腾讯安全打造真实云端攻防战 GeekPwn 云安全挑战赛0ops摘冠

2019-10-25 10:40:35 浏览数 (1)

由腾讯安全云鼎实验室联合GeekPwn发起的

全球首个基于真实通用云环境的云安全挑战赛

今天下午正式结束。

来自紫荆花、复旦白泽、0ops、AAA、Nu1L、r3kapig 六支国内安全强队,在为期8小时的紧张攻防对抗后,最终0ops战队率先突破9道赛题,累计得到2210分,拿下云安全挑战赛一等奖,复旦白泽、r3kapig分列二、三位。

集结“攻坚力量”,对决云端安全

参加此次云安全挑战赛的战队成员来自清华大学、复旦大学、上海交通大学、浙江大学、京东、盘古等高校及企业,几乎集结了学术圈与产业界的“攻坚力量”,展开一场覆盖云上全路径攻击与防御的对抗。

左右滑动查看更多

(滑动看参赛战队)

腾讯副总裁丁珂表示,希望借助这次的云上安全挑战赛,吸引各路极客对多元、复杂的云计算环境,展开前沿技术探索,预演云上安全攻防。相信通过这次比赛,积累的云攻防研究、技术、经验以及人才,将为产业提供一个更为安全的云环境。

守护云安全新实践:

打造真实云端攻防比赛环境

作为全世界首个基于真实云环境复原的云安全攻防竞赛,比赛还未开始,就已受到了来自行业、企业的关注。腾讯安全云鼎实验室副总监李滨解释称,“在今天这样一个云联万物的时代,产业互联网面临的最大挑战,就是用户对云安全性的疑问。对于这个疑问,我们尝试通过前沿攻防技术的研究和落地,以及今天通过构建比赛的真实环境来验证和解答。”

在今天的比赛现场上,为了模拟真实云环境,腾讯安全云鼎实验室通过采用最主流的云平台开源组件,结合实验室的云攻防靶场黑科技,构建了这样一个真实的可以完整工作的全栈云环境,完全复现主流云平台的架构、技术和系统软硬件环境。不仅包括了云上的典型应用,如租户VPC、虚拟机IaaS服务、各类数据库DaaS服务、容器云PaaS服务及最前沿的多方数据安全计算服务,还有完整的云管理调度平台。

在本次比赛的赛题设置中,腾讯安全云鼎实验室选取真实云上攻击场景,根据攻击难度和攻击成功后的影响,设定了四个难度级别,共十六道真实攻击场景赛题。涵盖从租户应用安全、虚拟化和容器安全、云平台服务和高防数据环境等不同的应用场景,梯度考察参赛选手的实力。

难度级别一:主要是通过云租户私有空间VPC内的虚拟机和应用攻击,来考察基础黑客攻击技能;

难度级别二:需要参赛队伍通过云上PaaS或SaaS类应用的共享集群服务,突破系统限制,直到获取服务集群的系统超级用户权限。

难度级别三:选手已经进入了一个完全标准的云环境,需要攻击者突破云租户VPC和虚拟化隔离的限制,到达云平台层和物理服务器,直到最终控制整个云。

难度级别四已经上升到堪称“史诗级别”。前三个级别使用的都是最新的开源软件的云平台和系统,体现了开源软件建设云的一般安全水平。在这个基础之上,各家云厂商在自身的系统上都会比较全面的安全防护,所以云鼎实验室还准备了一个增强安全环境,来供选手挑战。云鼎实验室对开源版本的云平台和系统进行了安全加固,看选手是否能突破更高水平的内核安全防护,并且还提供了一个可信计算环境,使用最新的硬件数据安全保护技术,来验证云平台即使被攻破的情况下,攻击者能否获取到用户的关键数据。

但最终,六支参赛队伍倾尽“脑力”,也未能有战队突破最后一个级别的挑战。

未知攻,焉知防。在腾讯安全云鼎实验室负责人董志强看来,今天云计算实际上现在已经越来越成为数字世界的基础设施,云服务商和云租户的安全挑战越来越高,所以云安全越来越受到各方关注;同时,云计算技术复杂、体系庞大,网络安全研究人员自己想广泛深入研究较为困难。所以腾讯安全云鼎实验室联合GeekPwn搭建这样一个比赛平台,不仅为研究人员提供了一个真实环境的平台,同时因为覆盖环节全面,更有利于研究人员的实践。

构建核心安全能力,

腾讯安全打造更安全产业云

随着产业数字化转型升级步伐加快,云基础设施的安全和云上数据的安全已经成为云用户关注最多的问题。为应对产业互联网环境下的安全问题,腾讯安全协同腾讯云,共同构建了“一个基础底座,两个安全中台,攻防两面一体”的核心安全能力,为产业打造更安全的云环境。

一个基础底座

即腾讯安全构建的 “云全栈安全基础设施”,从物理环境和基础设施、可信网络、可信硬件、可信操作系统直到租户安全,从合规治理、运维管理到供应链安全,全方位的给云用户提供一个牢不可破的可信安全底座。这个底座已经获得了可信云和等级保护四级等体系的诸多标准认可。而在今天比赛中所构建的高防环境,就包含腾讯安全云鼎实验室选取的“全栈可信基础设施”中的一小部分安全“黑科技”。

数据安全中台

除了云平台自身的可信,“数据安全”是用户关注的另一个主题,同时数据安全和隐私保护也是腾讯安全和腾讯云最关注的技术重点。围绕数据安全,腾讯安全云鼎实验室通过研究和应用高安全性硬件加密技术、多方安全计算、前沿的高性能国产化密码技术,打造腾讯安全“数据安全中台”,给用户提供全生命周期数据安全服务,有效保障用户数据安全。腾讯云依靠该技术,近日还获得了全球云厂商中第一家通过个人信息和隐私保护体系ISO 27701认证。除此之外,腾讯安全还协助腾讯云在全球范围内获取了近30项各类认证,充分体现出企业和用户对于腾讯安全数据安全保护能力的认可。

租户安全运营中台

而在租户的安全防护上,腾讯安全建立了“租户安全运营中台”,通过先进的威胁情报、漏洞感知和安全大数据能力,实时的分析全云安全态势,为云用户提供主动地安全响应服务。今天为止,该中台的安全情报能力已经覆盖数百个信息源,并服务于腾讯云100万台以上的服务器和数千家大客户,能够在分钟级发现全网新增的高危端口,小时级定位新出现的零日漏洞影响范围,在日级以内实现全网的安全漏洞处置。

利用腾讯云先进的实时攻击威胁检测技术,在本次比赛环境中构建了比赛实时监控系统,可以可视化的呈现选手的攻击测试动作以及攻击路径,并进行比赛动态展示。

攻防两面一体

腾讯安全云鼎实验室还在此次比赛中,基于全球首个“攻击路径全景图”,设定和真实的复现了云攻击路径全景里的四条纵深攻击和三条横向迁移攻击路线。据李滨介绍,腾讯安全云鼎实验室在云上长期的攻防对抗实践中总结和发现了“八纵八横”云攻击路径,覆盖了全部的云应用场景和主要弱点风险,而今天的比赛就是云攻击路径全景的一个浓缩体现。

未来,腾讯安全还将与生态社区一起协作,研究构建系统化的云安全攻防模型,并开放云攻防靶场,推动产业、研究机构和安全爱好者对于云安全更加体系化和深入的研究与剖析。

关于云鼎实验室

腾讯安全云鼎实验室一直专注于云领域前沿安全技术研究与创新,以及云标准化与合规体系建设等工作。通过机器学习与大数据技术实时监测并分析各类风险信息,同时,云鼎实验室帮助客户抵御高级可持续攻击,并联合腾讯安全其他实验室进行安全漏洞的研究,确保云计算平台整体的安全性,且相关能力通过腾讯云开放出来。云鼎实验室在云安全领域的研究与实战积累,使得腾讯云能够为企业和创业者提供集云计算、云数据、云运营于一体的云端服务体验,同时也是最可信的安全防护平台之一。

➤推荐阅读

  • 【安全预警】PHP远程代码执行漏洞风险预警(CVE-2019-11043)
  • 倒计时 1 天 | 攻防升温,GeekPwn 云上挑战即将登场
  • 【内有福利】真实云上攻防10.24开战,探索产业安全新边界
  • 全球首家!腾讯云隐私安全管理获ISO/IEC 27701:2019认证
  • “高危”!腾讯发现云虚拟化平台逃逸漏洞
  • 护航产业互联网,打造最安全的产业云
  • 紧急预警丨威胁堪比永恒之蓝,微软高危RDP漏洞利用代码已被公布,请尽快修补!
  • 重磅:2019上半年云安全趋势报告发布(附下载链接)
  • 腾讯云上攻防战事(三)丨千里追凶,云上黑产虽远必诛
  • 最高五万元现金!TSRC腾讯云业务安全专项今日开战

关注云鼎实验室,获取更多安全情报

0 人点赞