借鉴人类疾病防疫机制,阿里云如何帮助用户应对大规模安全疫情?

5月12日晚,WanaCrypt0r 2.0勒索软件在全球爆发(简称 WCry2.0)。在无需用户任何操作的情况下,Wcry2.0即可扫描开放445文件共享端口的Windows机器,从而植入恶意程序。

截至今晨,全球上百个国家的13万多台电脑遭到感染。其中,英国16家医院因为受到感染而对外失去联络,在中国,高校和加油站因勒索软件影响,造成了业务和课程的停滞。每一台“中招”的电脑需要缴纳约300美元的勒索费用。

WCry 影响范围 来源:Malwaretech(5月16日更新)

仍记得2014年的埃博拉病毒爆发。14年3月,世界卫生组织发现了首个埃博拉病例。1个月后,西非四国共发现1711个伊波拉病例,其中932人已经死亡。

埃博拉疫情地图

从携带源,疫情蔓延的趋势,到预防控制机制,人类疾病疫情爆发与安全事件的爆发十分类似。通常来说,如果一个系统漏洞大规模爆发,它通常具备以下特点:

1、第一次爆发。很多大规模爆发的安全事件都是因0DAY漏洞而起,也就是以前没有任何样本、经验和防御措施

2、它的“传染源”和“易感人群”非常接近。例如今天爆发的WCry2.0勒索软件,在全球74个国家蔓延,有高度的传染性。

3、防控滞后。安全事件爆发时的应急与疾病爆发一样,都是与时间赛跑。如果不能第一时间有补丁止血,及时升级补丁,那么疫情的影响范围会越来越大,受到的损失也会成倍增长。

4、“病死率”高。在网络安全中,判断一个漏洞是否是“高危”或“严重高危”,通常会考虑它是否“一击致命”。如果攻击者可以利用该漏洞进行远程执行,操控系统,那么这个安全漏洞就很容易给宿主造成资金、数据的损失,甚至造成业务瘫痪。

另一方面,人类在疾病预防时所建立的机制,又能给安全运维工程师们以启发。其中,世界通用生物安全水平标准(生物安全等级)就是一个很好的例子。BSL1-4的定级,让防控人员可以决定其所对应的防控严格程度。

阿里云在安全应急体系设计之初,充分借鉴了人类在疾病防控机制上的一些可取之处,例如“隔离”的概念,“疫情”的概念,和“防控结合”的概念等等。当每次大规模 安全事件爆发时,基于我们的应急体系和威胁情报,阿里云得以成功地为用户提供预防和止血方案,尽可能地帮助用户减小风险。

阿里云安全应急响应“五部曲”

一、“积极尽责地帮助用户”:阿里云安全应急体系的“初心”

阿里云安全运营团队制定了安全事件应急响应流程、安全事件定级标准、安全事件应急处置指南、安全事件组织架构、安全事件应急平台和工具(IRP)等一系列工作原则,这有助于我们用最快的速度防范新的漏洞爆发,并且做到“有的放矢”,将云平台和用户的风险降至最低。

除此之外,阿里云会尽可能地帮助用户找出漏洞的成因,并给出预防、止血和修复的建议。例如WCry爆发后,阿里云第一时间发布了漏洞公告和安全建议。阿里云已经默认对所有上云用户关闭开放445端口,且默认安装Windows官方补丁。

二、云上威胁情报:疫情监测与预警的基础

当发生重大疾病疫情事件,一般需要病患的报告及专业医疗机构收治的临床病例来发现和确认突发的高危疫情事件,及时发现重大疫情的发生情况。这是人类处置疫情的第一步。例如, 2003 SARS爆发时,美国疾病控制及预防中心在3月得悉加拿大爆发疫情后,实时激活其紧急运作中心。该运作中心进行24小时协调工作并做出响应。

监测与监督 是确保所有安全事件爆发后得到报告和追踪的一项重要内容,阿里云利用自建的全天候实时威胁情报监测系统,不间断对互联网的安全漏洞、行业热点信息进行监测,实时捕获的外部最新情报信息,为云安全风险管控和预测模拟提供第一手的决策信息。

与此同时,第一时间通过自动化通知方式(包括:短信、EDM投送、站内信息、自动语音等),快速通告并预警态势,让用户知晓最新进展。

阿里云安全疫情监控数据(模拟数据)

三、知晓全局:疫情研究与评估

当医疗人员确定病毒疫情信息准确后,会现场收集病毒样本,对病毒样本进行深入的病理分析和评价为下一阶段的制定疫情防控方案提供信息输入。在阿里云,安全疫情的评估和研究分为以下几步:

1、事件等级评估:对事件的严重性进行评估,以便于明确下一步的工作内容

2、风险影响评估:该事件对云平台安全和云上租户业务的影响进行综合评估

3、受影响用户范围评估:对阿里云平台上受影响的用户快速确定

阿里云疫情评估雷达(模拟数据)

四、黄金24小时:疫情止血防控

疫情工作的最终目标是要让已经发生或正在发生的重大事件得到有效的抑制,而方案的好坏直接影响到疫情控制的效果。阿里云针对重大安全疫情事件,通过2套方案实现云上用户风险的控制,即:快速抑制(止血)、最终根治方案。

快速抑制(止血)方案:在疫情得到确认之后,安全分析团队着手开始制定快速止血方案,例如:“关小黑屋”---配置网络访问控制策略,“紧急包扎伤口”---修补漏洞、修改密码,防止更多的事件发生,同时防止更多的云服务器资产被入侵而攻击其他用户。

最终根治方案:阿里云应急响应团队在疫情研究和评估完毕后,根据研究报告制定面向不同行业、不同水平的专业技术人员的根治防治方案。

自动化安全产品:安全研究团队通过对安全事件的深层次分析,将安全检测方案和修复方案快速落地到安全产品,形成自动化的联动防御体系,帮助云上用户以最底层本和最高效的方式快速一键自动化解决安全问题,保障云上业务的连续性和数据的安全性。

指南和技术性文件 :阿里云安全应急响应团队针对每一个安全漏洞和事件编写技术文件和指南,包括:安全漏洞和事件的检测方案、安全问题的控制技术指导手册、为云上用户提供全面丰富的技术知识库,帮助用户。

——

在云环境中,整个漏洞过程完成的时间都可以控制在24个小时内,而在线下环境中这个时间通常为一周。

除了做到“快”,阿里云也在每一次漏洞应急基础上,依托数据和算法,不断优化应急流程,形成全链路式的全网应急响应体系。当发生重大安全事件时,阿里云会快速、积极、尽责地帮助用户看见风险,解决问题。

参考文章:

美国国家传染病中心的疫情应对机制

http://www.istis.sh.cn/list/list.aspx?id=397

伊波拉疫情列危机 新加坡启动预防机制

http://www.65singapore.com/news/sinnews/31193.html

原文链接

时间: 2024-10-18 01:23:07

借鉴人类疾病防疫机制,阿里云如何帮助用户应对大规模安全疫情?的相关文章

ubuntu server 系统,更换阿里云源(用户更新源)

Ubuntu安装完毕后,默认使用的是官方的源,在国内访问速度很慢,这里介绍更换为阿里云的源方法. 步骤如下: 1.备份源配置文件 sudo cp /etc/apt/sources.list /etc/apt/sources.list_backup 2.用编辑器打开源配置文件 sudo vim /etc/apt/sources.list 3.删除文件内容,更换为以下内容(也可使用其他源) deb http://mirrors.aliyun.com/ubuntu trusty main restri

双11个性化推荐背后,阿里云“舜天”如何应对百亿次挑战?

摘要: 2018天猫双11在技术世界,创下不少新记录,其中有一个记录是11日当天阿里全平台共为用户做个性化推荐453亿次,这些推荐的图片长度加起来可以绕地球70圈. 当你在天猫/手淘上买买买的时,图片会以不同格式或分辨率来转码呈现,这就要求后台系统需要强大的算力来保障数倍于平时的转码需求. 2018天猫双11在技术世界,创下不少新记录,其中有一个记录是11日当天阿里全平台共为用户做个性化推荐453亿次,这些推荐的图片长度加起来可以绕地球70圈. 当你在天猫/手淘上买买买的时,图片会以不同格式或分

国内物联网平台初探(二) ——阿里云物联网套件

架构 数据通道 为设备和物联网应用程序提供发布和接收消息的安全通道.数据通道目前支持CCP协议和MQTT协议. 用户可以基于CCP协议实现Pub/Sub异步通信,也可以使用远程调用(RPC)的通信模式实现设备端与云端的通信. 用户也可以基于开源协议MQTT协议连接阿里云IoT,实现Pub/Sub异步通信. 安全认证&权限策略 为每个设备颁发阿里云IoT的凭证,依赖凭证才能连接阿里云IoT. 提供设备级的授权粒度,任何设备必须经过授权才能对某个Topic发布订阅消息 服务端也需要经过授权才能操作其

困知,勉行—阿里云服务观

文 / 郭雪梅 虽然道歉无法弥补给大家带来的麻烦,但是,我们可以用更快的访问速度,更好的用户体验,更贴心的体验去弥补,虽然故障的事实无法改变,但我们的努力可以创造更少故障的未来! —杜勇<进步集> 2014年10月15日,北京飞往杭州的飞机上,绝大多数乘客都是中国的一线开发者.他们和我的目标一样,向着同一个地方:杭州转塘,参加2014阿里云开发者大会.安静的路途中,不时能听到关于创业.产品.技术.实践的轻声讨论.我的脑海中盘旋的也是与多位2014阿里云开发者大会的演讲嘉宾沟通时提到的阿里云近期

使用阿里云一年多个人经验之谈。(转)

首先说说我的需求.   需求很简单.就是一个DZ程序的论坛.访问量也不太大.每天几千PV.   帖子有几万吧.图片10万张不到.   所以数据库大概几万条记录.数据盘数据5G左右.   主要使用的阿里云产品有:ECS.RDS.CDN.OCS 不常用的有OSS.ACE.SLB.   ECS: 本质就是一个服务器.运行在云上的一个服务器.主要作用是做运算的.跑各种程序的.   用ECS架设的MYSQL会显得很业余.为什么这么说呢?主要有一下几点理由. 1.数据安全性差,ECS数据一天自动备份一次.而

评:阿里云菲青:不忘初心,知难而进!未来的阿里云=用户服务

原创文章,如转载,请注明出处,谢谢! 我取了部分我最关心内容. 我觉得:第三个,跟开发者建立共生共赢的生态体系. 这个说的不全面,还应关注所有云服务相关的生态系统,不能只关注开发者的生态环境. 阿里云菲青:不忘初心,知难而进!未来的阿里云=用户服务 http://www.csdn.net/article/2014-10-16/2822131 阿里云的梦想 阿里云在2009年开始成立的时候,那时候我们想做一件事情,但我们知道这件事情对未来来讲还是不可测的,就像IBM的创始人发明计算机的时候说全世界

阿里云秘钥池

对于每个正整数 nn,我们定义它的 pp 进制表示 由 mm 个非负整数 a_1, a_2, \cdots, a_ma?1??,a?2??,?,a?m?? 组成,并且这些数字满足 \displaystyle n = \sum_{i = 1}^{m}{a_i p^{i - 1}}n=?i=1?∑?m??a?i??p?i−1??,以及 0 \leq a_i < p\ (i = 1, 2, \cdots, m - 1)0≤a?i??<p (i=1,2,?,m−1) 和 1 \leq a_m <

麒麟开源堡垒机阿里云双机部署方案&#8203;

目录1 概述 21.1 方案背景 21.2 方案内容 32. 阿里云SLB负载均衡方式 32.1 物理环境准备要求 32.2 阿里云SLB设置 32.3 使用说明 33. DNS负载均衡方式 52.1 物理环境准备要求 52.2 DNS设置 52.3 使用说明 54  方案比较 6 1 概述1.1 方案背景阿里云系统中,非VPC网络用户无法对系统IP进行修改增加,因此堡垒机双机模式无法应用在阿里云非VPC用户中.1.2 方案内容本方案探讨使用DNS负载均衡和阿里云SLB负载均衡二种方式实现麒麟堡

像逛淘宝一样“办政事”:阿里云在政务领域的实践

在2017云栖大会-南京峰会上,阿里云政府业务事业部部委行业总经理陈峥做了题为<阿里云在政务领域的实践>的分享.随着阿里云的不断发展壮大,已经成为深受政府所信赖的伙伴,阿里云是全球前三 /国内绝对领先的公共云服务商,并且具有丰富的云计算产品体系,并且具有差异化的核心能力:基于飞天的一体化的技术架构,大数据的能力以及安全防护能力.阿里云为广大用户提供了108种行业专业解决方案,并在企业级市场中得到了广泛的应用.阿里云通过多种形式在政府工作中落地实践,基于飞天的专有云.共有云和政务云合力为政府提供