最新雲安全研究成果！騰訊雲鼎實驗室釋出雲安全攻防矩陣

隨著雲端計算技術和產業的蓬勃發展，企業上雲已是數字化轉型的必然趨勢。但云上千般好，卻也給企業帶來了全新的安全挑戰。雲平臺不僅要應對傳統網路架構中存有的DDoS、入侵、病毒等常態問題，還要高度重視技術架構中虛擬機器逃逸、資源濫用、橫向穿透等新安全問題。

守護雲上安全，是數字時代的重中之重。9月26日，2021首屆-西部雲安全峰會在西安成功舉辦。會上，騰訊安全雲鼎實驗室首次披露雲端攻防最新成果——雲安全攻防矩陣。該矩陣基於MITRE ATT&CK®框架，針對雲上安全所面臨的威脅以及攻擊技術進行整理，從實戰角度出發，助力企業知攻知防。

通過漏洞資料、攻擊事件，抽象出攻擊模型

區別於傳統攻防，雲上安全到底關注哪些問題？騰訊安全雲鼎實驗室攻防負責人李鑫介紹，主要在於四個方面：

-雲端計算安全威脅，從巨集觀角度看雲到底面臨哪些安全問題；

-雲原生安全威脅，基於雲原生，進行滲透測試，發現安全威脅；

-Web/Api安全威脅，因Web/Api是目前實現雲業務的最佳方式，其漏洞將直接威脅到雲；

-產品業務邏輯威脅，錯綜複雜的產品業務邏輯仍是雲安全的一大威脅。

此次騰訊安全雲鼎實驗室推出的雲安全攻防矩陣，正是基於上述安全漏洞及對應攻擊事件的洞察分析，抽象出的攻擊模型。這一形式，是由一種軍事殺傷鏈模型“F2T2EA”演變而來的，F2T2EA即發現（Find）、定位（Fix）、跟蹤（Track）、決策（Target）、交戰（Engage）、評估（Assess）。

這也是安全行業打造檢測與響應專案的流行框架——MITRE ATT&CK®，用來描述攻擊階段與每個階段所使用的攻擊技術與手段。安全人員可以通過此知識框架有效地瞭解當前環境中所面臨的攻擊面，並以此制定監測手段用以發現風險。

全方位瞭解攻擊手段及途徑，關注整個雲生態

“知己知彼，百戰不殆。”雲安全攻防矩陣，共分為初始訪問、執行、持久化、許可權提升、防禦繞過、竊取憑據、探測、橫向運動、影響九大階段，每個都包含了多種用以實現此階段能力的攻擊技術。這一矩陣模型，覆蓋了更多維度的攻防流程和物件，從識別訪問到探測移動，再到持久防禦作戰，關注整個雲生態的安全穩定。

以物件儲存服務的攻防實戰為例，騰訊安全雲鼎實驗室基於雲安全攻防矩陣，針對物件儲存服務所面臨的威脅以及攻擊技術進行整理，推出物件儲存服務攻擊矩陣，圍繞九大階段，展現針對物件儲存服務的攻擊手段以及關鍵技術。

作為雲原生的一項重要能力，物件儲存服務同樣也面臨著一系列的安全挑戰，近年來與物件儲存服務相關的資料洩露事件比比皆是。因此，全方面地瞭解關於物件儲存服務的攻擊手段以及途徑，將有效的幫助雲平臺以及雲租戶在面對這些風險時，精準地識別風險並採取相應的防護措施，保護物件儲存服務以及其中儲存的資料安全。

李鑫表示，安全攻防矩陣未來將以雲產品/業務為切入點，覆蓋雲資料庫、人工智慧、雲物聯網等更多產業及領域，並與國內網路安全夥伴開源協同，定期迭代，以緊貼業務安全的最佳實踐為產業數字化升級保駕護航。

據介紹，騰訊安全雲鼎實驗室自成立以來，長期探索前沿雲安全技術的落地。在過去兩年中，雲鼎實驗室先後推出了雲上攻擊八橫八縱的全景攻擊模型和雲資料安全中臺，其中雲上攻擊八橫八縱的全景攻擊模型，通過繪製一張雲上攻防的動線圖，讓安全從業者在防禦黑客的時候做到知己知彼；雲資料安全中臺則是打造端到端的雲資料全生命週期安全體系，保障企業資料在儲存、傳輸、使用、銷燬過程中的安全。