阿里云安全白皮书发布:面向未来的安全能力与实践
内容介绍
一、数智化趋势下的安全新态势
二、安全治理框架:八大支柱
三、云上安全最佳实践
大家应该已经下载到了白皮书,前两天也已经将其放在阿里云网站上。首先我解读一下这份 2024 年白皮书的内容,即告诉大家应该如何看待这件事。今年的白皮书主要围绕八大支柱展开,前面是引导内容,后面是结尾。
最主要的不同点有两个:
第一是今年的白皮书不是像以往那样给大家发一本书,而是围绕八大支柱写了很多新内容,并且发布后会在网上不断更新。比如安全保障流程建设、红蓝对抗等内容会持续更新。以往的白皮书是静态的,而今年会不断围绕八大支柱呈现新的内容。
第二个不同点是白皮书下面有一些安全实践的介绍,可能大家对淘宝上云感兴趣。以前淘宝要上云,上云后如何处理安全问题以及进行防御,白皮书中会有一些基础内容介绍,后续还会跟进具体事件。
一、数智化趋势下的安全新态势
1.现状
在前面的议题中,大家提到过一些数字,网络攻击的数量每年都在增加,但是今天可以忽略这些没有意义的数字而是关注这些问题的本质。因为很多数字化领域中,一些国企、央企起初没想过数字化,2010 年之后,这些企业在数字化方面的竞争力越来越多,发展也越来越快,越来越好。
在此基础上,出现了一个问题,以前只需守护少量地方,现在数字化后,守护的战线会越来越长。对于企业自身来说,业务可能没有变化,也没有拓展新业务,但是在黑客看来,战线越长可攻击的地方越多,这样企业犯错误的几率就会增加。
而且有趣的是,企业可能什么都不做,不买新的安全设备,也不请更好的安全团队,但黑客的攻击力却在不断增强,他们学会了更快更好的攻击技能。所以看到的数字不断增长,其背后就是这样的原理。第一场会议介绍了安全工程组的内容,这里就不再深入讲解了。
2.云上安全团队
今年的一个不同之处在于介绍安全团队。在信息化时代,技术持续迭代更新。若在技术细分领域不断学习后转而从事管理工作,一两年便可能被超越。花费大价钱请来高手,将他们置于相对封闭的环境中。
由于网络处于线下,高手们看不到攻击,且人们想象中黑客也不会前来。然而,这样会导致团队技术成长受限,几年后可能被淘汰。他们所认知的防线也会因新攻击手法的出现而失去作用。例如,过去人们认为将东西放在铁笼里隔离起来最为安全,但近几年出现了供应链攻击,软件可能带有后门。即便不断进行检查,一旦出现错误,数据仍可能被传到网络上。所以高手的保质期很短。解决这个问题的方法是让安全团队在网络上,在不断的“战斗”中了解最新技术,知晓如何进行防御。
如果安全团队一直在网络上作战,就会一直了解最新的攻击方式,从而知道该用什么方案进行防御。阿里云上每天都有新的黑科技出现,所以我们的安全团队会在网上持续学习新手法,与大家不断交流,同时帮助客户和自己做防御。
以前没有的情况是,国家工业和信息化部指出我们在 2023 年网络实战攻防演变中取得了很好成绩。说明近几年国家非常重视非合规的实战网络攻击,不再单纯以通过多少级等标准来认可安全,而是邀请全国顶级安全团队和安全公司举办大型活动进行攻击,以此提炼攻击队伍和防守队伍。我们在攻击和防守方面都取得了很好成绩,也获得了国外认可。
二、安全治理框架:八大支柱
围绕实战概念,今年提出八大支柱,最下面两个红色支柱是内部内容。一个是去年云栖大会上提到的全流程产品安全保障建设,即阿里云产品发布要经历的安全审核、上线等过程怎么做;另一个是红蓝对抗,我们有一群人一直在攻击自己的系统,这两个支柱体现了一攻一守,所有东西都要在实战中验证。
这是最根本的两个支柱,剩下六个支柱已提供给客户,我们自己也在使用,包括数据合规、数据安全保护、身份管控、高可用安全防护、线上威胁响应等,这些技术在白皮书里都有。
1.云平台自身安全
在屏幕左侧是我们自己的安全机制,虽未画完但上面写了几个安全机制。
主要给大家介绍的是三个人,即 apt组织、黑灰产、脚本小子,他们的区别在于:所谓的 apt,我们认为是带着业务需求的长时间黑客攻击。例如,公司要上市,处于同一赛道且业绩差不多的三个公司中,如果另外两个公司不断出事,可能对自己公司上市有利,这时就可能发起真实的 atp 攻击,它是长时间的,让那两个业务不断不可用。
网络上常有关于黑客尤其是国家黑客的说法,他们会编一些内容,实际上去分析一个木马,说某个黑客组织所使用的工具特别厉害,但这其实并非本质。apt 的本质是带着业务需求来找你,他们已经想好要达成什么样的业务结果,所以你面临的是一个有长期固定业务结果的组织,长期的攻击就来自 apt 组织。
第二类是黑灰产,数字化之后,如果对黑灰产方面进行研究,会发现里面有很多可以变现的东西,比如洗钱、把数字资产变成钱,在游戏里可以便宜卖点卡,拿到库后再以更低价格卖给别人,这是黑灰产常做的事。黑灰产的特点是会非常高效地大批量发现网络上的漏洞,你只是网络中的一个单位、服务器或一项业务,你是被连带的,他们并非专门针对你,而是要追求攻击方式的最大化效果体现。他想要的是最终的影响,这是黑灰产,即第二类对手。
第三类对手是前两类的前身,被称为脚本小子,在另外两类对手还在学习的时候,就像脚本小子。我们的防线会模拟这三个点不断进行攻击,我们自己也会基于这三个对手进行各种防御。这是以攻促防的一个环节,也是八大支柱中的一个环节,以前这个环节并未展开过。
我们是这样看待这个问题的:
第一类是白帽社区的漏洞悬赏,我们认为不可能自己解决全世界的安全问题,所以一定会依赖外部的安全专家。因此我们非常开放,进行悬赏,如果有人能发现我们的漏洞,我们会有长期的白帽社区进行漏洞观察。
第三类是我们的蓝军,我们内部有一支蓝军,对阿里自己的体系进行非常高水平的黑客攻击测试。这些高水平是通过不断在网络上学习和创新培养出来的厉害团队,他们不断攻击自己,用不同方式绕过安全防线,在我们的平台上展现各种可能的攻击,以证明某些东西。比如你一直认为某些东西应该存在,但测试后发现并不在,或者某些防线你认为达到一定水平,但还有更厉害的手段。这是我们蓝军对 appt的深入测试。
举个例子,在前几年国家大型实战型攻防演练中,有一次国家部门组织演练时,给了我们省级审批,允许我们控制业内一个供应链。按常理,控制供应链后下发木马去控制餐饮单位即可,但我们的蓝军做了一件事,控制供应链后迂回攻击阿里自己的系统,以检测当面对大型供应链时,阿里的防守情况,包括响应时间、止血能力及效果等。如果可行,还会进行下一步动作,这体现了我们对自己不断怀疑。前面一页是我们自建的一些能力,后面一列是我们虽不完全信任但不断有团队质疑其建设情况,这就是蓝军的意义。
第二是自动化的红蓝对抗,蓝军追求高水平飞速攻击,喜欢创新并寻找新方法,但新方法只对系统做一次尝试是浪费,我们希望批量不断测试,如测试不同机器的防御情况、不同网络间是否真的不能访问等。我们有专门的自动化红蓝对抗系统,可以保持对防线常年 24 小时打击。以前去黑客团聊天时,他们会问我们手机怎么样,也就是问上一次蓝军通过双盲方式攻击到阿里内部是什么时候、用了多久,以前这个问题的答案可能间隔很久。
我们的 apt有的甚至经过长达半年或一年的策划,为的是检验我们的防御能否将很早之前的事情与今天发生的事情关联起来。因为所有防线可能今天在明天就不在了,这值得怀疑。我们的自动化防御从不同节点延伸此事。有了这个自动化红蓝对抗系统,当我们自研的蓝军木马下载到本地模拟真实攻击时,可以查看防线有多少地方有漏洞、多少地方未响应。所以当被问到上一次蓝军通过双盲方式攻击到阿里内部是什么时候、用了多久时,答案可能是整个系统都在受影响且全面响应。
2.原生先进的安全能力
第三个支柱是云安全中心提供一体化安全运营机制,分为事前、事中、事后,为客户提供能力。事前有很多检测,主要帮客户找到企业内部资产数量以及资产的漏洞和问题。事中在遭受攻击时能扰乱攻击流程、与木马对抗。事后能快速复原,实现云上分钟级的恢复。
三、云上安全最佳实践
接下来讲几个最佳实践,刚才介绍了八大支柱中的三个,其他内容大家可自行查看。淘宝上云时,大家看到的可能是结果,说要上云,后来双 11 在云上打响保卫战,大家觉得功能很好。但对我们内部来说,安全团队遇到问题。以前淘宝有网络安全团队负责服务器和网络设备的安全策略等,在交换机场配置哪些机器有防备、哪些没有,划分安全区。同时,阿里云因安全重要在建设之初就有安全团队。此时系统中有两支安全团队,会遇到很多问题,比如企业层面的问题以及淘宝当前安全策略出现不适应等。
如果两个团队协同出现问题,就会有各种问题出现。
第一个问题是企业层面的问题;
第二个问题是淘宝当前的安全策略出现不适应。比如有些人在研究操作系统内核里的某一个模块,若开启这个模块,安全性可能会更好。还有各种关于系统配置能让系统更安全的研究,包括操作系统应做什么样的配置才能默认更安全。淘宝有大量服务器,上百万台,一个镜像要布置多少份、装机要多长时间、上线需要多久等都有安全团队参与。
但最麻烦的是这些工作不在同一个地方,系统无法集中管控。安全团队最大的敌人是防火墙只能配置 20 条安全规则,性能有限,面临选择要防左边还是右边。当时产品出现了这样的问题。随着技术发展,以前操作系统装在物理机上,现在一个程序在容器里运行,安全防线要做更多投入研发新东西防护内部问题。
淘宝继续研究可能会与阿里云在技术路线和安全上出现问题,而且在公司都上云的时候还研究操作系统底层会很难走。安全团队要有自己的发展方向,基础突然变了,所有东西要上云,研究的东西可能明天就没用了。于是想了一个办法,上云好处多,降本、便于管理、在同一个地方做防御、能看到所有东西,网络安全是技术设施的一部分,所以上云能也有这些好处。
于是做了一个决策,让淘宝安全团队全部进入阿里。除了保持团队创新和降低成本,未来创新的安全产品自己用还能提供给客户。白皮书里有行业安全方案内容不展开。AI大模型,阿里云是少有的,同时拥有领先云计算和大模型的企业自身实践能服务客户。以上为本场会议的全部内容。