安恒信息高级副总裁 袁明坤 阶段一:服务器阶段二:云化阶段三:云原生化 •碎片化物理设备管理 •软件与硬件割裂 •以“设备”为中心 •统一云化资源池 •软件迁移上云 •以“资源”为中心 •统一云原生基础设施 •软件云原生架构 •以“应用”为中心 企业IT数字化转型的“三阶段两转变” 数据源自-赛迪顾问-2022年中国云安全市场年度研究报告数据源自-安恒云-历年云安全产品和服务销售业绩 2022年国内云计算市场规模达到2983.4亿元。受十四五规划、新基建等政策的影响,以及国内数字化转型的需求增加,对云计算的服务需求持续增长,将加速中国云计算市场的发展。 2024年,中国云安全市场规模将突破300亿元,云安全作为云计算发展的必要保障,政府、金融、电信运营商等重点行业在云安全产品与服务上的投入将持续增 加,云安全市场依旧保持较高发展势头。 安恒云安全近年来积极创新、探索,保持30%以上的高速增值,在2022年市场销量近2亿,国内云安全市场的第一梯队。 云计算市场呈爆发式增长 云安全迎来黄金发展阶段 云安全仍保持高速增长 镜像漏洞被利用 在DockerHub中超过30%的官方镜像包含高危漏洞,近70%的镜像有着高危或中危漏洞,漏洞主要集中在应用程序的容器镜像当中 挖矿等事件层出不绝 云原生环境下大量的挖矿容器将借此疯狂消耗资源,形成DDoS攻击,给组织的业务和成本带来双重打 计算环境配置不当 运行时、宿主机、编排工具配置都会影响业务安全 缺少安全运营整合风险 安恒信息以云安全、大数据安全、物联网安全、智慧城市安全、工业控制系统安全及工业互联网安全五大方向为市场战略。 安全开发 漏洞与配置 运行保障 响应与赋能 安全运营 主动响应 能力培养 科学演进 降本增效 安全安全 合规战略 安全安全 人 攻防管理 以为中心的 新一代安全运营体系 安全安全 架构效果 安全安全 投入响应 赋能业务 有效落实 客观衡量 协同高效 持续交付 安全情报收集应急响应 业务功能分析 威胁建模子平台 (天璇) 威胁清单 安全需求基线安全需求开发文档 安全需求测试文档 安全知识培训 建立安全共识 安全编码培训 安恒 IDE 安全检测 插件 三方组件库安全扫描 安全开发SDK 代码规范检测 安恒信息打造一站式管理研发安全质量的安全开发一体化平台(SecureDevelopmentALL-in-onePlatform,SDAP, 北斗),以及专业安全开发服务,产品和服务覆盖软件应用全生命周期。SDAP是业界内实践DevSecOps等理论的唯一综 、、 合性平台。它通过威胁建模分析、组合分析检测、安全即代码等方式优化研发团队和安全团队在源代码、开源组件、应用软 件、API、主机、容器镜像等方面的安全工作,解决应用内生安全问题。 准备阶段 需求分析与设计 开发/编码 持续集成和集成测试 验收测试 安全检测任务模块 渗透测试 安全风险报告归档 项目复盘 安全复盘 WebApi请求BuildTestMerge 威胁建模知识库具有最佳实践,等同于大量的威胁建模专家知识,根据建模历史不断丰富和沉淀,积累专家经验,复用正确的思路。 安恒威胁建模平台,根据实际项目背景、业务场景,输出威胁清单、安全需求清单、安全需求测试用例,解决威胁建模过程复杂、缺少安全专家、缺少安全测试人员和安全测试用例等问题。 开发部门 输出安全基线 批量功能建模 项目问卷调查威胁建模 基于业务场景的轻量级的威胁建模工具进行威胁建模,下沉到具体业务功能或者接口,提供与安全需求对应的安全开发SDK,输出准确的安全基线; 10+项业界领先的合规标准、可扩展的安全需求知识库 支持对接Gitlab、Zentao、Jira等工单系统,灵活调整基础模版,规范的安全需求变更和评审流程、权限管理 多维度导出安全需求研发文档和测试文档 联动安全检测工具,实现DevSecOps自动闭环 核心功能建模 测试部门 安全能力与业务枢纽 研发体系内的安全视角 安全能力中心 可视化展示每一层镜像的构建信息 精确定位每一层上的漏洞、敏感配置、恶意文件、webshell等风险 漏洞信息自动关联软件包,包括类型、版本等信息 开源许可检查:深度检视镜像软件开源许可 敏感信息检查:包括私钥、安装sshd、源代码等 WEB应用安全配置:覆盖nginx/apache/tomcat 等典型WEB应用的安全配置 CIS检查:基于CISBenchmark安全基线及最佳实践,识别基线配置 Dockerfile&Yaml文件检查 AWS 阿里 华为 青云 电信 云安全管理平台模块化 云安全管理平台底座模块化。分为数据中台、业务中台等,可以灵活和各类平台及云环境实现数据业务对接。 底座容器化 底座支持容器化部署,具备简化部署、运行环境可移植、独立升级等优势。 全面本地SaaS 安全能力支持本地SaaS架构部署,本地SaaS架构资源节省82%硬件投资,最高性能提升80倍。降低运维成本。 未知攻击方式 特点:借助公开漏洞,可绕过防护体系的恶意威胁 示例:1day、Nday、免杀木马、公开泄漏的网络武器 特点:攻击手法未知、线索未知、无特 定检测方法 示例:APT攻击、0day利用 应对措施:IP/域名信誉检测 应对措施:行为建模及异常行为分析 已知工具 特点:可通过特征匹配检测示例:已知漏洞攻击 特点:与部分特征相似性示例:威胁工具变种 未知工具 应对措施:特征规则检测 应对措施:敏感行为检测 已知攻击方式 通知 风险预警 研判确认 授权处理 风险解除 审核 风险解除 风险处置 处置报告 L1监控分析组 L2分析处置组用户侧信息管理人员 《应急响应报告》 L2分析处置组 安全需求分 析培训 知识培训赋能 安全规划与设计能力 安全实现能力 综合安全管理平台:汇总所有的安全数据,帮助安全团队提升安全分析与总结能力,快速识别响应潜在风险 安全质量基线构建 SCA工具:提供针对第三方组件的安全检测和管理,提升安全验证能力,形成质量基线 IAST工具:提供运行时针对常见漏洞的检测能力,提升安全验证能力以及测试效率,形成质量基线 常见漏洞测 试培训 业务逻辑类漏洞测试培 训 安全测试基 础培训 安全基础知识 安全工具使用培训 技能水平提升 常见漏洞修复措施培训 核心安全策略/原则介绍 常见安全风险/漏洞培训 安全编码规范培训 安全意识提升 安全验证能力 漏洞预响应指南 安全设计指南 工作效率提升 沟通/测试成本降低 技能水平提升 常见漏洞修复指南 常见漏洞修复指南 指导性文档优 化 主要围绕第三级文档展开优化工作 核心框架/组 件使用指南敏感数据/业务识别处理指南 工具赋能 安全需求分析工具:提供标准化的分析模板,帮助需求团队完成安全需求分析和拆解的工作,提升安全规划与设计能力,为测试工作提供参考 安全开发SDK:提供标准化的安全函数以及安全功能的代码实现,帮助研发人员完成安全需求实现,提升安全实现能力以及测试效率 THANKS!