由腾讯安全云鼎实验室联合GeekPwn发起的全球首个基于真实通用云环境的云安全挑战赛,在10月24日下午正式结束。来自紫荆花、复旦白泽、0ops、AAA、Nu1L、r3kapig 六支国内安全强队,在为期一天的紧张攻防对抗后,最终0ops战队率先突破9道赛题,累计得到2210分,拿下云安全挑战赛一等奖,复旦白泽、r3kapig分列二、三位。
据悉,参加此次云安全挑战赛的战队成员来自清华大学、复旦大学、上海交通大学、浙江大学、京东、盘古等高校及企业,几乎集结了学术圈与产业界的“最强大脑”,展开一场覆盖云上全路径攻击与防御的对抗。腾讯副总裁丁珂表示,希望借助这次的云上安全挑战赛,吸引各路极客对多元、复杂的云计算环境,展开前沿技术探索,预演云上安全攻防。相信通过这次比赛,积累的云攻防研究、技术、经验以及人才,将为产业提供一个更为安全的云环境。
守护云安全新实践:打造真实云端攻防比赛环境
作为全世界首个基于真实云环境复原的云安全攻防竞赛,比赛还未开始,就已受到了来自行业、企业的关注。腾讯安全云鼎实验室副总监李滨解释称,“在今天这样一个云联万物的时代,产业互联网面临的最大挑战,就是用户对云安全性的疑问。对于这个疑问,我们尝试通过前沿攻防技术的研究和落地,以及今天通过构建比赛的真实环境来验证和解答。”
在今天的比赛现场上,为了真实复原真实云环境,腾讯安全云鼎实验室通过采用最主流的云平台开源组件,结合实验室的云攻防靶场黑科技,构建了这样一个真实的可以完整工作的全栈云环境,完全复现主流云平台的架构、技术和系统软硬件环境。不仅包括了云上的典型应用,如租户VPC、虚拟机IaaS服务、各类数据库DaaS服务、容器云PaaS服务及最前沿的多方数据安全计算服务,还有完整的云管理调度平台。
在本次比赛的赛题设置中,腾讯云鼎实验室选取真实云上攻击场景,根据攻击难度和攻击成功后的影响,设定了四个难度级别,共十六道真实攻击场景赛题。涵盖从租户应用安全、虚拟化和容器安全、云平台服务和高防数据环境等不同的应用场景,梯度考察参赛选手的实力。
难度级别一主要是通过云租户私有空间VPC内的虚拟机和应用攻击,来考察基础黑客攻击技能;难度级别二则需要参赛队伍通过云上PaaS或SaaS类应用的共享集群服务,突破系统限制,直到获取服务集群的系统超级用户权限。而上升到第三难度级别,实际上选手已经进入了一个完全标准的云环境,需要攻击者突破云租户VPC和虚拟化隔离的限制,到达云平台层和物理服务器,直到最终控制整个云。
李滨介绍,前三个级别使用的都是最新的开源软件的云平台和系统,体现了开源软件建设云的一般安全水平。在这个基础之上,各家云厂商在自身的系统上都会比较全面的安全防护,所以主办方还准备了一个增强安全环境,来供选手挑战。腾讯安全云鼎实验室对开源版本的云平台和系统进行了安全加固,看选手是否能突破更高水平的内核安全防护,并且还提供了一个可信计算环境,使用最新的硬件数据安全保护技术,来验证云平台即使被攻破的情况下,攻击者能否获取到用户的关键数据。
但最终,六支参赛队伍倾尽“脑力”,也未能有战队突破最后一个级别的挑战。
未知攻,焉知防。在腾讯安全云鼎实验室负责人董志强看来,今天云计算实际上现在已经越来越成为数字世界的基础设施,云服务商和云租户的安全挑战越来越高,所以云安全越来越受到各方关注;同时,云计算技术复杂、体系庞大,网络安全研究人员自己想广泛深入研究较为困难。所以腾讯安全云鼎实验室联合GeekPwn搭建这样一个比赛平台,不仅为研究人员提供了一个真实环境的平台,同时因为覆盖环节全面,更有利于研究人员的实践。
构建核心安全能力,腾讯安全打造更安全产业云
今天,随着产业数字化转型升级步伐加快,云基础设施的安全和云上数据的安全已经成为云用户关注最多的问题。为应对产业互联网环境下的安全问题,腾讯安全协同腾讯云,共同构建了“一个基础底座,两个安全中台,攻防两面一体”的核心安全能力,为产业打造更安全的云环境。
据李滨介绍,一个基础底座,即腾讯安全构建的 “云全栈安全基础设施”,从物理环境和基础设施、可信网络、可信硬件、可信操作系统直到租户安全,从合规治理、运维管理到供应链安全,全方位的给云用户提供一个牢不可破的可信安全底座。这个底座已经获得了可信云和等级保护四级等体系的诸多标准认可。而在今天比赛中所构建的高防环境,就包含腾讯安全云鼎实验室选取的“全栈可信基础设施”中的一小部分安全“黑科技”
除了云平台自身的可信,“数据安全”是用户关注的另一个主题,同时数据安全和隐私保护也是腾讯安全和腾讯云最关注的技术重点。围绕数据安全,腾讯安全云鼎实验室通过研究和应用高安全性硬件加密技术、多方安全计算、前沿的高性能国产化密码技术,打造腾讯安全“数据安全中台”,给用户提供全生命周期数据安全服务,有效保障用户数据安全。腾讯云依靠该技术,近日还获得了全球云厂商中第一家通过个人信息和隐私保护体系ISO 27701认证。除此之外,腾讯安全还协助腾讯云在全球范围内获取了近30项各类认证,充分体现出企业和用户对于腾讯安全数据安全保护能力的认可。
而在租户的安全防护上,腾讯安全建立了“租户安全运营中台”,通过先进的威胁情报、漏洞感知和安全大数据能力,实时的分析全云安全态势,为云用户提供主动地安全响应服务。今天为止,该中台的安全情报能力已经覆盖数百个信息源,并服务于腾讯云100万台以上的服务器和数千家大客户,能够在分钟级发现全网新增的高危端口,小时级定位新出现的零日漏洞影响范围,在日级以内实现全网的安全漏洞处置。
利用腾讯云先进的实时攻击威胁检测技术,在本次比赛环境中构建了比赛实时监控系统,可以可视化的呈现选手的攻击测试动作以及攻击路径,并进行比赛动态展示。除此之外,腾讯安全云鼎实验室还在此次比赛中,基于全球首个“攻击路径全景图”,设定和真实的复现了云攻击路径全景里的四条纵深攻击和三条横向迁移攻击路线。
据李滨介绍,腾讯安全云鼎实验室在云上长期的攻防对抗实践中总结和发现了“八纵八横”云攻击路径,覆盖了全部的云应用场景和主要弱点风险,而今天的比赛就是云攻击路径全景的一个浓缩体现。
而在未来,腾讯安全还将与生态社区一起协作,研究构建系统化的云安全攻防模型,并开放云攻防靶场,推动产业、研究机构和安全爱好者对于云安全更加体系化和深入的研究与剖析。