擒贼先擒王,主机对于一家企业来说是整个系统的根本,攻陷了主机就等于攻陷了整个企业,因此主机层面的攻防战争永远硝烟弥漫。挖矿程序、蠕虫病毒、勒索病毒、木马程序、DDoS木马、后门程序、感染性病毒、恶意程序等各类入侵主机的病毒在2019年将持续猖獗,因为利用这些病毒入侵主机从而获取加密货币,已成为黑客牟利的主要途径。根据McAfee最新报告,加密货币恶意软件数量过去一年增长了4000%。虽然在2018年加密货币大幅贬值,但这并不影响黑客变现的热情,这也预示着2019年勒索、挖矿、蠕虫等病毒仍将继续猖獗,企业在主机入侵防御方面一刻不能松懈。

2. 安全事件频发,而安全产品能力过于单一

截止2018年12月27日,由恶意软件造成的经济损失已超百亿美金,以 Wannacry病毒家族为例,在过去一年就衍生变种上万种,病毒蠕虫化趋势明显, 2017年以后,该类新型勒索病毒已经不满足于只加密一台机器,而是通过漏洞或弱口令攻击网络中的其它机器,以获取更多的利益。

美国FBI(联邦调查局)一位高管曾说:世界上只有两种企业,一种是知道自己已被黑客入侵的;另一种是还浑然未知的。

当前绝大部分企业仍面临安全自动化程度低、安全运营能力不足的现状,疲于应急却束手无策。而目前市场上提供的安全产品基本上只能解决一个问题,一家企业如果要保障自身的主机安全,可能需要购买七八种产品,在这种碎片化严重的传统烟囱式安全市场中,对于不是安全行业从事者的企业用户来说,要挑选出适合自身业务场景的安全产品并将其整合成一体化的安全解决方案并非易事,通常需要3-9个月的时间才能完成采购、部署和试运营,往往在此期间,企业已被黑客入侵。所以,对于绝大多数企业用户而言,最佳选择是采购一款即买即用(SaaS化)的可以实现一站式自动化安全闭环的主机安全产品或解决方案。

3. 99%的企业不具备专业安全运营能力

2019年,中国信息安全行业规模将达到千亿量级,安全人才仍是紧缺资源,预计缺口将超过140万。尤其对于主机安全而言,威胁分析能力尤为重要,而真正具备这种能力的人才更是稀缺。在这样的趋势下,保障主机安全的成本仍将持续走高。对于99%的企业而言,构建专业的安全运营团队将是伪命题。

这将进一步要求云主机安全产品应更加充分利用云计算的特性,为企业提供自动化检测、分析、防御为一体的闭环服务,在企业人员有限的情况下尽量降低安全运营人员的工作量,帮助企业更好的抵御恶意软件威胁。

二、数据智能驱动的主机安全闭环能力

主机安全是企业上云后首先要考虑的问题,在当前安全事件频发,且企业还没有具备专业安全运营能力的现状下,完善的安全闭环能力将成为用户刚需。由于云厂商原生的安全产品对于平台的易用性和耦合性更强,相对于传统安全产品更具备一定优势。

安骑士是阿里云推出的一款主机安全产品,可以为用户提供自动化检测、分析、防御为一体的安全闭环服务。其自动化安全闭环PDCA(Plan-Do-Check-Act)机制如下图所示:

在数据采集和检测阶段,安骑士可以自动化采集登陆流水、进程启动、网络连接等七大类主机原始安全日志,并可以基于安全检测引擎进行自动化监测,相对于传统主机安全产品而言,数据采集维度多样,更具完整性。

在威胁预警阶段,目前市场上大多数主机安全产品缺少对海量源数据的自动化分析能力,用户需要花费大量精力来处理海量告警信息。仅一家中小企业每天的日志量就可以达到百万级别,安全告警千余条,一家大企业的日志量则可能达到数亿级别。对于没有专业分析人才的企业而言,面对海量数据,难以对所有告警信息做关联分析并加以合理处置,而且大量低危异常信息占据安全人员的绝大多数时间,导致真正需要关心的威胁告警被掩盖、遗漏。

为了解决此痛点,安骑士将自动化关联分析加入产品的默认功能当中。在数据采集和检测阶段,安骑士不仅可以实时采集主机安全日志,而且从用户行为、大数据关联分析引擎和主机运行状态等多维度对日志进行实时自动化关联分析,从海量的日志数据中挖掘出真正的威胁告警给到用户。以挖矿病毒为例,安骑士会将挖矿通信行为、挖矿病毒及主机CPU载荷数据进行自动化关联分析,通过短信、邮件等多渠道通知用户,并以可视化的方式呈现,让用户一目了然的看清告警,并能快速处置安全威胁。

自动关联分析:从海量告警信息中找出真正威胁

自动关联分析告警界面示例

数据采集、检测并向用户发布预警之后并不能就此结束,具备安全闭环能力的产品还需要做到精准防御。一般情况下病毒会通过主机上的弱点植入,植入主机后,木马启动时会对应启动一个进程,安骑士会在这个进程启动时进行检测,若检测到该进程为恶意进程,则会自动进行拦截,无需用户做任何操作,即可成功防御病毒,这样一个完整的安全闭环才算完成。

基于阿里云十年攻防经验打造的安骑士具备如下优势:

  • 数据驱动:以数据为中心的安全模式,利用阿里云大规模的计算能力,实现海量原始数据自动化实时检测分析,让威胁无处隐藏。
  • 自动化关联分析:阿里云安全经验输出的核心入口,让99%的企业具备专业的安全分析能力,让真正的威胁浮出水面,实现快速应急决策能力
  • 精准防御:由阿里云安全专家分析验证,确保零误杀,实现业务零影响,主动防御已知的主流病毒,将应急处置能力实时化,同时解决基础安全运营工作量。

三、结语

当前全国40%的网站业务运行在阿里云上,阿里云已成为一个攻防大练场,能最快速的获得最新威胁情报,并不断积累自身的攻防实战经验,这为阿里云安全产品的不断优化升级提供了独特优势。未来不仅是主机产品需要从单一功能产品向产品解决方案发展,所有安全产品都应该形成默认安全闭环,演变成一个解决方案,减少用户的学习成本,降低用户在安全运营等各方面投入,让用户用最少的产品组合达到最大的安全保障,为业务安全保驾护航。

原文地址:https://www.cnblogs.com/zhaowei121/p/10255587.html

时间: 2024-10-19 03:45:53

云时代重新定义主机安全:自动化安全闭环是核心的相关文章

云时代IDC自动化运维的几大神器

云时代IDC自动化运维的几大神器 2016年09月18日 10:27:41 天府云创 阅读数:1715 版权声明:本文为EnweiTech原创文章,未经博主允许不得转载. https://blog.csdn.net/English0523/article/details/52572114 自动化运维是数据中心.互联网企业高度重视的方向,数据中心的从纯手工.重复地进行软件部署运维,经历编写脚本运维,再到借助第三方工具高效.方便地部署和运维,在转变的过程中已大大提升了运维的效率和性能.下面给大家推荐

Docker,云时代的程序交付方式

Docker,云时代的程序交付方式 Docker - 云时代的程序分发方式 要说最近一年云计算业界有什么大事件?Google Compute Engine 的正式发布?Azure入华?还是AWS落地中国?留在每个人大脑中的印象可能各不相同,但要是让笔者来排名的话那么Docker绝对应该算是第一位的. 如果你之前听说过它的话,那么也许你会说"没错,就是它",因为几乎世界各地的开发.运维都在谈论着Docker:如果你还没听说过Docker,那么我 真的建议你花上10分钟来阅读本文. 1.

阿里云安全中心:自动化安全闭环实现全方位默认安全防护

随着数字化转型的深入发展,企业云上资产越来越多元化,随之而来的是安全威胁的复杂化,企业需要花费大量精力进行告警分析.威胁检测.病毒查杀等工作.Gartner曾指出,随着安全警报的复杂性与频率不断增加,安全投资需要对安全运营中心(SOC)进行投资,到2022年,50%的安全运营中心将转变为具备综合事件响应.威胁情报和威胁搜索能力的现代化安全运营中心. 阿里云率先推出了亚洲第一个云安全中心,通过一个平台集中式安全管理,实现了云上资产全面安全预防.威胁检测.调查响应.主动防御为一体的自动化安全闭环,让

万亿美元向云转型大市场,轻元科技要做云时代的IBM

Gartner预测,到2020年投入在传统IT上的支出直接或间接转移到云上,预计将超过1万亿美元.而全球IT支出有多大规模呢?根据Gartner全球IT支出预测,2017年全球IT支出将达到3.5万亿美元.Gartner全球IT支出预测是对数据中心系统.软件.设备.IT服务和通信服务等主要技术支出的趋势指标,基本上就是传统的企业ICT市场. 那么,Gartner所指的1万亿美元向云转型的支出,到底是公有云.私有云还是混合云?这恐怕就算Gartner自己也能很难判断,因为未来五到十年向云转型的企业

云时代的网络工程师该何去何从?

网络工程师掌握Linux运维架构技术已是大势所趋,而且越早掌握越好!--老男孩老师 咨询老男孩的网友案例CCIE: 网络工程师转行选运维还是开发? 老男孩老师的建议网络工程师转行最好走linux运维,架构师,Python自动化路线. 原因如下: 1.IT高级工程师有大一统的趋势,只会单一技术的工程师发展之路会越来越少. 2.目前互联网公司对IT高级工程师岗位要求是运维.开发.网络.数据库都要会, 所以从事哪行只是入口不同而已,最终是殊途同归的,即企业需要一专多能的附和人才. 2.网络工程师,建议

云时代的数据库管理演化

云时代的数据库管理,在不断的演化,对DBA也提出更高的要求.去IOE其本意是,在阿里巴巴的IT架构中,去掉IBM的小型机.Oracle数据库.EMC存储设备,代之以自己在开源软件基础上开发的系统. 去IOE原因除了钱,关键是用钱买的产品已经不能解决业务问题. 下面让我们来看一下: 电商       让研发具备DBA能力:诊断与优化 -----------------------------------------------------------------------------------

云时代来临,快速利用CDN服务为海外用户访问国内网站加速

云时代,如何利用CDN服务为海外用户访问国内网站加速 本文Blog地址:http://www.cnblogs.com/taosha/p/6760079.html,您可以自由转载,请保留出处,谢谢配合! 众所周知,海外用户访问国内网站速度都不尽人意,主要原因是地理距离比较远,中国到海外的Internet出口带宽有限且中间还隔着"长城防火墙".那我们有什么办法可以来加速海外用户对国内网站的访问速度么?答案就是CDN服务.本文主要就是介绍CDN服务提高海外客户访问国内网站的加速原理,海外CD

运维侠客行杭州站沙龙回顾 | 云时代下的运维管理实践

我们处在一个巨变的时代,在云计算.大数据和物联网等新技术.新理念不断更新的大背景下,企业同时面临着数字化和"互联网+"转型的双重挑战,企业对于"稳态IT"和"敏态IT"都提出了强烈的需求,如何推进双态环境下的技术演进变成全行业共同面临的难题. 在这样一个"时空交错"中,优云软件推出了一个名为:"运维侠客行"的线下沙龙品牌,杭州作为首站,活动当天汇聚了来自不同行业和企业的运维从业人员,其中有几十年的运维老兵,

走向云时代的大型机

大型机,又称大型主机,英文名mainframe,是指使用专用的处理器指令集.操作系统和应用软件的有机整体.大型机最早诞生于上个世纪六十年代,经过四十多年的不断发展,其在可靠性.安全性.可用性和灵活性方面首屈一指. 近年来随着云计算和大数据的兴起,X86服务器迅速崛起,那么大型机是否会退出历史舞台呢?从历史长河来看,分分合合一直在不停演绎.大型机到小型机再到X86,一步步由大变小,但云计算又将服务器融合起来,变成统一计算资源池.高端存储到中低端存储再到分布式存储,软件定义存储将其融合起来变成统一存