基于云原生的攻击面管理V2.3

基于云原生的攻击面管理演讲人：万飞北京华云安信息技术有限公司 Attack surface management based on cloud native 二. 云原生安全攻击面管理三. 云原生安全落地实践分享目录Contents一. 云原生安全发展趋势 一.云原生安全发展趋势1.1 基于云原生应用安全投入简单看一组国外的统计数据从2018到2022年增长趋势很明显。 自动发现并可视化云原生环境下运行的主机、K8s集群、pod、容器、Namespace、微服务等多种资产，基于优先级实时感知风险态势。二.云原生安全攻击面管理2.1 云原生安全资产发现影响攻击面因素攻击面资产构成未知资产攻击面数量，随着部署SaaS应用程序资产的范围扩大而不断扩展。未知资产的危险在于网络安全风险和威胁的不可预见。层出不穷的安全弱点通常情况下，部署的资产越多，暴露的弱点越多，尤其未经安全团队授权安装在企业资产上的某些组建或不安全设置。云计算技术应用云计算迅速兴起，越来越多的资产面临外部威胁，从而进一步增加网络攻击面。镜像容器容器编排平台Web应用服务网络Serverless云原生基础环境各种软硬件资产攻击面资产构成 云原生基础设施攻击面检测 云原生线上应用攻击面检测 云原生开发中的攻击面检测 二.云原生安全攻击面管理2.2 云原生安全攻击面检测2.2.12.2.22.2.3 CI/CD 流程深度集成,在开发过程中通过攻击面检测技术检测弱点、敏感数据及其他安全问题2.2.1云原生开发中的攻击面检测二.云原生安全攻击面管理基于镜像的弱点扫描，通过在线提供镜像扫描和多种配置扫描发现风险点基于容器动态安全分析，通过安全容器沙箱技术检测高级威胁、未知恶意软件威胁等风险点01020301-03安全左移，从源头解决问题 在沙盒环境中运行、分析容器镜像，检查和跟踪行为异常，以发现静态扫描程序无法检测到的高级恶意威胁通过机器学习分析行为、识别云原生环境中符合ATT&CK框架下所有攻击行为，保证容器运行时免受各类型已知攻击威胁010204052.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理容器安全通过弱点扫描，检测线上应用是否存在可利用的弱点通过自动化渗透，检测线上应用是否存在可利用的弱点01-0504获取容器和Kubernetes运行时环境的详细审计和取证数据，以跟踪违规事件，进行合规评估03 0102030405062.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理虚拟化安全多云环境中进行VM配置核查与合规检测通过弱点扫描，检测VM是否存在可利用的弱点通过自动化渗透，检测VM是否存在可利用的弱点通过VM实时监控，实现资产快速更新通过VM入侵检测，动态监控注册表、文件系统等提供取证分析，监视VM可疑活动01-06 云函数安全（Serverless安全）标记过度授权，监视未使用的权限和角色来防止权限滥用通过自动化渗透，检测云函数是否存在可利用的弱点通过弱点扫描，检测云函数是否存在可利用的弱点2.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理010203提供运行时保护，检测异常行为04通过策略授权提供可控部署，避免云函数滥用0501-05 K8S集群动态分析技术2.2.3云原生基础设施攻击面检测二.云原生安全攻击面管理云环境安全云环境安全是云安全的重要基础，也是攻击面检测的必要对象。通过保证云环境的安全，能够有效地降低通过利用云环境造成的攻击。通过自动化渗透，检测云环境是否存在可利用的弱点通过弱点扫描，检测云环境是否存在可利用的弱点通过云基线进行配置核查与合规检测010203通过云控制面行为检测，分析敏感数据变更或潜在恶意活动04提供自动化修复机制，根据策略进行必要的干预操作05 构建阶段CI/CD镜扫描K8S集群动态分析技术2.2.3云原生基础设施攻击面检测二.云原生安全攻击面管理集群安全集群是一切云计算的基础，因此也是云原生的基础设施中最核心的内容，只能通过多种技术手段实现对基础设施的攻击面检测，才能为上层应用提供可靠的安全保证。 提供集群配置核查与合规检测01通过弱点扫描，检测集群是否存在可利用的弱点02通过自动化渗透，检测集群是否存在可利用的弱点03通过可控节点部署，避免非法节点上线04通过策略准入进行应用部署，避免非法应用上线05通过身份隔离技术，在集群内和集群之间强制执行容器级网络隔离规则06 流行度利用工具CNNVDCNVDCVE攻击面评级资产资产风险暴露面评分资产重要性可访问性开放服务访问方式IP地址用户定义资产价值攻击面优先级评级根据攻击面发布天数、影响之、代码利用成熟度、影响范围、发布来源、流行度等维度进行评分资产风险暴露评分根据资产的访问方式、开放的服务和端口为资产暴露面进行评分网络曝光分数根据资产的网络分类对资产进行评估，如：内网、外网、DMZ等；资产重要性评级资产类型（服务器、网络设备...）提供服务（邮件、数据库...）业务目的（财务、IT管理、研发...）等方式进行资产重要性划分；二.云原生安全攻击面管理2.3 攻击面分析攻击面优先级评估集群是一切云计算的基础，因此也是云原生的基础设施中最核心的内容，只能通过多种技术手段实现对基础设施的攻击面检测，才能为上层应用提供可靠的安全保证。 二.云原生安全攻击面管理2.3 攻击面分析结合IoC情报分析结合供应链情报分析了解针对云原生环境的可能威胁了解云原生组件供应链中的风险以及它们如何影响云原生应用了解黑产，仿冒APP、仿冒网站，企业信息泄露对外部信息对组织得影响结合外部情报分析攻击面情报分析通过分析包括IoC情报、供应链情报和外部情况等类型的攻击面情报能够有效地发现各类未知风险，从而在攻击发生前掌握重要的攻击信息。 提供SOAR人机协同：：二.云原生安全攻击面管理2.4 云原生攻击面响应通过华云安产品家族，助力云原生环境安全左移，达到攻击面快速收敛和事件快速响应能力，在DevOps 基础上能够及早发现问题并快速修复它们。完整和开放式的流转体系，将技术和流程打通，将复杂的攻击面事件管理工作流程化和制度化，协同用户跨部门进行合作，从而完成攻击面快速处置工作。提供事件跨部门协同流转：通过SOAR完成自动化弱点验证&修复功能，通过SOAR可实现对各类工具的调度，做到攻击面快速收敛和事件快速响应 三. 云原生安全落地实践分享 云原生原子化安全能力调度平台核心理念 云原生统一架构实现了一个平台交付所有安全原子化能力的技术管理体系。统一安全平台积木式搭建产品，微服务化安全能力平台易于扩展。云原生交付轻松支持本地化部署、云化部署和SaaS化交付。安全风险库基于知识图谱的风险库，增强共享能力、提升安全防御体系的有效性。人工智能引擎场景化AI对抗引擎，源自国家重点研发计划，技术领先市场3-5年。 通过云原生原子化安全能力调度平台，为云原生攻击面管理的各个环节，提供完整的解决方案。新一代弱点检测与评估（Ai.Scan)精准、定位企业真实的安全风险自适应攻击面管理与响应（Ai.Vul）高效、管理与响应智能化渗透与攻击模拟（Ai.Bot）智能、基于AI的自动化深度攻击面检测零日攻击与未知威胁监测（Ai.Hunter）深度、AI驱动的威胁捕获与溯源反制攻击面安全风险库（Ai.KG）迅速、情报驱动先于攻击的互联网攻击面检测攻击面检测与管理基于云原生的攻击面管理三. 云原生安全落地实践分享 THANK YOU