BCS 2022│華云安馬維士：做好云原生安全，首先要做好攻擊面管理

7月22日，2022北京網(wǎng)絡(luò)安全大會(huì)(BCS 2022)虎符話安全·安全運(yùn)營(yíng)分論壇在線上舉行，華云安副總裁馬維士受邀發(fā)表主題演講----《基于云原生的攻擊面管理》，分享云原生發(fā)展趨勢(shì)，以及基于云原生的攻擊面管理體系的技術(shù)探索及落地實(shí)踐。

云原生快速發(fā)展，安全問(wèn)題備受關(guān)注

在演講中，馬維士首先提到了云原生和云原生安全火熱的發(fā)展現(xiàn)狀，他指出，根據(jù)相關(guān)市場(chǎng)機(jī)構(gòu)統(tǒng)計(jì)，云原生開(kāi)發(fā)人員數(shù)量快速增長(zhǎng)，云原生應(yīng)用、容器，相關(guān)工具及云服務(wù)相關(guān)開(kāi)發(fā)人員數(shù)量都是百萬(wàn)級(jí)起步，有的達(dá)到千萬(wàn)開(kāi)發(fā)人員;而云原生線上應(yīng)用的部署比例，在發(fā)達(dá)地區(qū)，已由2020年的60%左右快速提高到2021年的70%，這是一個(gè)很高的增長(zhǎng)數(shù)字。

由此可見(jiàn)，云原生應(yīng)用正快速增長(zhǎng)，因此保障這些云原生應(yīng)用的安全成為了重點(diǎn)關(guān)注方向。

攻擊面管理貫穿云原生安全的各環(huán)節(jié)

談到云原生安全，馬維士認(rèn)為，攻擊面管理將作為安全運(yùn)營(yíng)技術(shù)的基石，通過(guò)資產(chǎn)管理、自動(dòng)化安全測(cè)試、外部攻擊面情報(bào)等新興技術(shù)貫穿云原生安全的各個(gè)環(huán)節(jié)。他指出，首先要做好云原生環(huán)境下的資產(chǎn)管理，在云原生環(huán)境下，未知資產(chǎn)、各種開(kāi)源軟件漏洞、新的云計(jì)算技術(shù)應(yīng)用導(dǎo)致攻擊面外延變得非常大，“畫(huà)的圈越大，可利用的弱點(diǎn)越多”。面對(duì)這些問(wèn)題需要摸清家底，梳理清楚集群、主機(jī)，鏡像、應(yīng)用、API接口等各種網(wǎng)絡(luò)及數(shù)字資產(chǎn)，只有梳理好資產(chǎn)，才能做好攻擊面管理。

資產(chǎn)梳理完成后，需要做好攻擊面檢測(cè)，攻擊面檢測(cè)主要包括三方面內(nèi)容：

·云原生開(kāi)發(fā)中的攻擊面檢測(cè)。借助安全左移，從源頭解決問(wèn)題。通過(guò)對(duì)開(kāi)發(fā)中的產(chǎn)物進(jìn)行攻擊面檢測(cè)，實(shí)現(xiàn)在源頭就發(fā)現(xiàn)問(wèn)題，從而尋根溯源從根本上去清除攻擊面。

·云原生線上應(yīng)用攻擊面檢測(cè)。一是要保障容器的安全，通過(guò)弱點(diǎn)掃描、自動(dòng)化滲透測(cè)試、審計(jì)、沙盒等多種手段，實(shí)現(xiàn)對(duì)容器中的攻擊面的全面檢測(cè);其次是對(duì)虛擬化環(huán)境的攻擊面檢測(cè)，虛擬化是應(yīng)用的常見(jiàn)部署模式，能夠在同一硬件上實(shí)現(xiàn)多個(gè)完全隔離的應(yīng)用，因此虛擬化的隔離程度和容器的管理的攻擊檢測(cè)，是云原生平臺(tái)的重要保障;另外還包括對(duì)云函數(shù)的檢測(cè)能力，云函數(shù)提供了一種更加通用的微服務(wù)的抽象形式，所以是攻擊面重要的檢測(cè)對(duì)象。通過(guò)對(duì)云函數(shù)安全的攻擊檢測(cè)，實(shí)現(xiàn)對(duì)服務(wù)能力的安全保障;

·云原生基礎(chǔ)設(shè)施攻擊面檢測(cè)。云環(huán)境安全是云安全的重要基礎(chǔ)，也是攻擊面檢測(cè)的必要對(duì)象，通過(guò)保證云環(huán)境的安全，能夠有效地降低通過(guò)利用云環(huán)境造成的攻擊。此外還要保障集群安全，集群是一切云計(jì)算的基礎(chǔ)，因此也是云原生的基礎(chǔ)設(shè)施中最核心的內(nèi)容，只能通過(guò)多種技術(shù)手段實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施的攻擊面檢測(cè)，才能為上層因公提供可靠的安全保證。

基于攻擊面檢測(cè)收集到數(shù)據(jù)后，需要進(jìn)行攻擊面分析工作，攻擊面分析包括兩方面的工作：

·攻擊面優(yōu)先級(jí)評(píng)估。根據(jù)已發(fā)布的攻擊面信息評(píng)估，以不同的視角理解攻擊面的優(yōu)先級(jí)，從而在攻擊面管理中優(yōu)先處理重要的內(nèi)容。

·攻擊面情報(bào)分析。通過(guò)分析包括IoC情報(bào)、供應(yīng)鏈情報(bào)和外部情況等類型的攻擊面情報(bào)能夠有效地發(fā)現(xiàn)各類未知風(fēng)險(xiǎn)，從而在攻擊發(fā)生前掌握重要的攻擊信息。

在攻擊面檢測(cè)和分析的基礎(chǔ)上，還需要具備攻擊面響應(yīng)的能力。他提到，通過(guò)華云安產(chǎn)品家族，助力云原生環(huán)境安全左移，達(dá)到攻擊面快速收斂和事件快速響應(yīng)能力，在DevOps基礎(chǔ)上能夠及早發(fā)現(xiàn)問(wèn)題并快速修復(fù)它們。

華云安攻擊面管理的落地實(shí)踐

在接下來(lái)的演講中，馬維士分享了華云安在攻擊面管理領(lǐng)域的落地實(shí)踐，他指出，作為云原生安全的保障者，華云安從云原生技術(shù)開(kāi)始就提供一個(gè)統(tǒng)一的管理平臺(tái)，云原生統(tǒng)一架構(gòu)實(shí)現(xiàn)了一個(gè)平臺(tái)交付所有安全能力的技術(shù)管理體系。

基于云原生統(tǒng)一架構(gòu)，華云安打造了集合檢測(cè)、分析、響應(yīng)全流程業(yè)務(wù)能力的產(chǎn)品體系，貫穿云原生攻擊面管理的各個(gè)環(huán)節(jié)，提供完整的解決方案。其技術(shù)實(shí)現(xiàn)原理，是通過(guò)華云安的多源異構(gòu)數(shù)據(jù)處理能力，安全知識(shí)圖譜構(gòu)建技術(shù)，基于人工智能的安全對(duì)抗技術(shù)，安全能力原子化技術(shù)，以及安全能力編排與自動(dòng)化調(diào)度技術(shù)，賦能產(chǎn)品，實(shí)現(xiàn)云原生安全落地。

來(lái)源：中國(guó)網(wǎng)