云上作战指挥中心|云安全6期

“知己知彼，百战不殆”。

“谁是我们的敌人，谁是我们的朋友，这是中国革命的首要问题”。

同样地，在网络安全防护上，也要知道什么人在攻击你、攻击的全局态势是什么样的，甚至要能根据现有信息预测出来攻击者可能的行动方向。不然稀里糊涂的，不知道自己云上业务系统的安全态势，就很难说怎么有针对性的去防护。态势感知，相当于在企业面前竖起一个作战大屏，让企业看清安全攻击的全貌，从容制定防御策略。

顾名思义，态势感知就是对能够引起用户云上系统的安全态势发生变化的所有安全要素进行获取、理解以及预测未来的发展趋势，并通过可视化技术呈现出来，为安全防护行动提供决策。核心的是感知、理解、预测、呈现、决策：

感知：获取当前系统和网络的安全状态，比如是哪个IP在攻击我、是什么类型的攻击、攻击的频率怎么样的，这一层次是最基础的信息收集整理的阶段。

理解：整合感知到的数据和信息，分析其相关性，比如理解攻击的危害、攻击发生的原因等。对此，

预测：基于对云上安全信息的感知和理解，预测相关攻击未来的发展趋势。

呈现：即通过可视化技术，把攻击情况清楚地显示出来。

决策：即对态势感知提供的洞察，采取的相应的防护措施。

基于以上基本概念，业界实现的态势感知类的产品大同小异，原理都是对用户的全流量进行旁路分析，结合可视化技术、威胁情报、行为分析、机器学习、大数据等技术，对用户云上的全网流量实现资产可视化、威胁可视化等，帮助用户及时发现云上的安全威胁。

全流量分析，这是很多安全产品都会做的工作，即可把经过系统或者服务器的所有流量都进行分析，以发现其中的异常。为了不影响业务，最常用的全流量分析方法是程序猿们经常说的“旁路镜像”，即把全流量复制一份下来，在旁边悄悄地进行分析，发现问题就采取相应的防护策略，比如下发一个策略阻断现网的恶意访问。

威胁情报关联，即把历史或合作伙伴分析的威胁情报关联到现在的系统里，分析可能存在的异常。比如历史的威胁情报里表明，某个IP经常发起恶意攻击，那这个IP出现在用户访问列表里，就有一定的可疑，结合其他的分析手段，就能知道这个IP到底是正常访问还是恶意攻击。

异常行为分析，顾名思义，即从全流量里获取的信息分析用户是否有异常行为，是否可能是恶意攻击，比如分析用户的账号是否异常、云主机是否被攻破了、数据有没有泄露等等。

可视化呈现，这是为了方便无论是否是安全专业人士，都能够清晰的了解当前系统的安全状态，方便企业安全人员发现和处理威胁，提高处置安全事件的效率。

作为以上原理的工程实现，华为云态势感知服务实现了以下主要功能：

一、态势展示：提供综合态势感知大屏，后续还会增加主机安全和网络安全大屏，集中呈现资产的所有安全状态，评估整体安全风险。

二、威胁告警：检测DDoS攻击、暴力破解、Web攻击、后门木马、漏洞攻击、僵尸主机、异常行为、命令与控制等20+种云上安全风险模型，并提供告警功能。

三、漏洞管理：对系统进行检测，快速识别风险，并发现攻击者可能感兴趣的资产，帮助用户弥补安全短板。其集成了漏洞扫描功能，可以在不安装主机agent的情况下，从网络侧扫描主机漏洞和网站漏洞。

四、基线检查：检测操作系统、中间件、主机、数据库存在的风险和配置，并提供修复建议。

五、安全联动；针对主要的威胁告警，提供安全编排功能，联动已有安全服务，执行检测分析、防御阻断、深度排查和安全加固等防御策略。

看完了忍不住想买？请点击链接。