10月24日,由腾讯安全云鼎实验室联合GeekPwn发起的第二届云安全比赛在上海落下帷幕,包括Nu1L、r3kapig、NeSE、0ops、天枢 Dubhe等7支国内顶级安全战队,经过8小时的激烈云端攻防对抗后,Emoji战队最终脱颖而出,凭借10209.7的唯一一个过万积分,夺得本届云靶场挑战赛一等奖,NeSe战队和0ops战队分获二、三名。
本届云安全比赛包含“云靶场挑战赛”和“云安全开放赛”两大赛事,延续首届基于全栈真实云环境的赛事特点,持续为广大安全研究者和从业人员提供真实的云环境靶场,让选手们体验到了真实的云上攻防。同时,作为搭建真实云环境的赛事组织者,腾讯安全云鼎实验室也通过搭建模拟环境和布置赛题,再一次验证了腾讯云平台的安全性,为进一步打造“安全的产业云”积累了技术经验。
基于云端安全实践和前沿领域的探索,腾讯安全云鼎实验室还在现场发布了《2021云安全九大趋势》,为新基建下的云安全建设提供前瞻性指引。
赛制创新升级:全球顶尖CTF好手遇上真实云端环境
本届云安全比赛在沿袭首届全栈真实云环境特点基础上,进一步创新赛制,引入了经典的CTF模式。
腾讯云安全副总经理李滨表示:“去年我们所有的比赛都是在真实的云环境中可以真刀实枪地用的。但是我们发现,有广泛的CTF的选手缺乏在这个场景中的经验,所以今年我们采取了两者结合的模式,既可以让CTF选手发挥他们的特长进行进行破解和研究,同时也让真实场景中的一些极客体现出他们的才能。”
相比去年,今年的赛题和“云”之间的结合更为紧密,云鼎实验室将一线攻防实践中的经验引入赛题,同时增加实时对抗环节。这意味7支战队不仅要破解基于真实云环境设置的层层关卡,还要互为攻守双方一较高下。
比赛赛题由战队赛题和云环境赛题组成,其中战队赛题得分由出题评分和攻防评分组成,攻防评分更是采用激烈的“零和游戏”计分规则进行计分,真正将云端的攻和防上演到极致。比赛最终战绩以战队出题、解题赛题、云环境赛题各环节得分的高低进行综合排名,评定获奖名次,更加考验选手们处理云上安全问题的综合能力。
冠军Emoji战队的夺冠之路堪称黑马。作为初赛压线进入决赛的队伍,顶着倒数的压力。最终,Emoji战队演绎了一场完美逆袭,累计进行了198次攻击,并且解开3道赛题,不仅是唯一一个得分过万的队伍,也是7支队伍中解题数量最多的队伍。虽然比赛过程中的排名偶有更替,但Emoji依然将优势保持到最后,以10209.7的高分获得第一名。
激烈的赛事过程与本次赛事设置的真实云环境关系密切,据腾讯云安全总经理董志强介绍,未来,腾讯安全云鼎实验室将持续打造一个长期开放的云上靶场,所有的安全研究者在身份进行验证之后,都可以在基于真实云环境的靶场上进行攻防研究以及安全测试。
发布云安全九大趋势,提供新基建下云端安全建设指南
全球顶尖极客带来激烈云端攻防的同时,腾讯安全云鼎实验室也在本次大赛上带来了新的研究成果。
腾讯云安全副总经理李滨基于腾讯云安全建设的实践和云鼎实验室的前沿研究,发布了《2021云安全九大趋势》,致力于探索新基建快速发展之下,技术快速迭代、法律法规相继出台,云安全建设面临的全新挑战,为企业云上安全建设和云安全技术发展方向提供新指南。
九大趋势涵盖了云原生安全,零信任及身份认证,数据安全及合规,软硬件供应链安全等几大行业广泛关注的领域。
云原生安全无疑是九大趋势中的高频词。伴随着产业上云的速度、广度、深度不断增长,云原生具备的开箱即用、弹性、自适应、全生命周期防护等显著优势,让企业安全防护提质增效。IDC在今年5月发布的《2020年中国云计算市场十大预测》指出,到2022年,60%的中国500强企业将投资于云原生应用和平台的自动化、编排和开发生命周期管理。
但云原生安全这一近年来爆红的理念距离真正普惠千行百业仍然有着不短的路要走,趋势指出,云原生概念逐渐成熟,以容器、微服务、API等技术为代表的应用逐步落地,生态开始健全。但云原生体系中安全天然缺位,容器安全问题频出,云原生组件安全功能普遍缺失,云原生的安全架构和技术亟待发展。
云原生安全在脱虚向实的过程中还将激发更多技术领域迎来革新。容器和Serverless技术的兴起把安全对抗带入毫秒级时代,导致传统安全模型和对抗方式失效,宏观微观结合的持续对抗、规模对抗、毫秒级对抗成为新发展趋势;同时,云原生也让以安全左移、内嵌、自动化为标志的DevSecOps理念及产品逐渐落地应用。
除此之外,在数据安全这一企业最为关注的焦点领域,腾讯安全云鼎实验室总结了企业格外需要关注的内外两大风向。内部需要结合数据这一生产要素在当下的价值,促进以网络为中心的安全体系( Net-Centric Security )逐渐进化为以数据为中心的安全体系( Data-Centric Security ),从而更好地保障数据全生命周期的安全;外部则要注意法律合规,各国家地区数据安全和个人信息保护法规逐渐清晰,而国内《网络安全法》《密码法》《数据安全法》(草)《个人信息保护法》(草)及配套标准逐渐落地,数据安全和个人信息保护面临新法规、新标准、新形势,带来新的问题和解决方案,数据合规由此将进入新时代。
在身份认证这个热门领域,腾讯安全云鼎实验室详解了零信任、多云管理以及新身份认证技术等细分技术的趋势与痛点。
未来,腾讯安全还将与生态社区和合作伙伴一起协作,研究构建系统化的云安全攻防模型,并开放云攻防靶场,推动产业、研究机构和安全爱好者对于云安全更加体系化和深入的研究与剖析。