来源 :奇安信集团2024-07-26
7月25日,亚马逊云科技“re:Inforce 2024 中国站”在京成功举行,本次大会以“生成式AI时代的全面安全”为主题,汇聚顶尖安全专家、行业领袖和创新者,共同探讨生成式AI创新时代、云安全的前沿趋势和实践。奇安信云安全作为亚马逊云科技在安全领域的生态合作伙伴受邀出席。
奇安信作为中国云安全的领导者,连续7年占据中国云安全产品市场份额第一,建立了业界最完整的云安全产品线,满足云上用户的全栈式安全需求,包括云安全资源池CSMP、云工作负载保护平台CWPP、云边端一体化管理Q-SASE、云安全代理网关SWG,以及云安全运营管理平台CSC。
在AI安全领域,奇安信先后推出QAX-GPT安全机器人、GPT-GUARD大模型卫士、AI+SOC等AI安全产品,在利用AI的力量进一步提升安全能力同时,有效守护AI的使用安全。
奇安信资深安全专家李栋分享了主题《云原生全生命周期安全实践》。他指出,随着数字经济的发展,底层技术架构的升级已经成为必然,云原生凭借弹性可伸缩、敏捷开发等技术优点,已经成为企业“降本增效”的新驱动力,也为AI技术、新能源、车路云一体化等新兴技术提供了强有力支撑,但是也带来了新的安全问题,为传统的安全体系带来了巨大挑战。
“云原生技术使用了大量的新型组件,让供应链攻击的可能性大幅度增加,比如前段时间CI/CD工具teamcity就爆出身份验证绕过漏洞,新版本在发布一小时后就发现漏洞下架,在当天就出现了poc,然后大概20分钟后,就有攻击试探被发现,也就是说现在云原生漏洞武器化的速度是非常快的,而在现有的体制下去防御供应链攻击是非常困难的,因它的已经绕过所有的安全设备,直接从镜像的维度进来。”李栋指出,同时,镜像污染、东西向移动、编排工具漏洞等问题,都在时刻威胁云原生安全及相关业务。
李栋指出,虽然不少客户已经部署了SAST、SCA、容器安全等云原生安全产品,但是碎片化严重,研发、运维和安全部门各管各的,信息没有真正打通。比如,研发人员花大量时间将SAST、SCA这类安全工具去引入了开发环节,但各个安全产品是割裂的,依旧无法判断开发出的应用是否达到安全可上线状态;安全人员需要从主机安全、容器安全、CSPM、KSPM等多种安全工具中查看海量的告警数据,并且由于缺乏上下文关系,很难将问题回溯到研发阶段。
“研发部门以业务逻辑实现、业务快递迭代为目标;安全人员以业务安全运行、合规为目标,步调不一致就很容易出问题”李栋指出,最近美国某安全软件更新导致大范围系统蓝屏的事件就是典型的研发、安全失调,在高强度的攻防对抗场景下,快速更新安全规则成为该安全软件安全机制的一部分,平均每天都会在公有云上有几次更新,也正是因为软件开发部门急于做业务迭代,将存在风险的业务上线,导致更新文件和系统冲突,发生了bsod蓝屏错误,让全球超过20个国家、850万台终端受到影响,大量的交易系统、航班、物流发生延误。
针对云原生安全目前的问题与挑战,奇安信推出了CNAPP云原生安全管理平台,以云原生应用为核心保护对象,从开发、部署、运行时三个阶段对云原生应用实施保护。
1.原生资产采集
CNAPP以云原生应用为中心,从全生命周期各个阶段进行资产采集,包括从代码仓库、镜像仓库、k8s集群和容器等,并以应用为中心,将全生命周期各个阶段的不同资产进行关联,为平台的双向反馈能力提供基础。
2.开发环节安全管控
CNAPP可以维持现有开发流程不变,所有开发环节需要的安全能力自动集成到流水线中,比如开发阶段需要的:敏感数据检测、sbom扫描、SAST等等,开发人员无需关注过程,只需把CNAPP作为统一入口获取结果,节省了85%以上的时间;应用安全管理人员可以更聚焦于制定企业整体安全基线,以CNAPP为抓手来管控上线前的安全质量。
3.运行时阶段安全防护与攻击溯源
CNAPP提供了运行时阶段的全栈式防护与监控能力,包括容器安全、RASP、KSMP等,帮助安全人员对承载业务运行的工作负载做全面监控与防护。
在漏洞和风险管理方面,引入了攻击面管理和攻击链模拟的技术,首先CNAPP会汇集所有的漏洞和风险信息,然后根据AI算法输出漏洞修复优先级漏斗图,并根据根据绘制风险蔓延图,去估算所有影响范围,帮助安全人员在有限的时间内修复更高风险的漏洞。
当发生安全事件后,结合CNAPP的全生命周期可观测能力,可以快速定位到关联的开发代码阶段,为研发人员的快速的定位和修复提供可靠依据。
在与亚马逊云科技合作的过程中,奇安信云安全已经陆续提供了多维度的云安全能力,包括云工作负载安全、云边界安全、云数据安全等,与亚马逊云科技一起,为客户提供更加稳定、安全、可靠的云上服务,为企业出海保驾护航。