10月24日,由騰訊安全雲鼎實驗室聯合GeekPwn發起的第二屆雲安全比賽在上海落下帷幕,包括Nu1L、r3kapig、NeSE、0ops、天樞 Dubhe等7支國內頂級安全戰隊,經過8小時的激烈雲端攻防對抗後,Emoji戰隊最終脫穎而出,憑藉10209.7的唯一一個過萬積分,奪得本屆雲靶場挑戰賽一等獎,NeSe戰隊和0ops戰隊分獲二、三名。
本屆雲安全比賽包含“雲靶場挑戰賽”和“雲安全開放賽”兩大賽事,延續首屆基於全棧真實雲環境的賽事特點,持續為廣大安全研究者和從業人員提供真實的雲環境靶場,讓選手們體驗到了真實的雲上攻防。同時,作為搭建真實雲環境的賽事組織者,騰訊安全雲鼎實驗室也透過搭建模擬環境和佈置賽題,再一次驗證了騰訊雲平臺的安全性,為進一步打造“安全的產業雲”積累了技術經驗。
基於雲端安全實踐和前沿領域的探索,騰訊安全雲鼎實驗室還在現場釋出了《2021雲安全九大趨勢》,為新基建下的雲安全建設提供前瞻性指引。
賽制創新升級
全球頂尖CTF好手遇上真實雲端環境
本屆雲安全比賽在沿襲首屆全棧真實雲環境特點基礎上,進一步創新賽制,引入了經典的CTF模式。
騰訊雲安全副總經理李濱表示:“去年我們所有的比賽都是在真實的雲環境中可以真刀實槍地用的。但是我們發現,有廣泛的CTF的選手缺乏在這個場景中的經驗,所以今年我們採取了兩者結合的模式,既可以讓CTF選手發揮他們的特長進行進行破解和研究,同時也讓真實場景中的一些極客體現出他們的才能。”
相比去年,今年的賽題和“雲”之間的結合更為緊密,雲鼎實驗室將一線攻防實踐中的經驗引入賽題,同時增加實時對抗環節。這意味7支戰隊不僅要破解基於真實雲環境設定的層層關卡,還要互為攻守雙方一較高下。
比賽賽題由戰隊賽題和雲環境賽題組成,其中戰隊賽題得分由出題評分和攻防評分組成,攻防評分更是採用激烈的“零和遊戲”計分規則進行計分,真正將雲端的攻和防上演到極致。比賽最終戰績以戰隊出題、解題賽題、雲環境賽題各環節得分的高低進行綜合排名,評定獲獎名次,更加考驗選手們處理雲上安全問題的綜合能力。
冠軍Emoji戰隊的奪冠之路堪稱黑馬。作為初賽壓線進入決賽的隊伍,頂著倒數的壓力。最終,Emoji戰隊演繹了一場完美逆襲,累計進行了198次攻擊,並且解開3道賽題,不僅是唯一一個得分過萬的隊伍,也是7支隊伍中解題數量最多的隊伍。雖然比賽過程中的排名偶有更替,但Emoji依然將優勢保持到最後,以10209.7的高分獲得第一名。
激烈的賽事過程與本次賽事設定的真實雲環境關係密切,據騰訊雲安全總經理董志強介紹,未來,騰訊安全雲鼎實驗室將持續打造一個長期開放的雲上靶場,所有的安全研究者在身份進行驗證之後都可以在基於真實雲環境的靶場上進行攻防研究以及安全測試。
釋出雲安全九大趨勢
提供新基建下雲端安全建設指南
全球頂尖極客帶來激烈雲端攻防的同時,騰訊安全雲鼎實驗室也在本次大賽上帶來了新的研究成果。
騰訊雲安全副總經理李濱基於騰訊雲安全建設的實踐和雲鼎實驗室的前沿研究,釋出了《2021雲安全九大趨勢》,致力於探索新基建快速發展之下,技術快速迭代、法律法規相繼出臺,雲安全建設面臨的全新挑戰,為企業雲上安全建設和雲安全技術發展方向提供新指南。
九大趨勢涵蓋了雲原生安全,零信任及身份認證,資料安全及合規,軟硬體供應鏈安全等幾大行業廣泛關注的領域。
雲原生安全無疑是九大趨勢中的高頻詞。伴隨著產業上雲的速度、廣度、深度不斷增長,雲原生具備的開箱即用、彈性、自適應、全生命週期防護等顯著優勢,讓企業安全防護提質增效。IDC在今年5月釋出的《2020年中國雲端計算市場十大預測》指出,到2022年,60%的中國500強企業將投資於雲原生應用和平臺的自動化、編排和開發生命週期管理。
但云原生安全這一近年來爆紅的理念距離真正普惠千行百業仍然有著不短的路要走,趨勢指出,雲原生概念逐漸成熟,以容器、微服務、API等技術為代表的應用逐步落地,生態開始健全。但云原生體系中安全天然缺位,容器安全問題頻出,雲原生元件安全功能普遍缺失,雲原生的安全架構和技術亟待發展。
雲原生安全在脫虛向實的過程中還將激發更多技術領域迎來革新。容器和Serverless技術的興起把安全對抗帶入毫秒級時代,導致傳統安全模型和對抗方式失效,宏觀微觀結合的持續對抗、規模對抗、毫秒級對抗成為新發展趨勢;同時,雲原生也讓以安全左移、內嵌、自動化為標誌的DevSecOps理念及產品逐漸落地應用。
除此之外,在資料安全這一企業最為關注的焦點領域,騰訊安全雲鼎實驗室總結了企業格外需要關注的內外兩大風向。內部需要結合資料這一生產要素在當下的價值,促進以網路為中心的安全體系( Net-Centric Security )逐漸進化為以資料為中心的安全體系(Data-Centric Security ),從而更好地保障資料全生命週期的安全;外部則要注意法律合規,各國家地區資料安全和個人資訊保護法規逐漸清晰,而國內《網路安全法》《密碼法》《資料安全法》(草)《個人資訊保護法》(草)及配套標準逐漸落地,資料安全和個人資訊保護面臨新法規、新標準、新形勢,帶來新的問題和解決方案,資料合規由此將進入新時代。
在身份認證這個熱門領域,騰訊安全雲鼎實驗室詳解了零信任、多雲管理以及新身份認證技術等細分技術的趨勢與痛點。
未來,騰訊安全還將與生態社群和合作夥伴一起協作,研究構建系統化的雲安全攻防模型,並開放雲攻防靶場,推動產業、研究機構和安全愛好者對於雲安全更加體系化和深入的研究與剖析。
10月26日,騰訊安全將聯合InfoQ共同舉辦雲安全趨勢研討會,彙集騰訊雲安全總經理董志強、騰訊雲安全副總經理李濱、中國資訊通訊研究院雲大所云計算部副主任陳屹力、數世諮詢創始人李少鵬以及普華永道中國區資訊保安與隱私保護合夥人萬彬等多方產業領袖,共論雲上安全發展趨勢,10月26日晚7:30,騰訊雲大學直播間,敬請期待。