近日,全球领先的IT市场研究和咨询公司IDC发布了《中国公有云云工作负载安全市场份额,2023:伴云生长,深度融合》报告,阿里云(云安全中心)以34.2%的优势稳居市场份额第一,这也是阿里云(云安全中心)连续三年位居该市场份额第一,在以公有云为核心的跨环境部署状态下,占据CWPP市场的绝对领导者。
IDC在报告中指出:阿里云云安全中心通过跟阿里云产品的架构整合、功能整合和方案整合,向用户提供更加全面的云原生安全防护方案,持续提升公有云、混合云和跨云平台的统一防护方案效果,以34.2%的占有率排名第一。
AI和大模型的火热,给安全带来了新的挑战与机遇。今年,阿里云云安全中心全面升级2.0版本,升级为原生一体化的防护管理平台,为客户提供持续监测、深度防御、全面分析、快速响应等多种能力,保护多云环境下的主机、容器、虚拟机等工作负载安全性,检测和修复云平台配置风险,让客户可以实现更高效的安全运营。
GenAI+一体化,改变安全运营的因子
随着IT环境的复杂性逐步提升,全球的安全事件持续增多,从去年开始对云基础设施的DDoS攻击上涨了180%,勒索软件相关事件增长了50%,大模型的发展也带来了诸多新型攻击方式,ChatGPT发布后,网络钓鱼攻击整体增加了1265%,全球因为网络犯罪造成的经济损失高达十万亿美元......
然而,IT设施的复杂化、安全工具的碎片化和安全人员的短缺,给企业安全运营带来了巨大挑战。阿里云云安全中心积极拥抱AI与大模型技术,并利用云上架构优势,最大程度实现安全技术域一体化,向客户提供高效、便捷、易用的下一代安全运营中心。
阿里云云安全中心架构图
AI for Security:阿里云安全大模型
在AI安全领域应用落地的万千种可能中,阿里云采用了最接地气的一种。
传统方式上,处理复杂安全事件时,对告警信息的调查、理解、分析和归纳总结,对人的「经验丰富」性依赖极强,一旦告警事件增多或处置不到位,应急响应时效将会大打折扣,埋下隐患。阿里云安全通过用积累的海量攻防实战数据来训练强大的基模,实现告警的细粒度解释。
当安全事件发生之后,云安全大模型以专家视角提供研判思路,针对告警提供思考方向,降低对运营人员的「经验依赖」,并支持层层深入对话,实现对告警的解释、分析、溯源和处置,在近万次的测试对话过程中其连续性、可读性、正确性、针对性的整体满意度达95.8%。
安全技术域一体化
据统计,目前每个企业平均部署了76款安全产品,安全产品的碎片化背后是分散的安全情报,而据统计,在应急响应中,一次完整的攻击路径还原需要关联分析至少10+的安全产品和工具,用户缺少统一的处置和分析工具,难以及时实现「止血」,给安全运营带去了巨大挑战。
阿里云云安全中心2.0持续向一体化战略演进,推出C-TDR(Cloud Threat Detection and Response)能力,实现事件的关联分析与自动化响应。
- 产品接入:现已支持接入阿里云19类云产品,40+日志类型;
- 威胁检测:拥有大数据+AI+威胁情报加持的检测能力,能实现多源关联;
- 事件调查:通过跨账号、多产品数据关联告警聚合分析,能够帮客户降低90%的安全告警量;
- 自动化响应处置:实现恶意实体(IP、文件、进程)的自动化识别与多产品联动处置;
此外,云安全中心还为客户提供自动编排与响应(SOAR)能力,提供12种基础编排组件、15种多云安全处置组件,可覆盖用户自定义剧本需求的绝大多数场景。
安全服务?公有云也有的能力加持
在业内的观念中,安全服务似乎是私有云或专有云才有的标配,但阿里云在多年的安全建设中发现,在部署安全产品工具的基础上,结合服务才能发挥出最佳的防护效果,简而言之,「有」不等于「会用」更不等于「能用好」。针对国内安全运营人员短缺的现状,阿里云推出「产品+安全服务」的模式,基于多年安全最佳实践经验,为云上用户提供全方位的安全技术咨询服务,降低企业运营成本的同时,提升安全防护力。
- 一键托管,全栈运营:提供从边界到内网、从漏洞到策略、从配置到数据的安全运营服务,让云上用户能更专注于业务自身发展;
- 云原生带来的规模化:基于安全产品及服务的10W+用户基础与攻防情报数据,通过规模化、体系化的运营模式,更高效的服务云上客户。会结合不同用户的防护要求及业务系统现状,不定期调整安全防护策略,把安全风险降至可控范围,实现动态调整、动态防御、动态运营、动态管理;
- 分钟级的应急响应:发生安全事件时,可快速帮助云上用户正确应对黑客入侵事件、清理木马后门、分析入侵原因,有效降低安全事件带来的损失;
Agentless登场,更全面的负载安全防护
伴随着Severless的逐步使用,原本以Agent为中心的「插桩模式」已经无法再适应所有的业务环境,阿里云将One-Agent集成方案和Agentless无代理部署模式「双剑合璧」,构建了全面的工作负载防护体系,企业可以根据自己的需求自行选择。
One-Agent技术
实现对主机、容器的统一管理和防护,提供自动化的操作系统漏洞检测和修复,并针对应用漏洞提供检测和基于RASP技术的安全加固,解决漏洞管理修复工作量大、防护难的问题;
基于250+威胁检测模型、多引擎检测和沙箱技术,实现恶意软件、Webshell快速检测和处置,并首创了勒索病毒三重防护方案,集勒索病毒文件检测和隔离、诱饵捕获和进程阻断、备份和修复于一体,即使数据被加密,也能通过备份恢复;
提供容器镜像扫描、容器运行时威胁检测和阻断能力,并通过容器防火墙实现集群的微隔离,能有效应对容器环境的横向攻击、逃逸攻击;
Agentless技术
无需在ECS上部署客户端,降低资源占用,即可实现对主机漏洞、基线和敏感文件检测;
针对云产品配置风险、身份和权限管理问题,可通过CSPM进行一键扫描和修复;
通过API、云产品合作集成等方式实现无代理检测能力,对云OSS中存储的文件是否包含病毒问题,企业可发起自定义的检测;
经过多年发展,阿里云云安全中心已经成长为原生一体化安全防护管理平台,为客户提供持续监测、深度防御、全面分析、快速响应等多种能力,可以保护多云环境下的主机、容器、虚拟机等工作负载安全性,检测和修复云平台配置风险,同时满足监管合规要求,已为云上10W+用户提供云安全防护服务,落地互联网、游戏、金融等多个行业。
