全球首個(gè)真實(shí)通用云上安全競賽落幕 上海交大0ops戰(zhàn)隊(duì)奪冠

由騰訊安全云鼎實(shí)驗(yàn)室聯(lián)合GeekPwn發(fā)起的全球首個(gè)基于真實(shí)通用云環(huán)境的云安全挑戰(zhàn)賽，在10月24日下午正式結(jié)束。來自紫荊花、復(fù)旦白澤、0ops、AAA、Nu1L、r3kapig 六支國內(nèi)安全強(qiáng)隊(duì)，在為期一天的緊張攻防對抗后，最終0ops戰(zhàn)隊(duì)率先突破9道賽題，累計(jì)得到2210分，拿下云安全挑戰(zhàn)賽一等獎，復(fù)旦白澤、r3kapig分列二、三位。

據(jù)悉，參加此次云安全挑戰(zhàn)賽的戰(zhàn)隊(duì)成員來自清華大學(xué)、復(fù)旦大學(xué)、上海交通大學(xué)、浙江大學(xué)、京東、盤古等高校及企業(yè)，幾乎集結(jié)了學(xué)術(shù)圈與產(chǎn)業(yè)界的“最強(qiáng)大腦”，展開一場覆蓋云上全路徑攻擊與防御的對抗。騰訊副總裁丁珂表示，希望借助這次的云上安全挑戰(zhàn)賽，吸引各路極客對多元、復(fù)雜的云計(jì)算環(huán)境，展開前沿技術(shù)探索，預(yù)演云上安全攻防。相信通過這次比賽，積累的云攻防研究、技術(shù)、經(jīng)驗(yàn)以及人才，將為產(chǎn)業(yè)提供一個(gè)更為安全的云環(huán)境。

守護(hù)云安全新實(shí)踐：打造真實(shí)云端攻防比賽環(huán)境

作為全世界首個(gè)基于真實(shí)云環(huán)境復(fù)原的云安全攻防競賽，比賽還未開始，就已受到了來自行業(yè)、企業(yè)的關(guān)注。騰訊安全云鼎實(shí)驗(yàn)室副總監(jiān)李濱解釋稱，“在今天這樣一個(gè)云聯(lián)萬物的時(shí)代，產(chǎn)業(yè)互聯(lián)網(wǎng)面臨的最大挑戰(zhàn)，就是用戶對云安全性的疑問。對于這個(gè)疑問，我們嘗試通過前沿攻防技術(shù)的研究和落地，以及今天通過構(gòu)建比賽的真實(shí)環(huán)境來驗(yàn)證和解答。”

在今天的比賽現(xiàn)場上，為了真實(shí)復(fù)原真實(shí)云環(huán)境，騰訊安全云鼎實(shí)驗(yàn)室通過采用最主流的云平臺開源組件，結(jié)合實(shí)驗(yàn)室的云攻防靶場黑科技，構(gòu)建了這樣一個(gè)真實(shí)的可以完整工作的全棧云環(huán)境，完全復(fù)現(xiàn)主流云平臺的架構(gòu)、技術(shù)和系統(tǒng)軟硬件環(huán)境。不僅包括了云上的典型應(yīng)用，如租戶VPC、虛擬機(jī)IaaS服務(wù)、各類數(shù)據(jù)庫DaaS服務(wù)、容器云PaaS服務(wù)及最前沿的多方數(shù)據(jù)安全計(jì)算服務(wù)，還有完整的云管理調(diào)度平臺。

在本次比賽的賽題設(shè)置中，騰訊云鼎實(shí)驗(yàn)室選取真實(shí)云上攻擊場景，根據(jù)攻擊難度和攻擊成功后的影響，設(shè)定了四個(gè)難度級別，共十六道真實(shí)攻擊場景賽題。涵蓋從租戶應(yīng)用安全、虛擬化和容器安全、云平臺服務(wù)和高防數(shù)據(jù)環(huán)境等不同的應(yīng)用場景，梯度考察參賽選手的實(shí)力。

難度級別一主要是通過云租戶私有空間VPC內(nèi)的虛擬機(jī)和應(yīng)用攻擊，來考察基礎(chǔ)黑客攻擊技能;難度級別二則需要參賽隊(duì)伍通過云上PaaS或SaaS類應(yīng)用的共享集群服務(wù)，突破系統(tǒng)限制，直到獲取服務(wù)集群的系統(tǒng)超級用戶權(quán)限。而上升到第三難度級別，實(shí)際上選手已經(jīng)進(jìn)入了一個(gè)完全標(biāo)準(zhǔn)的云環(huán)境，需要攻擊者突破云租戶VPC和虛擬化隔離的限制，到達(dá)云平臺層和物理服務(wù)器，直到最終控制整個(gè)云。

李濱介紹，前三個(gè)級別使用的都是最新的開源軟件的云平臺和系統(tǒng)，體現(xiàn)了開源軟件建設(shè)云的一般安全水平。在這個(gè)基礎(chǔ)之上，各家云廠商在自身的系統(tǒng)上都會比較全面的安全防護(hù)，所以主辦方還準(zhǔn)備了一個(gè)增強(qiáng)安全環(huán)境，來供選手挑戰(zhàn)。騰訊安全云鼎實(shí)驗(yàn)室對開源版本的云平臺和系統(tǒng)進(jìn)行了安全加固，看選手是否能突破更高水平的內(nèi)核安全防護(hù)，并且還提供了一個(gè)可信計(jì)算環(huán)境，使用最新的硬件數(shù)據(jù)安全保護(hù)技術(shù)，來驗(yàn)證云平臺即使被攻破的情況下，攻擊者能否獲取到用戶的關(guān)鍵數(shù)據(jù)。

但最終，六支參賽隊(duì)伍傾盡“腦力”，也未能有戰(zhàn)隊(duì)突破最后一個(gè)級別的挑戰(zhàn)。

未知攻，焉知防。在騰訊安全云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)看來，今天云計(jì)算實(shí)際上現(xiàn)在已經(jīng)越來越成為數(shù)字世界的基礎(chǔ)設(shè)施，云服務(wù)商和云租戶的安全挑戰(zhàn)越來越高，所以云安全越來越受到各方關(guān)注;同時(shí)，云計(jì)算技術(shù)復(fù)雜、體系龐大，網(wǎng)絡(luò)安全研究人員自己想廣泛深入研究較為困難。所以騰訊安全云鼎實(shí)驗(yàn)室聯(lián)合GeekPwn搭建這樣一個(gè)比賽平臺，不僅為研究人員提供了一個(gè)真實(shí)環(huán)境的平臺，同時(shí)因?yàn)楦采w環(huán)節(jié)全面，更有利于研究人員的實(shí)踐。

構(gòu)建核心安全能力，騰訊安全打造更安全產(chǎn)業(yè)云

今天，隨著產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級步伐加快，云基礎(chǔ)設(shè)施的安全和云上數(shù)據(jù)的安全已經(jīng)成為云用戶關(guān)注最多的問題。為應(yīng)對產(chǎn)業(yè)互聯(lián)網(wǎng)環(huán)境下的安全問題，騰訊安全協(xié)同騰訊云，共同構(gòu)建了“一個(gè)基礎(chǔ)底座，兩個(gè)安全中臺，攻防兩面一體”的核心安全能力，為產(chǎn)業(yè)打造更安全的云環(huán)境。

據(jù)李濱介紹，一個(gè)基礎(chǔ)底座，即騰訊安全構(gòu)建的 “云全棧安全基礎(chǔ)設(shè)施”，從物理環(huán)境和基礎(chǔ)設(shè)施、可信網(wǎng)絡(luò)、可信硬件、可信操作系統(tǒng)直到租戶安全，從合規(guī)治理、運(yùn)維管理到供應(yīng)鏈安全，全方位的給云用戶提供一個(gè)牢不可破的可信安全底座。這個(gè)底座已經(jīng)獲得了可信云和等級保護(hù)四級等體系的諸多標(biāo)準(zhǔn)認(rèn)可。而在今天比賽中所構(gòu)建的高防環(huán)境，就包含騰訊安全云鼎實(shí)驗(yàn)室選取的“全?？尚呕A(chǔ)設(shè)施”中的一小部分安全“黑科技”

除了云平臺自身的可信，“數(shù)據(jù)安全”是用戶關(guān)注的另一個(gè)主題，同時(shí)數(shù)據(jù)安全和隱私保護(hù)也是騰訊安全和騰訊云最關(guān)注的技術(shù)重點(diǎn)。圍繞數(shù)據(jù)安全，騰訊安全云鼎實(shí)驗(yàn)室通過研究和應(yīng)用高安全性硬件加密技術(shù)、多方安全計(jì)算、前沿的高性能國產(chǎn)化密碼技術(shù)，打造騰訊安全“數(shù)據(jù)安全中臺”，給用戶提供全生命周期數(shù)據(jù)安全服務(wù)，有效保障用戶數(shù)據(jù)安全。騰訊云依靠該技術(shù)，近日還獲得了全球云廠商中第一家通過個(gè)人信息和隱私保護(hù)體系ISO 27701認(rèn)證。除此之外，騰訊安全還協(xié)助騰訊云在全球范圍內(nèi)獲取了近30項(xiàng)各類認(rèn)證，充分體現(xiàn)出企業(yè)和用戶對于騰訊安全數(shù)據(jù)安全保護(hù)能力的認(rèn)可。

而在租戶的安全防護(hù)上，騰訊安全建立了“租戶安全運(yùn)營中臺”，通過先進(jìn)的威脅情報(bào)、漏洞感知和安全大數(shù)據(jù)能力，實(shí)時(shí)的分析全云安全態(tài)勢，為云用戶提供主動地安全響應(yīng)服務(wù)。今天為止，該中臺的安全情報(bào)能力已經(jīng)覆蓋數(shù)百個(gè)信息源，并服務(wù)于騰訊云100萬臺以上的服務(wù)器和數(shù)千家大客戶，能夠在分鐘級發(fā)現(xiàn)全網(wǎng)新增的高危端口，小時(shí)級定位新出現(xiàn)的零日漏洞影響范圍，在日級以內(nèi)實(shí)現(xiàn)全網(wǎng)的安全漏洞處置。

利用騰訊云先進(jìn)的實(shí)時(shí)攻擊威脅檢測技術(shù)，在本次比賽環(huán)境中構(gòu)建了比賽實(shí)時(shí)監(jiān)控系統(tǒng)，可以可視化的呈現(xiàn)選手的攻擊測試動作以及攻擊路徑，并進(jìn)行比賽動態(tài)展示。除此之外，騰訊安全云鼎實(shí)驗(yàn)室還在此次比賽中，基于全球首個(gè)“攻擊路徑全景圖”，設(shè)定和真實(shí)的復(fù)現(xiàn)了云攻擊路徑全景里的四條縱深攻擊和三條橫向遷移攻擊路線。

據(jù)李濱介紹，騰訊安全云鼎實(shí)驗(yàn)室在云上長期的攻防對抗實(shí)踐中總結(jié)和發(fā)現(xiàn)了“八縱八橫”云攻擊路徑，覆蓋了全部的云應(yīng)用場景和主要弱點(diǎn)風(fēng)險(xiǎn)，而今天的比賽就是云攻擊路徑全景的一個(gè)濃縮體現(xiàn)。

而在未來，騰訊安全還將與生態(tài)社區(qū)一起協(xié)作，研究構(gòu)建系統(tǒng)化的云安全攻防模型，并開放云攻防靶場，推動產(chǎn)業(yè)、研究機(jī)構(gòu)和安全愛好者對于云安全更加體系化和深入的研究與剖析。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。