筆者認為，基于“觸覺”的安全投資時代即將過去，例如這次WCry事件讓全世界意識到，在勒索軟件面前，事后修補的效果微乎其微，只有全面的安全治理，是未來的企業(yè)安全方向。

　　企業(yè)安全的“視覺”時代，企業(yè)更應(yīng)把看見威脅／提前預(yù)防/全面治理，作為新的原則。其中，全方位／全天候的態(tài)勢感知系統(tǒng)，將成為企業(yè)安全的大腦，幫助企業(yè)洞察／洞悉／洞徹威脅。

　　“態(tài)勢感知”這個名詞，最早是在軍事領(lǐng)域出現(xiàn)的。在兩次海灣戰(zhàn)爭中，美軍依靠絕對的信息技術(shù)優(yōu)勢，對伊軍行動了如指掌。采用精確打擊的方式，對伊軍事目標精準的進行摧毀。如今在太空研究，核反應(yīng)控制、國際關(guān)系等領(lǐng)域，都有態(tài)勢感知的身影。

　　知己知彼，百戰(zhàn)百勝。無論是軍方／企業(yè)還是機構(gòu)，對敵方情報存在越多的盲區(qū)，就越難合理配比資源、主動出擊。而作為一個幫助企業(yè)“看見”風險的大腦，筆者認為態(tài)勢感知的核心能力在于其大數(shù)據(jù)分析能力和云上威脅情報共享。據(jù)了解，態(tài)勢感知每年幫助阿里云用戶進行87萬次的安全漏洞修補，平均每天協(xié)助用戶修補安全漏洞的數(shù)量接近2400次。云盾態(tài)勢感知的威脅庫更在以平均每天2萬次更新數(shù)量在飛速增長。

　　下面我們從“洞察”、“洞悉”、“洞徹”三個方面，對云盾態(tài)勢感知的安全分析能力、應(yīng)用管理能力以及威脅發(fā)展趨勢預(yù)測能力進行了評估與分析。

　　企業(yè)如果可以對自身的安全況態(tài)實時進行洞察、對網(wǎng)絡(luò)威脅動態(tài)清晰掌握，自然可以查敵先機，先于對手做好防御工作，甚至主動出擊將黑客擒拿歸案，使其接受法律的制裁。那么如何可以對自身應(yīng)用做到洞察秋毫呢，下面我們從態(tài)勢感知的“感脅”、“弱點”、以及“緊急事件”幾個部分，來具體做分析：

　　從海量的正常應(yīng)用中識別網(wǎng)絡(luò)威脅是安全分析平臺很重要的能力。

　　態(tài)勢感知的威脅分析功能可以對Web攻擊、密碼爆破、撞庫、掃描器等網(wǎng)絡(luò)威脅和異常登錄、非常用IP連接、批量賬號登錄等異常網(wǎng)絡(luò)行為進行統(tǒng)計。當態(tài)勢感知對此類攻擊查覺之后，會向用戶提供出有針對性的解決方案，便于用戶及時對威脅進行處理。

　　在威脅分析中，不但可以對常見的普通攻擊進行統(tǒng)計，還可以將只針對于某特點用戶或業(yè)務(wù)的攻擊進行記錄。和撒大網(wǎng)一樣的普通攻擊相比，針對性攻擊往往意味著黑客已經(jīng)對企業(yè)數(shù)據(jù)進行了“重點關(guān)注”。

　　在這方面，威脅分析可以將黑客最感興趣的資產(chǎn)IP統(tǒng)計出來，以便于用戶更加具有針對性的去進行防護。當黑客的攻擊行為，不在隱匿在黑暗之中，可以被用戶極時的時行感知，并有針對性的進行處理，黑客對企業(yè)的威脅必然也將隨之下降。

　　威脅分析不但可以有效的將用戶從海量日志分析中解放出來，直觀的對攻擊者的IP、攻擊時間、次數(shù)、頻率以及攻擊方式進行記錄，協(xié)助用戶對攻擊者進行溯源，以便從根源上解決問題之外，更重要的是，這些模型全部運行在云盾的實時檢測引擎中，以前做這樣的分析，需要寫大段腳本并用離線的方式做大量計算，現(xiàn)在云盾的實時引擎可在5分鐘內(nèi)對黑客歷史的數(shù)據(jù)進行遍歷，以最快的方式分析出最新的網(wǎng)絡(luò)威脅，真正的為用戶提供了一雙可以及時對威脅進行洞察的雙眼。

　　企業(yè)信息系統(tǒng)中難免會存在一些舊有，或新出現(xiàn)的系統(tǒng)漏洞。這些弱點問題如果不能及時處理，也會對系統(tǒng)安全造成威脅。態(tài)勢感知的弱點檢測功能，可以有效的彌補這一短板。

　　弱點功能，不光覆蓋了常見的SQL注入，XSS等awasp定義的各類漏洞，還能對互聯(lián)網(wǎng)最新曝光的漏洞進行快速掃描外。在漏洞的發(fā)現(xiàn)上，做到快速和準確。

　　此外，弱點檢測功能可以通過對資產(chǎn)的依賴關(guān)系，通過針對漏洞的攻擊識別和攻擊效果（例如有沒有攻擊成功、WAF是否防御、漏洞是否能直達核心服務(wù)器、是否能拖走數(shù)據(jù)庫等），對當前漏洞的風險進行動態(tài)評估，并對補丁的下發(fā)，補丁是否需要重啟服務(wù)器等信息做補全，方便客戶做應(yīng)急響應(yīng)和業(yè)務(wù)決策。

　　比如前些天爆發(fā)的全球性勒索軟件事件主因是這個漏洞： “MS17-010 遠程命令執(zhí)行漏洞”。用戶可前往《云盾》-《態(tài)勢感知》-《弱點》查看是否存受影響：

　　當監(jiān)測到漏洞出現(xiàn)之后，態(tài)勢感知會及時向用戶告警，并提供相應(yīng)解決方案，協(xié)助用戶及時將漏洞進行彌補。

　　緊急事件就是客戶最需要緊急處理的事件！不處理就會產(chǎn)生資損或業(yè)務(wù)中斷。

　　態(tài)勢感知的緊急事件功能，可以針對頁面篡改、肉雞行業(yè)、暴力破解成功、后門、DDoS、非法登陸、異常網(wǎng)絡(luò)連接等多種網(wǎng)絡(luò)威脅行為進行感知，并及時向用戶進行告警。并可對受影響資產(chǎn)信息以及威脅事件進行詳細描述，以便于用戶有針對性的去解決問題。

　　緊急事件中，大部分告警都來自于網(wǎng)絡(luò)，主機，應(yīng)用，三種不同維度的大數(shù)據(jù)分析的結(jié)果。這里面的核心能力是在于，這三種數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)完全不同，屬于異構(gòu)數(shù)據(jù)，態(tài)勢感知的緊急事件功能，利用云計算的大數(shù)據(jù)處理能力，能夠在幾分鐘內(nèi)快速的處理上TB的數(shù)量量，并能對各維度的威脅和異常點進行關(guān)聯(lián)，最后產(chǎn)出能引起資損的緊急事件。

　　當用戶接到緊急事件告警后，可以通過查看報告了解威脅的具體情況，并且可以根據(jù)態(tài)勢感知提供的解決方案，對事件妥善進行處理。

　　三分防，七分管。一款出色的防護軟件，不但要對威脅及時察覺，還應(yīng)協(xié)助用戶對正常應(yīng)用進行分析和管理。幫助用戶了解網(wǎng)絡(luò)系統(tǒng)中有哪些應(yīng)用最受用戶關(guān)注，哪些訪問是惡意在進行灌水，訪問流量的高峰會在何時出現(xiàn)，系統(tǒng)的業(yè)務(wù)穩(wěn)定性如何進行保障。

　　目前，阿里云云盾的態(tài)勢感知則是基于阿里云的實時計算能力，即在大規(guī)模云計算環(huán)境中，對那些能夠引發(fā)網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的要素，進行全面、快速和準確地捕獲和分析，最終分析判斷出未來可能產(chǎn)生的安全事件的威脅風險，并提供一個體系化的安全解決方案。下面，我們就從訪問分析、資產(chǎn)控測、業(yè)務(wù)穩(wěn)定這三方面，再對態(tài)勢感知應(yīng)用管理能力分析能力進行一下了解。

　　在態(tài)勢感知的訪問分析功能模塊中，可以對來訪IP進行分別進行統(tǒng)計，并且將正常訪問IP與惡意訪問IP進行區(qū)分。使用戶可以了解什么服務(wù)器部署的什么應(yīng)用最受用戶關(guān)注，有哪些應(yīng)用的訪問數(shù)量過高，是否需要將其中的業(yè)務(wù)在其它服務(wù)器上進行負載均衡。

　　在對正常訪問進行統(tǒng)計的同時，訪問分析還可以對惡意訪問IP進行統(tǒng)計，查看進行訪問的網(wǎng)絡(luò)連接中，是否有惡意灌水的情況出現(xiàn)。從而更加精準的協(xié)助用戶對業(yè)務(wù)訪問情況進行判斷。從而保障用戶網(wǎng)絡(luò)業(yè)務(wù)穩(wěn)定高效的進行運營。

　　當用戶在云計算系統(tǒng)中的應(yīng)用增長至一定規(guī)模之后，對這些資產(chǎn)的運營管理問題將逐漸開始顯現(xiàn)：哪些應(yīng)用開放了什么樣的端口？對應(yīng)著什么樣的域名？是否存在著未進行修補的漏洞？態(tài)勢感知的資產(chǎn)探測功能可能有效的協(xié)助用戶進行這方面的管理。

　　在資產(chǎn)探測模塊中，可以直觀的對服務(wù)器IP、操作系統(tǒng)版本、使用軟件、開放端口個數(shù)進行了解，并可以在查看詳情中進一步對開放的端口號、是否存在弱點漏洞進行查看。從而便于用戶對當前網(wǎng)絡(luò)資產(chǎn)進行更加有效的監(jiān)管。在減少漏洞的同時，對企業(yè)網(wǎng)絡(luò)業(yè)務(wù)進行統(tǒng)一規(guī)劃。

　　http://click.aliyun.com/m/10713——態(tài)勢感知產(chǎn)品詳情頁

　　網(wǎng)絡(luò)業(yè)務(wù)的穩(wěn)定運營，需要對全網(wǎng)的網(wǎng)絡(luò)狀況有一個全局的掌握。網(wǎng)絡(luò)的業(yè)務(wù)響應(yīng)時延，是評價業(yè)務(wù)狀態(tài)的一個最直觀的技術(shù)指標。

　　在態(tài)勢感知可視化大屏的“業(yè)務(wù)穩(wěn)定性監(jiān)控”中，可以對全國各地網(wǎng)絡(luò)業(yè)務(wù)的響應(yīng)時延，進行實時的查看。并將國內(nèi)重點城市、響應(yīng)最快與最慢的地區(qū)電信服務(wù)商以圖文的形式提供了出來，極大方便了用戶對于網(wǎng)絡(luò)運營狀態(tài)的全局掌控。

　　對風險進行預(yù)判，將威脅消滅在萌芽之中，這確實可以稱得上是安全防護的最高境界。但是安全的風險需要如何進行預(yù)判？威脅信息又應(yīng)當如何進行采集、分析？在海量的日志和頻發(fā)的威脅告警中如何對有效信息進行判定？有很多SIEM（安全信息與事件管理）工具也在進行著日志審計類的工作，但其效果往往是亡羊補牢，對于當前主流的“0 day”等新發(fā)網(wǎng)絡(luò)威脅，基本上無能為力。防患于未然對于網(wǎng)絡(luò)安全而言，更多的是一種美好的夢想。

　　企業(yè)要想求追求網(wǎng)絡(luò)業(yè)務(wù)的良性發(fā)展，就必須對業(yè)務(wù)發(fā)展和威脅趨勢進行準確判斷。

　　對于小微企業(yè)和個人用戶而言，一個安全事件告警就可以滿足用戶的防護需求。而有一定服務(wù)器規(guī)模的用戶，還需要有對緊急事件和威脅分析能力、漏洞掃描以及系統(tǒng)脆弱點進行監(jiān)控的能力。但是對于一些上規(guī)模的企業(yè)而言，就需要具備實時可視化的業(yè)務(wù)與威脅感知能力。下面我們就來看一下，云盾態(tài)勢感知是如何通過10塊可視化的大屏界面與高效全面的情報分析能力，來協(xié)助用戶實時對業(yè)務(wù)和威脅進行感知的。

　　態(tài)勢感知為用戶提供了10塊可視化的實時監(jiān)控大屏，通過可視化的方式，實時的對業(yè)務(wù)運營狀態(tài)、安全態(tài)勢、業(yè)務(wù)訪問狀況等多種信息進行分析，并以圖形化的方式實時的展現(xiàn)到客戶面前。從而協(xié)助用戶對企業(yè)業(yè)務(wù)進行管理，對威脅狀態(tài)進行預(yù)判，保障企業(yè)網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的穩(wěn)定運營。

　　態(tài)勢感知系統(tǒng)，并不是一個簡單的圖形化管理界面，在它的背后是由阿里云的大數(shù)據(jù)安全分析平臺進行支撐。態(tài)勢感知系統(tǒng)通過對資產(chǎn)、自然、情報三大類二十余種數(shù)據(jù)的采集，對資產(chǎn)等級劃分、漏洞/隱患分析，對攻擊和異常行為的感知、對業(yè)務(wù)風險的評估，以及對入侵過程的回溯、惡意行為的回溯乃至于對黑客身份的定位等多種嚴密的分析形式，有效的協(xié)助企業(yè)解決因黑客攻擊導(dǎo)致企業(yè)數(shù)據(jù)泄露問題的出現(xiàn)。

　　態(tài)勢感知的分析系統(tǒng)會自動化的實時進行百億級日志分析。依靠機器學(xué)習(xí)和建模算法，黑客攻擊的下一步行動點，都可以被預(yù)測，并讓防御提前發(fā)生。并且態(tài)勢感知具有對每個安全事件，在攻擊前后一定時間內(nèi)的原始日志數(shù)據(jù)分析檢索能力，可以通過威脅模型自動化分析和還原黑客攻擊全過程，對入侵原因進行回溯，幫助找到“幕后的人”。

　　全量日志的采集和TB級大數(shù)據(jù)量的處理，一直是運維團隊日常比較繁重的工作，現(xiàn)在態(tài)勢感知利用了云的資源優(yōu)勢，和大數(shù)據(jù)處理能力，幫客戶自動采集了云上全業(yè)務(wù)的網(wǎng)絡(luò)流量HTTP請求日志（in，out方向），session五元組日志（全端口網(wǎng)絡(luò)連接五元組），并能對15分鐘前的全量日志進行邏輯檢索，支持布爾表達式，如包含，不包含，等于，不等于，大于，小于，等邏輯。方便客戶，對安全事件，或網(wǎng)絡(luò)異常，進行日志查詢和關(guān)聯(lián)分析，更快更準更便捷的精準定位問題原因

　　對一兩家用戶進行態(tài)勢感知分析可能并不困難，難就難在要對阿里云上11萬以上的企業(yè)用戶所使用的云主機來實時進行分析。云盾態(tài)勢感知系統(tǒng)要采集主機端數(shù)據(jù)、網(wǎng)絡(luò)邊界數(shù)據(jù)、網(wǎng)絡(luò)空間威脅情報數(shù)據(jù)。為了應(yīng)對如此龐大，以PB級來計算的數(shù)據(jù)分析，阿里云開發(fā)出了通過大數(shù)據(jù)分析和流式計算的智能化安全體系�？蛻艨筛鶕�(jù)自己業(yè)務(wù)環(huán)境，從30多種機器學(xué)習(xí)算法和模型中，自如選擇適于自身需求的數(shù)據(jù)進行分析。

　　通過對這些數(shù)據(jù)的分析，用戶在面對惡意攻擊時，不但具備了可以觀察秋毫的雙眼，還具備了可以明辨是非的大腦。從而可以有效對攻擊的黑客進行溯源，使得用戶在面對黑客攻擊的時候，不但能夠有效的組織防御，還有了可以進行反擊的辦法。