騰訊安全云鼎實(shí)驗(yàn)室發(fā)布云安全九大趨勢,提供新基建下云端安全新指南

10月24日,由騰訊安全云鼎實(shí)驗(yàn)室聯(lián)合GeekPwn發(fā)起的第二屆云安全比賽在上海落下帷幕,包括Nu1L、r3kapig、NeSE、0ops、天樞 Dubhe等7支國內(nèi)頂級安全戰(zhàn)隊(duì),經(jīng)過8小時(shí)的激烈云端攻防對抗后,Emoji戰(zhàn)隊(duì)最終脫穎而出,憑借10209.7的唯一一個過萬積分,奪得本屆云靶場挑戰(zhàn)賽一等獎,NeSe戰(zhàn)隊(duì)和0ops戰(zhàn)隊(duì)分獲二、三名。

本屆云安全比賽包含“云靶場挑戰(zhàn)賽”和“云安全開放賽”兩大賽事,延續(xù)首屆基于全棧真實(shí)云環(huán)境的賽事特點(diǎn),持續(xù)為廣大安全研究者和從業(yè)人員提供真實(shí)的云環(huán)境靶場,讓選手們體驗(yàn)到了真實(shí)的云上攻防。同時(shí),作為搭建真實(shí)云環(huán)境的賽事組織者,騰訊安全云鼎實(shí)驗(yàn)室也通過搭建模擬環(huán)境和布置賽題,再一次驗(yàn)證了騰訊云平臺的安全性,為進(jìn)一步打造“安全的產(chǎn)業(yè)云”積累了技術(shù)經(jīng)驗(yàn)。

基于云端安全實(shí)踐和前沿領(lǐng)域的探索,騰訊安全云鼎實(shí)驗(yàn)室還在現(xiàn)場發(fā)布了《2021云安全九大趨勢》,為新基建下的云安全建設(shè)提供前瞻性指引。

騰訊安全云鼎實(shí)驗(yàn)室發(fā)布云安全九大趨勢,提供新基建下云端安全新指南

賽制創(chuàng)新升級:全球頂尖CTF好手遇上真實(shí)云端環(huán)境

本屆云安全比賽在沿襲首屆全棧真實(shí)云環(huán)境特點(diǎn)基礎(chǔ)上,進(jìn)一步創(chuàng)新賽制,引入了經(jīng)典的CTF模式。

騰訊云安全副總經(jīng)理李濱表示:“去年我們所有的比賽都是在真實(shí)的云環(huán)境中可以真刀實(shí)槍地用的。但是我們發(fā)現(xiàn),有廣泛的CTF的選手缺乏在這個場景中的經(jīng)驗(yàn),所以今年我們采取了兩者結(jié)合的模式,既可以讓CTF選手發(fā)揮他們的特長進(jìn)行進(jìn)行破解和研究,同時(shí)也讓真實(shí)場景中的一些極客體現(xiàn)出他們的才能。”

相比去年,今年的賽題和“云”之間的結(jié)合更為緊密,云鼎實(shí)驗(yàn)室將一線攻防實(shí)踐中的經(jīng)驗(yàn)引入賽題,同時(shí)增加實(shí)時(shí)對抗環(huán)節(jié)。這意味7支戰(zhàn)隊(duì)不僅要破解基于真實(shí)云環(huán)境設(shè)置的層層關(guān)卡,還要互為攻守雙方一較高下。

比賽賽題由戰(zhàn)隊(duì)賽題和云環(huán)境賽題組成,其中戰(zhàn)隊(duì)賽題得分由出題評分和攻防評分組成,攻防評分更是采用激烈的“零和游戲”計(jì)分規(guī)則進(jìn)行計(jì)分,真正將云端的攻和防上演到極致。比賽最終戰(zhàn)績以戰(zhàn)隊(duì)出題、解題賽題、云環(huán)境賽題各環(huán)節(jié)得分的高低進(jìn)行綜合排名,評定獲獎名次,更加考驗(yàn)選手們處理云上安全問題的綜合能力。

冠軍Emoji戰(zhàn)隊(duì)的奪冠之路堪稱黑馬。作為初賽壓線進(jìn)入決賽的隊(duì)伍,頂著倒數(shù)的壓力。最終,Emoji戰(zhàn)隊(duì)演繹了一場完美逆襲,累計(jì)進(jìn)行了198次攻擊,并且解開3道賽題,不僅是唯一一個得分過萬的隊(duì)伍,也是7支隊(duì)伍中解題數(shù)量最多的隊(duì)伍。雖然比賽過程中的排名偶有更替,但Emoji依然將優(yōu)勢保持到最后,以10209.7的高分獲得第一名。

激烈的賽事過程與本次賽事設(shè)置的真實(shí)云環(huán)境關(guān)系密切,據(jù)騰訊云安全總經(jīng)理董志強(qiáng)介紹,未來,騰訊安全云鼎實(shí)驗(yàn)室將持續(xù)打造一個長期開放的云上靶場,所有的安全研究者在身份進(jìn)行驗(yàn)證之后,都可以在基于真實(shí)云環(huán)境的靶場上進(jìn)行攻防研究以及安全測試。

發(fā)布云安全九大趨勢,提供新基建下云端安全建設(shè)指南

全球頂尖極客帶來激烈云端攻防的同時(shí),騰訊安全云鼎實(shí)驗(yàn)室也在本次大賽上帶來了新的研究成果。

騰訊云安全副總經(jīng)理李濱基于騰訊云安全建設(shè)的實(shí)踐和云鼎實(shí)驗(yàn)室的前沿研究,發(fā)布了《2021云安全九大趨勢》,致力于探索新基建快速發(fā)展之下,技術(shù)快速迭代、法律法規(guī)相繼出臺,云安全建設(shè)面臨的全新挑戰(zhàn),為企業(yè)云上安全建設(shè)和云安全技術(shù)發(fā)展方向提供新指南。

騰訊安全云鼎實(shí)驗(yàn)室發(fā)布云安全九大趨勢,提供新基建下云端安全新指南

九大趨勢涵蓋了云原生安全,零信任及身份認(rèn)證,數(shù)據(jù)安全及合規(guī),軟硬件供應(yīng)鏈安全等幾大行業(yè)廣泛關(guān)注的領(lǐng)域。

云原生安全無疑是九大趨勢中的高頻詞。伴隨著產(chǎn)業(yè)上云的速度、廣度、深度不斷增長,云原生具備的開箱即用、彈性、自適應(yīng)、全生命周期防護(hù)等顯著優(yōu)勢,讓企業(yè)安全防護(hù)提質(zhì)增效。IDC在今年5月發(fā)布的《2020年中國云計(jì)算市場十大預(yù)測》指出,到2022年,60%的中國500強(qiáng)企業(yè)將投資于云原生應(yīng)用和平臺的自動化、編排和開發(fā)生命周期管理。

但云原生安全這一近年來爆紅的理念距離真正普惠千行百業(yè)仍然有著不短的路要走,趨勢指出,云原生概念逐漸成熟,以容器、微服務(wù)、API等技術(shù)為代表的應(yīng)用逐步落地,生態(tài)開始健全。但云原生體系中安全天然缺位,容器安全問題頻出,云原生組件安全功能普遍缺失,云原生的安全架構(gòu)和技術(shù)亟待發(fā)展。

云原生安全在脫虛向?qū)嵉倪^程中還將激發(fā)更多技術(shù)領(lǐng)域迎來革新。容器和Serverless技術(shù)的興起把安全對抗帶入毫秒級時(shí)代,導(dǎo)致傳統(tǒng)安全模型和對抗方式失效,宏觀微觀結(jié)合的持續(xù)對抗、規(guī)模對抗、毫秒級對抗成為新發(fā)展趨勢;同時(shí),云原生也讓以安全左移、內(nèi)嵌、自動化為標(biāo)志的DevSecOps理念及產(chǎn)品逐漸落地應(yīng)用。

除此之外,在數(shù)據(jù)安全這一企業(yè)最為關(guān)注的焦點(diǎn)領(lǐng)域,騰訊安全云鼎實(shí)驗(yàn)室總結(jié)了企業(yè)格外需要關(guān)注的內(nèi)外兩大風(fēng)向。內(nèi)部需要結(jié)合數(shù)據(jù)這一生產(chǎn)要素在當(dāng)下的價(jià)值,促進(jìn)以網(wǎng)絡(luò)為中心的安全體系( Net-Centric Security )逐漸進(jìn)化為以數(shù)據(jù)為中心的安全體系( Data-Centric Security ),從而更好地保障數(shù)據(jù)全生命周期的安全;外部則要注意法律合規(guī),各國家地區(qū)數(shù)據(jù)安全和個人信息保護(hù)法規(guī)逐漸清晰,而國內(nèi)《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》(草)《個人信息保護(hù)法》(草)及配套標(biāo)準(zhǔn)逐漸落地,數(shù)據(jù)安全和個人信息保護(hù)面臨新法規(guī)、新標(biāo)準(zhǔn)、新形勢,帶來新的問題和解決方案,數(shù)據(jù)合規(guī)由此將進(jìn)入新時(shí)代。

在身份認(rèn)證這個熱門領(lǐng)域,騰訊安全云鼎實(shí)驗(yàn)室詳解了零信任、多云管理以及新身份認(rèn)證技術(shù)等細(xì)分技術(shù)的趨勢與痛點(diǎn)。

未來,騰訊安全還將與生態(tài)社區(qū)和合作伙伴一起協(xié)作,研究構(gòu)建系統(tǒng)化的云安全攻防模型,并開放云攻防靶場,推動產(chǎn)業(yè)、研究機(jī)構(gòu)和安全愛好者對于云安全更加體系化和深入的研究與剖析。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )