12月13日,由杭州市人民政府和浙江省商务厅主办的2022首届全球数字生态大会于杭州国际博览中心成功举办。大会以“新技术、新业态、新模式”为主题,聚焦数字贸易生态的专业论坛。
要做好云原生安全,首先要做好攻击面管理
演讲开始,马维士指出,随着科技的发展,尤其云原生技术的发展,“一切皆可云化,一切皆可编程,万物要互联,整个世界将架构在软件之上”。他在这里提到了两组数据:一是2021年Q1季度,全球云原生开发人员的数量同比增加了30万,达到680万,2022年这个数字据统计有了更多增长,云计算已经进入云原生时代;二是云原生线上应用部署比例,发达地区,在2020年大概60%左右,2021年已经达到70%以上,增长迅速。
关键基础设施将更加复杂,攻击面将不断扩大,开源代码、SaaS应用、云应用、数字供应链、社交媒体等引发的风险促使企业暴露出的攻击面超出了其可控资产的范围。新形势下的资产管理、漏洞管理以及安全运营也越来越重视攻击面管理相关技术;新技术、新方法的应用反过来也促进攻击面管理与收敛更加快捷,安全运营更加高效。因此,要做好云原生安全,首先要做好攻击面管理。
通过发现、检测、分析、响应四大环节做好云原生攻击面管理
在介绍如何做好云原生攻击面管理时,马维士指出首先要进行云原生环境下资产发现工作。在云原生环境下,未知资产,各种开源软件漏洞,新的云计算技术的应用导致攻击面外延变得非常大,“画的圈越大,可利用的弱点越多”。面对这些问题,需要摸清家底,能自动发现云原生环境下运行的主机、容器集群、容器、命名空间、微服务等多种资产,可以基于优先级实时感知风险态势,并可视化进行展现。
然后要在资产发现的基础上进行攻击面检测,攻击面检测可以分为应用开发中的攻击面检测,应用运行中的攻击面检测,应用运行环境及基础设施攻击面检测。
云原生开发中的攻击面检测,在开发过程中从三个方面进行攻击面检测,实现安全左移,从源头解决问题:一是通过与CI/CD流程深度集成,在开发过程中检测弱点、敏感数据及其他安全问题;二是基于镜像的弱点扫描技术,通过在线进行镜像扫描和配置扫描发现风险点;三是基于容器动态安全分析技术,在容器沙箱中模拟运行,检测高级威胁、未知恶意威胁等风险点。
云原生线上应用攻击面检测,包括3方面的内容:第一项是容器应用检测,容器是云原生的技术,通过弱点扫描、自动化渗透测试、审计、沙盒等多种手段,实现对容器中的攻击面全面检测;第二项是虚拟化应用检测,虚拟化是应用的常见部署模式,能够在同一硬件上实现多个完全隔离的应用,因此虚拟化的隔离程度和容器的管理的攻击面检测,是云原生平台的重要保障;第三项是云函数检测,云函数提供了一种更加通用的微服务的抽象形式,所以是攻击面重要的检测对象,通过对云函数安全的攻击面检测,实现对服务能力的安全保证。
云原生基础设施攻击面检测,首先是云环境攻击面检测,云环境安全是云安全的重要基础,也是攻击面检测的必要对象,通过保证云环境安全,能够有效地降低通过利用云环境弱点造成的攻击;其次是集群攻击面检测,集群是一切云计算的基础,因此也是云原生的基础设施中最核心的内容,通过多种技术手段实现对基础设施的攻击面检测,才能为上层应用提供可靠的安全保证。
云原生攻击面管理第三个比较重要的技术是攻击面分析技术,攻击面分析可以通过攻击面优先级分析和情报分析来进行:
攻击面优先级分析是指根据已发布的攻击面信息进行评估,以不同的视角理解攻击面的优先级,从而在攻击面管理中优先处理重要的内容。核心内容包括:
-
根据攻击面发布天数、代码利用成熟度、影响范围、发布来源、流行度等维度进行评估分析;
-
根据资产的网络分类对资产进行评估分析,如内网、外网、DMZ等;
-
根据资产的访问方式、开放的服务和端口为资产进行评估分析;
-
根据资产类型(服务器、网络设备等)、提供服务(邮件、数据库等)、业务目的(财务、IT管理、研发)等方式进行资产评估分析,从而挑选出需要优先处置的资产和攻击面。
攻击面情报分析,情报包括IoC情报、供应链情报和外部攻击面情报,通过情报分析能够有效地发现各类未知风险,从而在攻击发生前掌握重要的攻击信息。IoC情报可以了解针对云原生环境的可能威胁,供应链情报可以了解云原生组件供应链中的风险以及它们如何影响云原生应用,外部攻击面情报可以了解黑产,仿冒APP、钓鱼网站、企业信息泄露等外部信息对组织的影响。
云原生攻击面管理最后一个比较重要的方面就是攻击面响应,通过攻击面响应达到攻击面快速收敛和事件快速响应,在应用早期就能够及早发现问题并快速修复它们。攻击面响应提供事件跨部门协同流转功能,通过完整和开放式的流转体系,将技术和流程打通,将复杂的攻击面事件管理工作流程化和制度化,协同用户跨部门进行合作,从而完成攻击面快速处置。同时可以通过SOAR完成自动化弱点验证&修复功能,通过SOAR可实现对各类工具的调度,做到攻击面快速收敛和事件快速响应。
华云安攻击面管理落地实践
在演讲的最后,马维士分享了华云安在攻击面管理领域的落地实践,他首先提到了华云安构建的攻击面统一管理平台,其设计之初就将安全管理和运营变成应用交付的一部分,以安全左移、内生、自动化为标志的安全理念指导下,专注于以攻击者视角构建新一代安全防御体系,其核心思想是通过一个安全平台,提供各种安全防护能力,为客户提供集主动防御能力、情报协同能力、溯源反制能力为一体的新一代攻击面管理平台。
在一个平台思想下,华云安以灵洞-网络资产攻击面管理系统、灵刃-智能渗透与攻击模拟系统、灵知-互联网情报监测预警中心三款产品搭建平台级解决方案,贯穿云原生攻击面管理的各个环节,提供资产漏洞管理、自动化安全测试、扩展安全情报及风险管理等功能,满足云原生攻击面管理的各种需求。
华云安攻击面管理的核心技术是基于AI安全对抗引擎,通过自动化编排和智能调度技术、数据图谱化技术、信息处理自动化技术、安全能力原子化技术,实现云原生安全落地。其中,基于场景的人工智能对抗引擎通过基于知识图谱安全风险库提供的丰富的数据和情报信息,将人工智能与攻防对抗相结合;平台基于海量异构的威胁和攻击数据进行学习和训练;人工智能对抗引擎使我们能够自动标记异常模式并实时检测网络问题和网络攻击,对风险进行有效识别。
★
往期回顾
原文始发于微信公众号(华云安):数字时代,基于云原生的攻击面管理技术探索与实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论