作为国内云原生安全领导厂商,安全狗也参与此次活动。
近年来,国际网络空间安全威胁事件发生频率越来越高、影响范围越来越大,对国内高度依赖5G、云计算等新兴技术的各行各业用户也做出预警。随着攻防对抗越演越烈,国家不断加强对攻防对抗技术以及攻防演练的重视。在此次活动上,安全狗海青实验室负责人陈俊杰也着眼于攻防演练,为与会嘉宾分享《云原生运行时威胁检测经验》。
一、用户面临哪些云原生运行时安全威胁?
在介绍到云原生环境的运行时安全威胁时,陈俊杰指出“云原生技术在进一步释放云计算的效能的同时,也大大地扩大了攻击面,在攻防演练的过程中,须对这些攻击面予以重视。”
结合对Gartner相关研究,陈俊杰指出第一点发现:云原生应用的攻击面激增。
首先是,可能受攻击的资产更多元,比如K8s、容器以及激增的API可能成为攻击者的猎物;
再者是,可能受攻击的阶段也更广泛,在容器应用的开发、构建、运行的全生命周期均面临着风险,这对DevSecOps的建设提出了更为严格的要求。
第二点发现:安全是一个整体。
基于Mitre的ATT&CK矩阵的分析,可以看到企业版的ATT&CK矩阵同时涵盖了主机、容器的组成部分。换而言之,容器安全与主机安全联系更加紧密,即,攻击者可以通过应用、容器、主机、内部集群这样的攻击路径,实施攻击。
云原生容器环境中,传统威胁和新型现代攻击是并存的,陈俊杰强调到。
二、安全狗云原生安全解决方案
陈俊杰结合安全狗海青实验室在云原生安全方面的研究经验,分享了安全狗云原生安全产品云甲的功能与特点。
三、安全狗云甲如何检测云原生环境的运行时安全威胁
针对云原生环境面临的系列安全威胁,陈俊杰以提出了相应的解决思路,即,结合“云原生 K8s 工作负载安全模型”。
虽然应用、容器、主机与网络“环环相扣”且传统威胁和新型威胁并存,但安全狗也提出了“层层设防,层层监控”的解法进行应对。
除此之外,在实现“工作负载安全一体化”的过程中,安全狗研发团队也构建了“多检测引擎”的运行时入侵检测体系。在模型和检测引擎的驱动下,安全狗云甲能有效检测出多种运行时安全威胁。
在攻防实战案例分享过程中,陈俊杰分别从红队视角做模拟攻击和从蓝队视角做产品入侵检测,层层递进地从多个场景介绍了云原生K8s工作负载后渗透综合案例。
在分享的最后,陈俊杰用“黑云压城城欲摧,甲光向日金鳞开”比喻云原生环境不断面临着的严峻安全挑战;用“岂曰无衣,与子同袍”比喻“战友”间“同仇敌忾”、用心构建“纵深防御体系”;最后他引用“兵者,诡道也”、“知己知彼,百战不殆”、“先为不可胜,以待敌之可胜”等古人智慧之言做防御思想的总结。在云原生技术快速发展的当下与未来,安全狗将从攻防对抗的视角持续优化云原生安全系列安全产品,与业界一起,持续推动我国数字经济转型及网络安全事业的深入发展。
