1011
借鑒人類疾病防疫機製,阿裏雲如何幫助用戶應對大規模安全疫情?
5月12日晚,WanaCrypt0r 2.0勒索軟件在全球爆發(簡稱 WCry2.0)。在無需用戶任何操作的情況下,Wcry2.0即可掃描開放445文件共享端口的Windows機器,從而植入惡意程序。
截至今晨,全球上百個國家的13萬多台電腦遭到感染。其中,英國16家醫院因為受到感染而對外失去聯絡,在中國,高校和加油站因勒索軟件影響,造成了業務和課程的停滯。每一台“中招”的電腦需要繳納約300美元的勒索費用。
WCry 影響範圍 來源:Malwaretech(5月16日更新)
仍記得2014年的埃博拉病毒爆發。14年3月,世界衛生組織發現了首個埃博拉病例。1個月後,西非四國共發現1711個伊波拉病例,其中932人已經死亡。
埃博拉疫情地圖
從攜帶源,疫情蔓延的趨勢,到預防控製機製,人類疾病疫情爆發與安全事件的爆發十分類似。通常來說,如果一個係統漏洞大規模爆發,它通常具備以下特點:
1、第一次爆發。很多大規模爆發的安全事件都是因0DAY漏洞而起,也就是以前沒有任何樣本、經驗和防禦措施
2、它的“傳染源”和“易感人群”非常接近。例如今天爆發的WCry2.0勒索軟件,在全球74個國家蔓延,有高度的傳染性。
3、防控滯後。安全事件爆發時的應急與疾病爆發一樣,都是與時間賽跑。如果不能第一時間有補丁止血,及時升級補丁,那麼疫情的影響範圍會越來越大,受到的損失也會成倍增長。
4、“病死率”高。在網絡安全中,判斷一個漏洞是否是“高危”或“嚴重高危”,通常會考慮它是否“一擊致命”。如果攻擊者可以利用該漏洞進行遠程執行,操控係統,那麼這個安全漏洞就很容易給宿主造成資金、數據的損失,甚至造成業務癱瘓。
另一方麵,人類在疾病預防時所建立的機製,又能給安全運維工程師們以啟發。其中,世界通用生物安全水平標準(生物安全等級)就是一個很好的例子。BSL1-4的定級,讓防控人員可以決定其所對應的防控嚴格程度。
阿裏雲在安全應急體係設計之初,充分借鑒了人類在疾病防控機製上的一些可取之處,例如“隔離”的概念,“疫情”的概念,和“防控結合”的概念等等。當每次大規模 安全事件爆發時,基於我們的應急體係和威脅情報,阿裏雲得以成功地為用戶提供預防和止血方案,盡可能地幫助用戶減小風險。
阿裏雲安全應急響應“五部曲”
一、“積極盡責地幫助用戶”:阿裏雲安全應急體係的“初心”
阿裏雲安全運營團隊製定了安全事件應急響應流程、安全事件定級標準、安全事件應急處置指南、安全事件組織架構、安全事件應急平台和工具(IRP)等一係列工作原則,這有助於我們用最快的速度防範新的漏洞爆發,並且做到“有的放矢”,將雲平台和用戶的風險降至最低。
除此之外,阿裏雲會盡可能地幫助用戶找出漏洞的成因,並給出預防、止血和修複的建議。例如WCry爆發後,阿裏雲第一時間發布了漏洞公告和安全建議。阿裏雲已經默認對所有上雲用戶關閉開放445端口,且默認安裝Windows官方補丁。
二、雲上威脅情報:疫情監測與預警的基礎
當發生重大疾病疫情事件,一般需要病患的報告及專業醫療機構收治的臨床病例來發現和確認突發的高危疫情事件,及時發現重大疫情的發生情況。這是人類處置疫情的第一步。例如, 2003 SARS爆發時,美國疾病控製及預防中心在3月得悉加拿大爆發疫情後,實時激活其緊急運作中心。該運作中心進行24小時協調工作並做出響應。
監測與監督 是確保所有安全事件爆發後得到報告和追蹤的一項重要內容,阿裏雲利用自建的全天候實時威脅情報監測係統,不間斷對互聯網的安全漏洞、行業熱點信息進行監測,實時捕獲的外部最新情報信息,為雲安全風險管控和預測模擬提供第一手的決策信息。
與此同時,第一時間通過自動化通知方式(包括:短信、EDM投送、站內信息、自動語音等),快速通告並預警態勢,讓用戶知曉最新進展。
阿裏雲安全疫情監控數據(模擬數據)
三、知曉全局:疫情研究與評估
當醫療人員確定病毒疫情信息準確後,會現場收集病毒樣本,對病毒樣本進行深入的病理分析和評價為下一階段的製定疫情防控方案提供信息輸入。在阿裏雲,安全疫情的評估和研究分為以下幾步:
1、事件等級評估:對事件的嚴重性進行評估,以便於明確下一步的工作內容
2、風險影響評估:該事件對雲平台安全和雲上租戶業務的影響進行綜合評估
3、受影響用戶範圍評估:對阿裏雲平台上受影響的用戶快速確定
阿裏雲疫情評估雷達(模擬數據)
四、黃金24小時:疫情止血防控
疫情工作的最終目標是要讓已經發生或正在發生的重大事件得到有效的抑製,而方案的好壞直接影響到疫情控製的效果。阿裏雲針對重大安全疫情事件,通過2套方案實現雲上用戶風險的控製,即:快速抑製(止血)、最終根治方案。
快速抑製(止血)方案:在疫情得到確認之後,安全分析團隊著手開始製定快速止血方案,例如:“關小黑屋”---配置網絡訪問控製策略,“緊急包紮傷口”---修補漏洞、修改密碼,防止更多的事件發生,同時防止更多的雲服務器資產被入侵而攻擊其他用戶。
最終根治方案:阿裏雲應急響應團隊在疫情研究和評估完畢後,根據研究報告製定麵向不同行業、不同水平的專業技術人員的根治防治方案。
自動化安全產品:安全研究團隊通過對安全事件的深層次分析,將安全檢測方案和修複方案快速落地到安全產品,形成自動化的聯動防禦體係,幫助雲上用戶以最底層本和最高效的方式快速一鍵自動化解決安全問題,保障雲上業務的連續性和數據的安全性。
指南和技術性文件 :阿裏雲安全應急響應團隊針對每一個安全漏洞和事件編寫技術文件和指南,包括:安全漏洞和事件的檢測方案、安全問題的控製技術指導手冊、為雲上用戶提供全麵豐富的技術知識庫,幫助用戶。
——
在雲環境中,整個漏洞過程完成的時間都可以控製在24個小時內,而在線下環境中這個時間通常為一周。
除了做到“快”,阿裏雲也在每一次漏洞應急基礎上,依托數據和算法,不斷優化應急流程,形成全鏈路式的全網應急響應體係。當發生重大安全事件時,阿裏雲會快速、積極、盡責地幫助用戶看見風險,解決問題。
參考文章:
美國國家傳染病中心的疫情應對機製
https://www.istis.sh.cn/list/list.aspx?id=397
伊波拉疫情列危機 新加坡啟動預防機製
https://www.65singapore.com/news/sinnews/31193.html
霍亂:控製和預防機製
https://apps.who.int/gb/ebwha/pdf_files/WHA64/A64_18-ch.pdf
生物安全病毒等級分類名錄
https://www.doc88.com/p-3784787337524.html
最後更新:2017-05-16 10:32:36