7月9日，阿里巴巴天下無(wú)賊安全峰會(huì)在北京舉行。峰會(huì)上，著名白帽子、阿里巴巴資深總監(jiān)吳翰清（網(wǎng)名：道哥、刺）發(fā)表了《安全的未來(lái)是態(tài)勢(shì)感知》的主題演講。在演講中，他感嘆，從業(yè)十余年最大的痛苦莫過于，客戶花了錢，還被黑。

[[139714]]

著名白帽子、阿里巴巴資深總監(jiān)吳翰清

如何讓用戶清楚看見自己的安全全局？如何全面、快速、準(zhǔn)確的感知過去、現(xiàn)在、未來(lái)的安全威脅？有了海量的安全數(shù)據(jù)，有了云計(jì)算的強(qiáng)大計(jì)算能力，吳翰清透露，為了解決用戶這些痛點(diǎn)，阿里云安全品牌云盾計(jì)劃近期推出全新安全解決方案態(tài)勢(shì)感知。

一、花了錢添置安全設(shè)備，為什么還被黑

坦白地說，吳翰清闡述的情況在企業(yè)安全市場(chǎng)并不罕見。

去年五月，全球知名安全公司FireEye發(fā)布了一份名為《網(wǎng)絡(luò)安全的最后防線：深度防御的實(shí)境評(píng)估》的研究報(bào)告。報(bào)告者，F(xiàn)ireEye分析了全球1,217家遭受安全攻擊的企業(yè)。盡管這些企業(yè)廣泛部署了諸如防火墻、IPS、沙箱或防病毒產(chǎn)品，97%參與調(diào)查的企業(yè)仍被黑客成功入侵。

這是一個(gè)有趣的現(xiàn)象。

問題在哪里呢？

雖然部署了安全設(shè)備，但是感覺到它們存在的時(shí)候往往是在入侵事件發(fā)生之后。這又是一件令人郁悶的事情：為什么總是看不到黑客的入侵，為什么跟在黑客屁股后面？

當(dāng)然，也有可以實(shí)時(shí)給予你存在感的系統(tǒng)，但是—大堆的告警，更專業(yè)一點(diǎn)地說，是混雜了大量誤報(bào)和無(wú)用信息的信息轟炸——其實(shí)和看不到?jīng)]兩樣。

這種“看不到”并非偶然。在吳翰清看來(lái)，安全攻防完全可以用木桶理論來(lái)解釋。木桶理論認(rèn)為，只有構(gòu)成木桶的所有木板都足夠高，木桶才安全；所有木板比最低木板高出的部分都是沒有意義的，要想增加木桶的安全，應(yīng)該設(shè)法增加最低木板的高度，這是最有效也是最直接的途徑。因?yàn)椋诳涂偸菚?huì)從意想不到的地方入侵。

在很多時(shí)候，防護(hù)一方由于各種原因，其防護(hù)視角沒有從全局角度來(lái)看木桶的高度，就像下圖所示的那樣。這樣一來(lái)，攻擊者就可以繞過防護(hù)系統(tǒng)，達(dá)到入侵的目的。 

二、態(tài)勢(shì)感知，讓安全防御可視化

事實(shí)上，對(duì)于防護(hù)一方來(lái)說，不管是攻擊的一面還是防護(hù)的一面，安全就是一副圖，如果沒有看整張圖的視野，就等于什么也看不到。換句話說，安全防御需要可視化。

[[139716]]

關(guān)于如何解決安全的可視化，國(guó)內(nèi)外的安全專家進(jìn)行過大量的研究。一個(gè)關(guān)鍵的突破是“態(tài)勢(shì)感知”（Situation Awareness）理念的引入。

態(tài)勢(shì)感知最早來(lái)自美國(guó)軍方的研究。美國(guó)軍方認(rèn)為，決策的基礎(chǔ)是信息，是數(shù)據(jù)。要想獲得決策優(yōu)勢(shì)，就必須獲得信息／數(shù)據(jù)的優(yōu)勢(shì)，而信息／數(shù)據(jù)優(yōu)勢(shì)拼的是信息／數(shù)據(jù)的質(zhì)量和處理能力；最后，為了獲得更多有用的信息／數(shù)據(jù)以及戰(zhàn)場(chǎng)主動(dòng)性，就必須要獲得足夠的控制能力.

態(tài)勢(shì)感知的模型如下：

態(tài)勢(shì)感知模型（Source：http://thepeakmind.com/ ）

從上圖的模型來(lái)看，態(tài)勢(shì)感知分為三個(gè)階段：

階段1: 信息的覺察和獲?。?/p>

階段2: 信息的理解與融合；

階段3: 預(yù)測(cè)。

下圖可以更為清晰地體現(xiàn)態(tài)勢(shì)感知的階段性和重要輸出：

態(tài)勢(shì)感知的階段性

由此可見，態(tài)勢(shì)感知根本目的是將安全漸進(jìn)明晰進(jìn)而解決可視化的問題。只有在可視化的前提下，才可能適應(yīng)和主導(dǎo)瞬息萬(wàn)變的戰(zhàn)場(chǎng)（包括網(wǎng)絡(luò)戰(zhàn)場(chǎng)）。

     三、云計(jì)算帶來(lái)的安全新機(jī)會(huì)

態(tài)勢(shì)感知的核心理念可以理解為一個(gè)漸進(jìn)明晰的過程，它分為態(tài)勢(shì)覺察、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)三個(gè)層次，通過態(tài)勢(shì)要素獲取，獲得必要的數(shù)據(jù)，然后借助數(shù)據(jù)分析進(jìn)行態(tài)勢(shì)理解，進(jìn)而實(shí)現(xiàn)對(duì)未來(lái)的態(tài)勢(shì)預(yù)測(cè)。

只是，在三個(gè)階段中我們都要覺察什么，如何獲取，如何理解以及如何預(yù)測(cè)呢？

問題的答案可以歸結(jié)為三個(gè)能力，即數(shù)據(jù)的獲取能力、數(shù)據(jù)的處理能力以及未來(lái)的預(yù)測(cè)能力。 

吳翰清認(rèn)為，想要實(shí)現(xiàn)全面、快速、準(zhǔn)確感知過去、現(xiàn)在、未來(lái)的安全威脅，首先要充分尊重原始數(shù)據(jù)，或者稱之為基礎(chǔ)數(shù)據(jù)?；A(chǔ)數(shù)據(jù)包括：

如上圖所示，基礎(chǔ)數(shù)據(jù)是態(tài)勢(shì)感知的基礎(chǔ)，沒有這些原始數(shù)據(jù)，安全可視化無(wú)從談起。只是，在傳統(tǒng)統(tǒng)安全設(shè)備時(shí)代，受限于單機(jī)性能，工作模式以“過濾“為主，擁有足夠的原始數(shù)據(jù)是一件奢侈的事情。

例如，WAF、NGFW等都會(huì)進(jìn)行特征匹配，保存命中的惡意請(qǐng)求，丟棄掉占總量99.99%的正常日志。因?yàn)榇鎯?chǔ)不下來(lái)。

云計(jì)算的興起讓海量數(shù)據(jù)的存儲(chǔ)與計(jì)算變成可能。云計(jì)算的存儲(chǔ)來(lái)源可以基于整個(gè)體系，既有主機(jī)端數(shù)據(jù)，也有網(wǎng)絡(luò)數(shù)據(jù)；既有線上數(shù)據(jù)，也有線下數(shù)據(jù)。數(shù)據(jù)來(lái)源足夠豐富，足以覆蓋防護(hù)面上的漏洞和盲點(diǎn)。

數(shù)據(jù)的處理不僅包括存儲(chǔ)，還有計(jì)算。這幾年，人人都在談?wù)摯髷?shù)據(jù)。到底多大的數(shù)據(jù)是大數(shù)據(jù)呢？這個(gè)問題沒有固定答案；不過，大數(shù)據(jù)往往表現(xiàn)為大到不能被遷移走，或者對(duì)數(shù)據(jù)的處理要求不能容忍數(shù)據(jù)被遷移走，需要在數(shù)據(jù)產(chǎn)生的地方就近甚至原地處理。而在這方面，云計(jì)算也能實(shí)現(xiàn)。

吳翰清透露，就在上個(gè)月，阿里云遇到最大的一次CC攻擊（即HTTP Get Flood，HTTP請(qǐng)求洪水）達(dá)到200萬(wàn)QPS。請(qǐng)注意是CC應(yīng)用層攻擊，而不是諸如SYN Flood或UDP Flood的網(wǎng)絡(luò)層洪水。這是什么概念——意味著100億次的請(qǐng)求和數(shù)百G的日志（天）。

這些原始數(shù)據(jù)存哪，怎么處理？答案只有一個(gè)——云計(jì)算。云計(jì)算提供了取之不盡、用之不竭的資源池——體會(huì)一下5000臺(tái)服務(wù)器集群處理PB級(jí)數(shù)據(jù)的感受。這正是阿里云云盾系統(tǒng)的體驗(yàn)。

有了強(qiáng)大的儲(chǔ)存與計(jì)算能力，就能通過數(shù)據(jù)分析處理結(jié)果建立的風(fēng)險(xiǎn)模型以及對(duì)規(guī)律性的判斷進(jìn)行預(yù)測(cè)了。