演講人：萬飛北京華云安信息技術有限公司基于云原生的攻擊面管理Attacksurfacemanagementbasedoncloudnative一.云原生安全發展趨勢1.1

基于云原生應用安全投入簡單看一組國外的統計數據從2018到2022年增長趨勢很明顯。自動發現并可視化云原生環境下運行的主機、K8s集群、pod、容器、Namespace、微服務等多種資產，基于優先級實時感知風險態勢。二.云原生安全攻擊面管理2.1

云原生安全資產發現影響攻擊面因素攻擊面資產構成未知資產攻擊面數量，隨著部署SaaS應用程序資產的范圍擴大而不斷擴展。未知資產的危險在于網絡安全風險和威脅的不可預見。層出不窮的安全弱點通常情況下，部署的資產越多，暴露的弱點越多，尤其未經安全團隊授權安裝在企業資產上的某些組建或不安全設置。云計算技術應用云計算迅速興起，越來越多的資產面臨外部威脅，從而進一步增加網絡攻擊面。鏡像容器容器編排平臺Web應用服務網絡Serverless云原生基礎環境各種軟硬件資產攻擊面資產構成云原生基礎設施攻擊面檢測云原生線上應用攻擊面檢測二.云原生安全攻擊面管理2.2

云原生安全攻擊面檢測2.2.1

云原生開發中的攻擊面檢測2.2.22.2.3CI/CD

流程深度集成,在開發過程中通過攻擊面檢測技術檢測弱點、敏感數據及其他安全問題2.2.1云原生開發中的攻擊面檢測二.云原生安全攻擊面管理基于鏡像的弱點掃描，通過在線提供鏡像掃描和多種配置掃描發現風險點基于容器動態安全分析，通過安全容器沙箱技術檢測高級威脅、未知惡意軟件威脅等風險點01020301-03安全左移，從源頭解決問題0102052.2.2云原生線上應用攻擊面檢測二.云原生安全攻擊面管理容器安全通過弱點掃描，檢測線上應用是否存在可利用的弱點01-0504通過自動化滲透，檢測線上應用是否存在可利用的弱點獲取容器和Kubernetes運行時環境的詳細審計和取證數據，以跟蹤違規事件，進行合規評估在沙盒環境中運行、分析容器鏡像，檢查和跟蹤行為異常，以發現靜態掃描程序無法檢測到的高級惡意威脅通過機器學習分析行為、識別云原生環境中符合ATT&CK框架下所有攻擊行為，保證容器運行時免受各類型已知攻擊威脅030102二.云原生安全攻擊面管理2.2.2云原生線上應用攻擊面檢測虛擬化安全多云環境中進行VM配置核查與合規檢測通過弱點掃描，檢測VM是否存在可利用的弱點通過自動化滲透，檢測VM是否存在可利用的弱點通過VM實時監控，實現資產快速更新0304通過VM入侵檢測，動態監控注冊表、文件系統等提供取證分析，監視VM可疑活動01-062.2.2云原生線上應用攻擊面檢測云函數安全（Serverless安全）二.云原生安全攻擊面管理01020304通過弱點掃描，檢測云函數是否存在可利用的弱點通過自動化滲透，檢測云函數是否存在可利用的弱點標記過度授權，監視未使用的權限和角色來防止權限濫用提供運行時保護，檢測異常行為05 通過策略授權提供可控部署，避免云函數濫用01-052.2.3云原生基礎設施攻擊面檢測二.云原生安全攻擊面管理云環境安全云環境安全是云安全的重要基礎，也是攻擊面檢測的必要對象。通過保證云環境的安全，能夠有效地降低通過利用云環境造成的攻擊。通過自動化滲透，檢測云環境是否存在可利用的弱點通過云基線進行配置核查與合規檢測通過弱點掃描，檢測云環境是否存在可利用的弱點0102通過云控制面行為檢測，分析敏感數據變更或潛在惡意活動030405 提供自動化修復機制，根據策略進行必要的干預操作2.2.3云原生基礎設施攻擊面檢測二.云原生安全攻擊面管理集群安全集群是一切云計算的基礎，因此也是云原生的基礎設施中最核心的內容，只能通過多種技術手段實現對基礎設施的攻擊面檢測，才能為上層應用提供可靠的安全保證。提供集群配置核查與合規檢測通過弱點掃描，檢測集群是否存在可利用的弱點0102通過自動化滲透，檢測集群是否存在可利用的弱點通過可控節點部署，避免非法節點上線0304通過策略準入進行應用部署，避免非法應用上線通過身份隔離技術，在集群內和集群之間強制執行容器級網絡隔離規則流行度利用工具CNNVDCNVDCVE攻擊面評級資產資產風險暴露面評分資產重要性可訪問性開放服務訪問方式IP地址用戶定義資產價值攻擊面優先級評級根據攻擊面發布天數、影響之、代碼利用成熟度、影響范圍、發布來源、流行度等維度進行評分資產風險暴露評分根據資產的訪問方式、開放的服務和端口為資產暴露面進行評分網絡曝光分數根據資產的網絡分類對資產進行評估，如：內網、外網、DMZ等；資產重要性評級資產類型（服務器、網絡設備...）提供服務（郵件、數據庫...）業務目的（財務、IT管理、研發...）等方式進行資產重要性劃分；二.云原生安全攻擊面管理2.3

攻擊面分析攻擊面優先級評估集群是一切云計算的基礎，因此也是云原生的基礎設施中最核心的內容，只能通過多種技術手段實現對基礎設施的攻擊面檢測，才能為上層應用提供可靠的安全保證。二.云原生安全攻擊面管理結合IoC情報分析了解針對云原生環境的可能威脅了解云原生組件供應鏈中的風險以及它們如何影響云原生應用結合外部情報分析了解黑產，仿冒APP、仿冒網站，企業信息泄露對外部信息對組織得影響2.3

攻擊面分析攻擊面情報分析通過分析包括IoC情報、供應鏈情報和外部情況等類型的攻擊面情報能夠有效地發現各類未知風險，從而在攻擊發生前掌握重要的攻擊信息。二.云原生安全攻擊面管理2.4

云原生攻擊面響應通過華云安產品家族，助力云原生環境安全左移，達到攻擊面快速收斂和事件快速響應能力，在DevOps

基礎上能夠及早發現問題并快速修復它們。提供事件跨部門協同流轉完整和開放式的流轉體系，將技術和流程打通，將復雜的攻擊面事件管理工作流程化和制度化，協同用戶跨部門進行合作，從而完成攻擊面快速處置工作。：通過SOAR完成自動化弱點驗證&修復功能，通過SOAR可實現對各類工具的調度，做到攻擊面快速收斂和事件快速響應三.

云原生安全落地實踐分享云原生原子化安全能力調度平臺核心理念云原生統一架構實現了一個平臺交付所有安全原子化能力的技術管理體系。統一安全平臺積木式搭建產品，微服務化安全能力平臺易于擴展。云原生交付輕松支持本地化部署、云化部署和Saa

S化交付。安全風險庫基于知識圖譜的風險庫，增強共享能力、提升安全防御體系的有效性。人工智能引擎場景化AI對抗引擎，源自國家重點研發計劃，技術領先市場3-5年。通過云原生原子化安全能力調度平臺，為云原生攻擊面管理的各個環節，提供完整的解決方案。新一代弱點檢測與評估（Ai.Scan)精準、定位企業真實的安全風險自適應攻擊面管理與響應（Ai.Vul）高效、管理與響應智