阿里安全专家吴翰清：安全的未来是态势感知

7月9日，阿里巴巴天下无贼安全峰会在北京举行。峰会上，著名白帽子、阿里巴巴资深总监吴翰清（网名：道哥、刺）发表了《安全的未来是态势感知》的主题演讲。在演讲中，他感叹，从业十余年最大的痛苦莫过于，客户花了钱，还被黑。

如何让用户清楚看见自己的安全全局？如何全面、快速、准确的感知过去、现在、未来的安全威胁？有了海量的安全数据，有了云计算的强大计算能力，吴翰清透露，为了解决用户这些痛点，阿里云安全品牌云盾计划近期推出全新安全解决方案态势感知。

一、花了钱添置安全设备，为什么还被黑

坦白地说，吴翰清阐述的情况在企业安全市场并不罕见。

去年五月，全球知名安全公司FireEye发布了一份名为《网络安全的最后防线：深度防御的实境评估》的研究报告。报告者，FireEye分析了全球1,217家遭受安全攻击的企业。尽管这些企业广泛部署了诸如防火墙、IPS、沙箱或防病毒产品，97%参与调查的企业仍被黑客成功入侵。

这是一个有趣的现象。

问题在哪里呢？

虽然部署了安全设备，但是感觉到它们存在的时候往往是在入侵事件发生之后。这又是一件令人郁闷的事情：为什么总是看不到黑客的入侵，为什么跟在黑客屁股后面？

当然，也有可以实时给予你存在感的系统，但是—大堆的告警，更专业一点地说，是混杂了大量误报和无用信息的信息轰炸——其实和看不到没两样。

这种“看不到”并非偶然。在吴翰清看来，安全攻防完全可以用木桶理论来解释。木桶理论认为，只有构成木桶的所有木板都足够高，木桶才安全；所有木板比最低木板高出的部分都是没有意义的，要想增加木桶的安全，应该设法增加最低木板的高度，这是最有效也是最直接的途径。因为，黑客总是会从意想不到的地方入侵。

在很多时候，防护一方由于各种原因，其防护视角没有从全局角度来看木桶的高度，就像下图所示的那样。这样一来，攻击者就可以绕过防护系统，达到入侵的目的。

二、态势感知，让安全防御可视化

事实上，对于防护一方来说，不管是攻击的一面还是防护的一面，安全就是一副图，如果没有看整张图的视野，就等于什么也看不到。换句话说，安全防御需要可视化。

关于如何解决安全的可视化，国内外的安全专家进行过大量的研究。一个关键的突破是“态势感知”（Situation Awareness）理念的引入。

态势感知最早来自美国军方的研究。美国军方认为，决策的基础是信息，是数据。要想获得决策优势，就必须获得信息／数据的优势，而信息／数据优势拼的是信息／数据的质量和处理能力；最后，为了获得更多有用的信息／数据以及战场主动性，就必须要获得足够的控制能力.

由此可见，态势感知根本目的是将安全渐进明晰进而解决可视化的问题。只有在可视化的前提下，才可能适应和主导瞬息万变的战场（包括网络战场）。

三、云计算带来的安全新机会

态势感知的核心理念可以理解为一个渐进明晰的过程，它分为态势觉察、态势理解和态势预测三个层次，通过态势要素获取，获得必要的数据，然后借助数据分析进行态势理解，进而实现对未来的态势预测。

只是，在三个阶段中我们都要觉察什么，如何获取，如何理解以及如何预测呢？

问题的答案可以归结为三个能力，即数据的获取能力、数据的处理能力以及未来的预测能力。

吴翰清认为，想要实现全面、快速、准确感知过去、现在、未来的安全威胁，首先要充分尊重原始数据，或者称之为基础数据。基础数据包括：

如上图所示，基础数据是态势感知的基础，没有这些原始数据，安全可视化无从谈起。只是，在传统统安全设备时代，受限于单机性能，工作模式以“过滤“为主，拥有足够的原始数据是一件奢侈的事情。

例如，WAF、NGFW等都会进行特征匹配，保存命中的恶意请求，丢弃掉占总量99.99%的正常日志。因为存储不下来。

云计算的兴起让海量数据的存储与计算变成可能。云计算的存储来源可以基于整个体系，既有主机端数据，也有网络数据；既有线上数据，也有线下数据。数据来源足够丰富，足以覆盖防护面上的漏洞和盲点。

数据的处理不仅包括存储，还有计算。这几年，人人都在谈论大数据。到底多大的数据是大数据呢？这个问题没有固定答案；不过，大数据往往表现为大到不能被迁移走，或者对数据的处理要求不能容忍数据被迁移走，需要在数据产生的地方就近甚至原地处理。而在这方面，云计算也能实现。

吴翰清透露，就在上个月，阿里云遇到最大的一次CC攻击（即HTTP Get Flood，HTTP请求洪水）达到200万QPS。请注意是CC应用层攻击，而不是诸如SYN Flood或UDP Flood的网络层洪水。这是什么概念——意味着100亿次的请求和数百G的日志（天）。

这些原始数据存哪，怎么处理？答案只有一个——云计算。云计算提供了取之不尽、用之不竭的资源池——体会一下5000台服务器集群处理PB级数据的感受。这正是阿里云云盾系统的体验。

有了强大的储存与计算能力，就能通过数据分析处理结果建立的风险模型以及对规律性的判断进行预测了。