您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。[云安全联盟]:基于云原生的攻击面管理V2.3 - 发现报告
当前位置:首页/其他报告/报告详情/

基于云原生的攻击面管理V2.3

2023-04-22万飞云安全联盟李***
基于云原生的攻击面管理V2.3

基于云原生的攻击面管理 Attacksurfacemanagementbasedoncloudnative 演讲人:万飞 北京华云安信息技术有限公司 目录 Contents 一.云原生安全发展趋势 二.云原生安全攻击面管理 三.云原生安全落地实践分享 一.云原生安全发展趋势 1.1基于云原生应用安全投入 简单看一组国外的统计数据 从2018到2022年增长趋势很明显。 二.云原生安全攻击面管理 2.1云原生安全资产发现 影响攻击面因素攻击面资产构成 镜像 容器 容器编排平台 攻击面资产构成 Web应用 服务网络 Serverless 云原生基础环境各种软硬件资产 未知资产 攻击面数量,随着部署SaaS应用程序资产的范围扩大而不断扩展。未知资产的危险在于网络安全风险和威胁的不可预见。 层出不穷的安全弱点 通常情况下,部署的资产越多,暴露的弱点越多,尤其未经安全团队授权安装在企业资产上的某些组建或不安全设置。 云计算技术应用 云计算迅速兴起,越来越多的资产面临外部威胁,从而进一步增加网络攻击面。 自动发现并可视化云原生环境下运行的主机、K8s集群、pod、容器、Namespace、微服务等多种资产,基于优先级实时感知风险态势。 二.云原生安全攻击面管理 2.2云原生安全攻击面检测 2.2.1云原生开发中的攻击面检测 2.2.2 云原生线上应用攻击面检测 2.2.3云原生基础设施攻击面检测 二.云原生安全攻击面管理 01 CI/CD流程深度集成,在开发过程中通过攻击面检测技术检测弱点、敏感数据及其他安全问题 2.2.1云原生开发中的攻击面检测 02 基于镜像的弱点扫描,通过在线提供镜像扫描和多种配置扫描发现风险点 安全左移,从源头解决问题 03 基于容器动态安全分析,通过安全容器沙箱技术检测高级威胁、未知恶意软件威胁等风险点 01-03 二.云原生安全攻击面管理 01 通过弱点扫描,检测线上应用是否存在可利用的弱点 02 03 04 05 通过自动化渗透,检测线上应用是否存在可利用的弱点 获取容器和Kubernetes运行时环境的详细审计和取证数据,以跟踪违规事件,进行合规评估 在沙盒环境中运行、分析容器镜像,检查和跟踪行为异常,以发现静态扫描程序无法检测到的高级恶意威胁 通过机器学习分析行为、识别云原生环境中符合ATT&CK框架下所有攻击行为,保证容器运行时免受各类型已知攻击威胁 2.2.2云原生线上应用攻击面检测 容器安全 01-05 二.云原生安全攻击面管理 01多云环境中进行VM配置核查与合规检测 02通过弱点扫描,检测VM是否存在可利用的弱点 2.2.2云原生线上应用攻击面检测 03通过自动化渗透,检测VM是否存在可利用的弱点 04通过VM实时监控,实现资产快速更新 06提供取证分析,监视VM可疑活动 虚拟化安全 05通过VM入侵检测,动态监控注册表、文件系统等 01-06 二.云原生安全攻击面管理 01通过弱点扫描,检测云函数是否存在可利用的弱点 02通过自动化渗透,检测云函数是否存在可利用的弱点 2.2.2云原生线上应用攻击面检测 04提供运行时保护,检测异常行为 03标记过度授权,监视未使用的权限和角色来防止权限滥用 05通过策略授权提供可控部署,避免云函数滥用 云函数安全(Serverless安全) 01-05 二.云原生安全攻击面管理 01通过云基线进行配置核查与合规检测 02通过弱点扫描,检测云环境是否存在可利用的弱点 2.2.3云原生基础设施攻击面检测 03通过自动化渗透,检测云环境是否存在可利用的弱点 云环境安全 04通过云控制面行为检测,分析敏感数据变更或潜在恶意活动 05提供自动化修复机制,根据策略进行必要的干预操作 云环境安全是云安全的重要基础,也是攻击面检测的必要对象。通过保证云环境的安全,能够有效地降低通过利用云环境造成的攻击。 二.云原生安全攻击面管理 01提供集群配置核查与合规检测 02通过弱点扫描,检测集群是否存在可利用的弱点 2.2.3云原生基础设施攻击面检测 03通过自动化渗透,检测集群是否存在可利用的弱点 04通过可控节点部署,避免非法节点上线 集群安全 06通过身份隔离技术,在集群内和集群之间强制执行容器级网络隔离规则 05通过策略准入进行应用部署,避免非法应用上线 集群是一切云计算的基础,因此也是云原生的基础设施中最核心的内容,只能通过多种技术手段实现对基础设施的攻击面检测,才能为上层应用提供可靠的安全保证。 二.云原生安全攻击面管理 2.3攻击面分析 攻击面优先级评估 集群是一切云计算的基础,因此也是云原生的基础设施中最核心的内容,只能通过多种技术手段 攻击面优先级评级 根据攻击面发布天数、 影响之、代码利用成熟 度、影响范围、发布来源、流行度等维度进行评分 流行度 利用工具 CNNVD 攻击面评级 CNVD CVE 资产 IP地址 可访问性 网络曝光分数 根据资产的网络分类对资产 进行评估,如:内网、外网、 DMZ等; 资产重要性评级 实现对基础设施的攻击面检测,才能为上层应用提供可靠的安全保证。 资产风险暴露评分 根据资产的访问方式、开放的服务和端口为资产暴露面进行评分 开放服务 访问方式 资产风险暴露面评分 资产重要性 用户定义 资产价值 资产类型(服务器、网络设备...)提供服务(邮件、数据库...) 业务目的(财务、IT管理、研发...)等方式进行资产重要性划分; 二.云原生安全攻击面管理 结合IoC情报分析 了解针对云原生环境的可能威胁 结合供应链情报分析 了解云原生组件供应链中的风险以及它们如何影响云原生应用 结合外部情报分析 了解黑产,仿冒APP、仿冒网站,企业信息泄露对外部信息对组织得影响 2.3攻击面分析 攻击面情报分析 通过分析包括IoC情报、供应链情报和外部情况等类型的攻击面情报能够有效地发现各类未知风险,从而在攻击发生前掌握重要的攻击信息。 二.云原生安全攻击面管理 提供事件跨部门协同流转 完整和开放式的流转体系,将技术和流程打通,将复杂的攻击面事件管理工作流程化和制度化,协同用户跨部门进行合作,从而完成攻击面快速处置工作。 : 2.4云原生攻击面响应 提供SOAR人机协同: 通过SOAR完成自动化弱点验证&修复功能,通过SOAR可实现对各类工具的调度,做到攻击面快速收敛和事件快速响应 : 通过华云安产品家族,助力云原生环境安全左移,达到攻击面快速收敛和事件快速响应能力,在DevOps基础上能够及早发现问题并快速修复它们。 三.云原生安全落地实践分享 统一安全平台 积木式搭建产品,微服务化安全能力平台易于扩展。 云原生交付 轻松支持本地化部署、云化部署和SaaS化交付。 云原生原子化安全能力调度平台 核心理念 安全风险库 基于知识图谱的风险库,增强共享能力、提升安全防御体系的有效性。 人工智能引擎 场景化AI对抗引擎,源自国家重点研发计划,技术领先市场3-5年。 云原生统一架构实现了一个平台交付所有安全原子化能力的技术管理体系。 三.云原生安全落地实践分享 基于云原生的攻击面管理 新一代弱点检测与评估(Ai.Scan) 精准、定位企业真实的安全风险 智能化渗透与攻击模拟(Ai.Bot) 智能、基于AI的自动化深度攻击面检测 通过云原生原子化安全能力调度平台,为云原生攻击面管理的各个环节,提供完整的解决方案。 自适应攻击面管理与响应(Ai.Vul) 高效、管理与响应 攻击面检测与管理 零日攻击与未知威胁监测(Ai.Hunter) 深度、AI驱动的威胁捕获与溯源反制 攻击面安全风险库(Ai.KG) 迅速、情报驱动先于攻击的互联网攻击面检测 THANKYOU