隨著云計(jì)算技術(shù)和產(chǎn)業(yè)的蓬勃發(fā)展，企業(yè)上云已是數(shù)字化轉(zhuǎn)型的必然趨勢(shì)。但云上千般好，卻也給企業(yè)帶來(lái)了全新的安全挑戰(zhàn)。云平臺(tái)不僅要應(yīng)對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中存有的DDoS、入侵、病毒等常態(tài)問(wèn)題，還要高度重視技術(shù)架構(gòu)中虛擬機(jī)逃逸、資源濫用、橫向穿透等新安全問(wèn)題。

　　守護(hù)云上安全，是數(shù)字時(shí)代的重中之重。9月26日，2021首屆-西部云安全峰會(huì)在西安成功舉辦。會(huì)上，騰訊安全云鼎實(shí)驗(yàn)室首次披露云端攻防最新成果——云安全攻防矩陣。該矩陣基于MITREATT&CK®框架，針對(duì)云上安全所面臨的威脅以及攻擊技術(shù)進(jìn)行整理，從實(shí)戰(zhàn)角度出發(fā)，助力企業(yè)知攻知防。

　　通過(guò)漏洞數(shù)據(jù)、攻擊事件，抽象出攻擊模型

　　區(qū)別于傳統(tǒng)攻防，云上安全到底關(guān)注哪些問(wèn)題？騰訊安全云鼎實(shí)驗(yàn)室攻防負(fù)責(zé)人李鑫介紹，主要在于四個(gè)方面：

　　-云計(jì)算安全威脅，從宏觀角度看云到底面臨哪些安全問(wèn)題；

　　-云原生安全威脅，基于云原生，進(jìn)行滲透測(cè)試，發(fā)現(xiàn)安全威脅；

　　-Web/Api安全威脅，因Web/Api是目前實(shí)現(xiàn)云業(yè)務(wù)的最佳方式，其漏洞將直接威脅到云；

　　-產(chǎn)品業(yè)務(wù)邏輯威脅，錯(cuò)綜復(fù)雜的產(chǎn)品業(yè)務(wù)邏輯仍是云安全的一大威脅。

　　此次騰訊安全云鼎實(shí)驗(yàn)室推出的云安全攻防矩陣，正是基于上述安全漏洞及對(duì)應(yīng)攻擊事件的洞察分析，抽象出的攻擊模型。這一形式，是由一種軍事殺傷鏈模型“F2T2EA”演變而來(lái)的，F(xiàn)2T2EA即發(fā)現(xiàn)（Find）、定位（Fix）、跟蹤（Track）、決策（Target）、交戰(zhàn)（Engage）、評(píng)估（Assess）。

　　這也是安全行業(yè)打造檢測(cè)與響應(yīng)項(xiàng)目的流行框架——MITREATT&CK®，用來(lái)描述攻擊階段與每個(gè)階段所使用的攻擊技術(shù)與手段。安全人員可以通過(guò)此知識(shí)框架有效地了解當(dāng)前環(huán)境中所面臨的攻擊面，并以此制定監(jiān)測(cè)手段用以發(fā)現(xiàn)風(fēng)險(xiǎn)。

　　全方位了解攻擊手段及途徑，關(guān)注整個(gè)云生態(tài)

　　“知己知彼，百戰(zhàn)不殆。”云安全攻防矩陣，共分為初始訪問(wèn)、執(zhí)行、持久化、權(quán)限提升、防御繞過(guò)、竊取憑據(jù)、探測(cè)、橫向運(yùn)動(dòng)、影響九大階段，每個(gè)都包含了多種用以實(shí)現(xiàn)此階段能力的攻擊技術(shù)。這一矩陣模型，覆蓋了更多維度的攻防流程和對(duì)象，從識(shí)別訪問(wèn)到探測(cè)移動(dòng)，再到持久防御作戰(zhàn)，關(guān)注整個(gè)云生態(tài)的安全穩(wěn)定。

　　以對(duì)象存儲(chǔ)服務(wù)的攻防實(shí)戰(zhàn)為例，騰訊安全云鼎實(shí)驗(yàn)室基于云安全攻防矩陣，針對(duì)對(duì)象存儲(chǔ)服務(wù)所面臨的威脅以及攻擊技術(shù)進(jìn)行整理，推出對(duì)象存儲(chǔ)服務(wù)攻擊矩陣，圍繞九大階段，展現(xiàn)針對(duì)對(duì)象存儲(chǔ)服務(wù)的攻擊手段以及關(guān)鍵技術(shù)。

　　作為云原生的一項(xiàng)重要能力，對(duì)象存儲(chǔ)服務(wù)同樣也面臨著一系列的安全挑戰(zhàn)，近年來(lái)與對(duì)象存儲(chǔ)服務(wù)相關(guān)的數(shù)據(jù)泄露事件比比皆是。因此，全方面地了解關(guān)于對(duì)象存儲(chǔ)服務(wù)的攻擊手段以及途徑，將有效的幫助云平臺(tái)以及云租戶在面對(duì)這些風(fēng)險(xiǎn)時(shí)，精準(zhǔn)地識(shí)別風(fēng)險(xiǎn)并采取相應(yīng)的防護(hù)措施，保護(hù)對(duì)象存儲(chǔ)服務(wù)以及其中存儲(chǔ)的數(shù)據(jù)安全。

　　李鑫表示，安全攻防矩陣未來(lái)將以云產(chǎn)品/業(yè)務(wù)為切入點(diǎn)，覆蓋云數(shù)據(jù)庫(kù)、人工智能、云物聯(lián)網(wǎng)等更多產(chǎn)業(yè)及領(lǐng)域，并與國(guó)內(nèi)網(wǎng)絡(luò)安全伙伴開(kāi)源協(xié)同，定期迭代，以緊貼業(yè)務(wù)安全的最佳實(shí)踐為產(chǎn)業(yè)數(shù)字化升級(jí)保駕護(hù)航。

　　據(jù)介紹，騰訊安全云鼎實(shí)驗(yàn)室自成立以來(lái)，長(zhǎng)期探索前沿云安全技術(shù)的落地。在過(guò)去兩年中，云鼎實(shí)驗(yàn)室先后推出了云上攻擊八橫八縱的全景攻擊模型和云數(shù)據(jù)安全中臺(tái)，其中云上攻擊八橫八縱的全景攻擊模型，通過(guò)繪制一張?jiān)粕瞎シ赖膭?dòng)線圖，讓安全從業(yè)者在防御黑客的時(shí)候做到知己知彼；云數(shù)據(jù)安全中臺(tái)則是打造端到端的云數(shù)據(jù)全生命周期安全體系，保障企業(yè)數(shù)據(jù)在存儲(chǔ)、傳輸、使用、銷毀過(guò)程中的安全。