Everything you care about in one place
Follow feeds: blogs, news, RSS and more. An effortless way to read and digest content of your choice.
Get Feederwechat2rss.xlab.app
云鼎实验室
Get the latest updates from 云鼎实验室 directly as they happen.
Follow now 22 followers
Latest posts
Last updated 8 days ago
云鼎RASP产品专项挑战赛,邀您来战!
8 days ago
2025-04-28 14:19 广东 4.28-5.12,用你的渗透艺术,改写攻防规则。这场进化之旅,缺你不可! 安全无止境,探索不停歇。在这个攻防博弈愈发激烈的时代,单凭请求特征的防护手段已难以满足企业日益增长的安全需求。正是在这样的背景下,RASP(应用自我保护技术)应运而生,它将防护引擎巧妙地嵌入应用内部,实现了在脱离请求特征的情况下,依然能够精准识别代码注入、反序列化等应用异常,从而完美弥补了传统防护手段的不足之处。如今,RASP技术已广泛应用于企业安全建设中,成为抵御入侵行为的得力助手。我们精心打造的云鼎RASP已就绪,诚邀您以攻击者视角,突破层层防护机制,验证安全边界的极致;通过构造奇特攻击载荷,挑战运行时防御的智能阈值。这不是一次简单的CTF,而是重新定义应用安全的实验场。在这里,您将亲手验证:"当安全引擎与业务系统共生共长,攻防对抗将进入怎样的次元?"4月28日-5月12日,用你的渗透艺术,改写攻防规则。让代码自己学会抵抗,让安全真正生长在业务基因里——这场进化之旅,缺你不可!参与方式登录腾讯众测平台: https://zc.tencent.com注册并实名认证后,即可申请加入项目。活动时间2025年4月28日10:00 - 5月12日10:00活动奖励每个成功绕过可得200积分(2000人民币)比赛规则绕过的认定方式,必须是通过远程命令执行(Remote Command Execution)获取到靶场位于/tmp/目录下的flag.txt文件的内容证明并提交详细报告。注意:1.直接通过Java函数方法调用读取flag.txt内容,不在本次众测活动收取的范围内,最终被视为无效绕过报告。2.执行启动行为的代码,包括但不仅限于sleep等行为,不在本次众测活动收取的范围内,最终被视为无效绕过报告。众测严格遵守"先到先得"的原则,同一种类型的绕过,以报告提交的时间为准,平台仅收取第一个提交者的报告,其他将予以驳回。禁止破坏靶场,包括但不仅限于篡改靶场环境等行为,一经发现将取消参与资格,取消已获取的积分奖金。禁止对靶场环境发起DDoS,CC等方式的攻击。众测比赛期间,每晚12点会进行一次靶场环境的维护,如在测试???程中有任何疑问可在微信群中反馈。以上条款,平台方具有最终解释权。技术交流群技术交流探讨,问题反馈请加群沟通~⬇️ 点击【阅读原文】,登录腾讯众测平台参与挑战 阅读原文...
【技术探索】WebAssembly安全研究:浏览器攻击面的新趋势与模糊测试实践
about 1 month ago
2025-03-24 10:47 广东 0关于WebAssemblyWebAssembly(Wasm)是一种新型的、可移植的、高效的二进制指令格式,可 0关于WebAssemblyWebAssembly(Wasm)是一种新型的、可移植的、高效的二进制指令格式,可作为多种高级语⾔(如C、C++、Rust等)的编译目标,从而在Web上运行接近原生性能的应用程序。在浏览器中,JavaScript在虚拟机(VM)中执行,通过JIT优化代码以提升性能。尽管JavaScript是当前最快的动态语⾔之一,但在性能上仍无法与原生的C和C++代码竞争。这正是 Wasm 的优势所在。Wasm运行在与JavaScript相同的VM中,但性能更优。两者可以自由交互,互为补充,使开发者既能享受JavaScript丰富的生态系统和友好的语法,又能获得Wasm接近原生的性能。通常,开发者使用C等语言编写Wasm模块,并将其编译为.wasm文件。这些.wasm文件不能直接被浏览器识别,需要通过JavaScript的胶水代码进行加载。1越来越多的浏览器漏洞源自WebAssembly组件Wasm作为现代Web应⽤的核心技术之一,通过沙箱化的执行机制,实现了接近原生的性能和安全性的双重保障,其应用范围已超越浏览器,快速渗透到云计算、物联网、边缘计算等关键领域。然而,随着Wasm的普及,其安全隐患也逐渐显现。从厂商披露的漏洞来看,越来越多的漏洞源自Wasm组件。Wasm的安全隐患已在多次攻防实战中得到验证。在Pwn2Own 2021大赛中,研究人员利用JavaScriptCore引擎的Wasm编译器漏洞(CVE-2021-1801),在Safari浏览器上实现了远程代码执行(RCE)。在Pwn2Own 2023的V8 CT中,也有团队利用V8的Wasm相关漏洞成功攻破了Chrome浏览器。从各大厂商的漏洞跟踪平台上,也能看到越来越多的Wasm漏洞被披露。自2017年11月Wasm社区组(CG)发布最小可行产品(MVP)标准以来,该技术栈始终处于动态演进状态。四大主流浏览器厂商(Chrome、Edge、Firefox、Safari)通过标准化进程持续推进特性扩展。截至目前,还有许多特性尚未完全支持,且Wasm标准也在不断更新。这些新特性的引入,势必会带来潜在的漏洞风险。因此,Wasm已成为当前浏览器漏洞挖掘的热点,并具有长期的研究价值。云鼎实验室对Wasm的漏洞挖掘进行了深入的探索,成功挖掘了多个高危漏洞,提交了数十个漏洞报告,并获得了苹果公司(Safari)和Mozilla基金会(Firefox)的官方致谢。2WebAssembly模糊测试实践在2022至2024年的Black Hat大会上,连续出现了与Wasm安全相关的议题。这些研究均以模糊测试(Fuzzing)作为漏洞挖掘的主要手段。云鼎实验室早期也曾尝试对Wasm进行模糊测试,但效果并不理想。后来,受BlackHat上相关议题的启发,云鼎实验室改写了Wasm Fuzzer,成功找到了新的漏洞。改写后的Wasm...
2024漏洞风险启示录:在攻防的螺旋中寻找【治愈】之道
2 months ago
2025-02-28 17:31 广东 前言人类与疾病的抗争史,是一部不断自我超越的史诗。正如医学的进步从未让病毒消亡,数字世界的安全防御也始终在与漏洞风险进行着一场永恒的博弈——安全从业者如同数字世界的「免疫系统」,在浩瀚数字世界中筛查病灶(漏洞感知)、合成抗体(漏洞修复)、构建防线(风险处置),周而复始地维系着企业数字机体的健康运转。2024年的安全战场呈现出更复杂的「病理特征」:一边是AI驱动的威胁检测技术突破性进化,另一边却是供应链攻击、漏洞武器化攻击呈指数级蔓延;一边是云原生防护体系日趋精密,另一边却是攻击者利用生态级漏洞制造的「蝴蝶效应」愈演愈烈。「对抗,不是为了消灭,而是为了共生。」在漏洞攻防这场没有终点的马拉松中,腾讯云安全团队始终秉持「治未病」的理念,基于全年捕获超23W+漏洞情报数据、深度分析超550多个行业重点高危漏洞,结合0day漏洞捕获数据、云端规模性漏洞攻击事件,凝练出这份《2024全球漏洞风险态势报告》。我们尝试通过「脉象溯源」之法,解析威胁演变的「经络走向」,为2025年的企业漏洞防御体系开具一副「君臣相佐」的动态调理方剂。望 · 全局观势2024漏洞攻击态势腾讯云安全累计共捕获漏洞情报231,395条其中,面向客户同步关键高危情报漏洞量达到556个2024年漏洞爆发式增长,新增了40000+条漏洞依托腾讯云与端的多维数据,过去一年捕获了进行在野攻击的通用框架类0day漏洞60多个,识别具体业务场景0day漏洞近500例近3年漏洞情报数量变化其中2024年月度漏洞情报数量分布情况如下:基于以上宏观统计及对2024年全年漏洞的深入分析,我们发现:高危漏洞频发:从时间分布来看,近3年漏洞的数量仍然呈现上升趋势,几乎每个月都有数万情报被捕捉,大量高危漏洞被披露,特别是远程代码执行和SQL注入漏洞,表明网络安全形势依然严峻。厂商响应速度参差不齐:通过对2024年漏洞分布厂商进行分析,我们发现部分厂商会及时发布安全补丁和修复版本,但也有部分厂商响应速度较慢,甚至没有发布补丁,这给攻击者留下了可乘之机。未出现影响巨大的蠕虫级漏洞:部分漏洞虽然影响面广泛,但由于利用需要特定的条件(如需要身份验证、开启特定配置,如Windows RDL RCE漏洞),实际并未引发行业规模性安全事件。AI组件的漏洞开始逐步被关注:在我们响应漏洞的过程中,发现越来越多的AI相关组件,如部署、训练、UI等组件的漏洞开始出现在我们视野,也被越来越多的企业关注。闻 · 情报嗅探新曝光与捕获的漏洞武器在捕获情报后,腾讯云安全会基于情报数据,综合云上在野攻击数据分析,仅12月份期间腾讯云共监控到120余个新曝光的武器,其中如下需重点关注:历史漏洞"复活"现象根据我们的漏洞攻击监测,我们发现有一些重要的历史漏洞持续活跃,攻击者越来越关注攻击性价比,针对历史风险较高的漏洞探测利用持续存在,具有相关资产的客户可以关注并排查是否已修复,提高相关工作的优先级。问 · 根因溯源漏洞趋势变化背后的原因地缘政治事件,国家级漏洞攻击战术升级地缘政治紧张局势,地缘政治冲突,加剧了对关键部门的网络和物理攻击,从而导致APT组织针对一些知名的网络设备供应商等基础设施进行漏洞挖掘。典型的边缘网络设备(包括Fortinet,TP-Link,Ivanti和Cisco等)直联互联网,存在较高利用价值,成为高危漏洞重灾区,攻击者可以快速控制进入内部网络。人工智能的快速采用,使得AI基础设施组件漏洞越来越多被披露由于AI产品的快速增长与场景应用,越来越多的企业,近一年新发现的AI基础设施组件漏洞呈现了较大幅度增长,比较典型的有:LangFlow远程代码执行漏洞(CVE-2024-48061)PyTorch...
二进制与LLM的碰撞:反混淆技术的新尝试
2 months ago
2025-02-25 17:04 广东 01前言云鼎实验室在长期跟踪安全事件中发现,恶意软件为了逃避安全人员的分析,通常会采用混淆技术来隐藏其真实意图和逻辑。这类样本在分析过程中往往耗时耗力,即使使用相关工具,效果也有限且缺乏通用性。然而,Transformer模型的崛起为这一问题提供了新的解决思路。Transformer最初是为了提升机器翻译的效果而提出的,后来在此基础上发展出的大型语言模型(LLM)已经能够完成对话、推理等复杂任务。而混淆技术的本质是通过复杂化原有逻辑来阻碍人脑的推理、“翻译”和总结过程,这类问题恰恰可以通过LLM得到统一解决。02传统方法与不足传统去除混淆方法分为静态和动态,以OLLVM为例[quarkslab et al.,2014]对其做过详细的分析,文中去混淆的方法主要是通过寻找控制平坦化,指令替换,虚假控制流的特征,比如找到控制流平坦化的switch 调度器、虚假控制流的条件等,然后进行模拟执行或者符号执行找出原始代码的逻辑。这类方法的局限性是每个混淆工具都需要找到类似上面的特征,然后进行还原,工程难度大且耗时。03基于LLM的反混淆提炼上述传统去混淆的思路,其基本流程可以概括为以下两步:人工分析并识别混淆特征;通过符号执行或模拟执行提取原始代码。这两步工作可以借助现代大型语言模型(LLM)来实现。当前,LLM 已经具备了自动归纳和简单推理的能力,因此通过大量数据的训练,可以将多种编程语言及其去混淆的方法学习到一个统一的模型中。逆向工程也是类似的工作,而 LLM 在预训练阶段已经学习了远超单个人类知识的内容,这正好可以弥补从低级语言(如汇编)转换到高级语言(如C)过程中信息缺失的问题。04领域模型训练openai 在gpt3.5 提出了instructGPT...
从人工困局到智能破局 - 大模型在代码安全审计的探索与实践
3 months ago
2025-02-20 18:01 广东 1. 传统代码安全审计的困局在企业全面上云时代,确保云产品的安全性和稳定性已经成为企业关注的焦点。静态应用安全测试(SAST)作为一种重要的代码安全审计方法,被广泛应用于云产品的开发和维护过程中。通过将SAST工具嵌入DevSecOps流程,企业可构建“安全左移”防御体系,检测潜在的安全漏洞和缺陷,从而帮助开发人员在早期阶段发现并修复问题,有效降低安全风险。在代码安全审计工具落地实践中,数据流覆盖不全是较为突出的问题。通过对漏报案例的深度复盘,腾讯云安全团队发现一个重要原因:云产品使用了开源组件和框架,而由于代码安全审计工具没有支持这些框架,未覆盖潜在的“Source”(用户可控的输入点)和“Sink”(敏感函数或漏洞触发点),导致数据流分析中断,从而引发漏报。这类漏洞如同潜伏在云产品中的“延时引信”,一旦被攻击者触发,可能引发连锁式安全危机。图1 框架未适配导致的漏报Case在明确问题以后,解决方法很简单粗暴:组织安全工程师对开源框架进行人工分析,阅读框架的实现代码,找出所有可能的Source和Sink点(下文简称污点)。再根据污点特征编写检测规则,集成到分析工具中,从而实现代码风险点的覆盖。这个解决方法虽然短期内有效,但是长期来看却面临着不小的挑战:● 人工分析的效率瓶颈:需要安全工程师逐个阅读框架源代码文件,对每个函数进行研判和分析,识别可能的污点函数,耗时耗力。现阶段全量分析一个框架至少需要1个小时。● 经验依赖性强:每个工程师熟悉的开发语言不同,熟悉的技术栈不同,因此做出的识别结论可能不同,高度依赖个体的经验。而当面对多语言、多技术栈的框架时,人力投入将大幅增长。● 审计质量不稳定:由于是人工识别,难免可能遗漏一些污点;受限于个人经验,又难免误报,比如把一些并没有暴露给外部调用的函数纳入污点范围。随着大模型赋能业务的发展,行业前沿传来令人振奋的消息 - 大模型在0day漏洞挖掘中展现出惊人潜力。谷歌Project Zero团队发布了漏洞挖掘智能体“Big...
“相约江夏,智汇攻防”腾讯安全沙龙(武汉站)精彩回顾
4 months ago
2024-12-31 17:04 广东 12月21日,由腾讯安全云鼎实验室主办的“相约江夏·智汇安全”网络安全沙龙在腾讯武汉研发中心成功举办。活动旨在搭建高水平的交流平台,促进产学研深度融合,为网络安全领域的创新发展注入新的动力。来自武汉高校的专家学者、知名白帽黑客以及网络安全领域的从业者齐聚一堂,围绕人工智能、云攻防、APT攻击、黑灰产业等前沿攻防话题,共同探讨网络安全的新趋势和未来发展方向。近年来,APT(高级持续性威胁)攻击愈发猖獗,给企业安全建设带来不小的挑战。渊龙_Sec 安全团队负责人曾哥以"APT 视角下的攻防实践”为主题,深入解析了 APT攻击与传统红队的区别。APT攻击的成功往往依赖于对目标的深度了解与长期渗透,而企业在防御中容易忽视这种“隐匿性攻击”的威胁。通过对知名 APT 组织的攻击方式、APT 攻防对抗常用技巧和典型攻防场景、案例的剖析,曾哥强调了从 APT 视角加强防御的重要性,为企业构建更有效的安全防御体系提供了宝贵的建议。长亭科技华北技术总监樊一博则介绍了红队的组成架构及分工,详细阐述了武器平台的构建方法,以及在攻防演练中的前沿技术和战术。他指出,完善的红队培训和实战演练对于提升组织的网络安全防御能力至关重要,有助于及时发现并修复安全漏洞。这种“攻中带练”的方式,不仅能帮助企业及时发现潜在威胁,还能有效提升企业应对未知攻击的综合能力。...
安全验证 | 容器安全的验证度量实践
about 1 year ago
原创 云鼎实验室 2024-05-06 17:18 广东 摘要容器安全作为云原生安全的重要组成部分,为用户业务的云原生落地提供了重要的安全保障。但是由于云原生架构和云原生应用的复杂性,以及不同厂商的容器安全产品在能力上的参差不齐,相应的安全防御能力是否达到了实际的防护效果,这是在运营中面临的重要挑战。本文将结合腾讯云在容器安全的运营实践,分析介绍如何通过安全验证度量,从攻击者视角持续发现防御的弱点,提升防御水平,实现云原生架构下的高质量安全运营。为什么对容器安全进行安全验证业务全面拥抱云原生,安全责任重大近年来,云原生架构的采纳率大幅攀升,据中国信通院在2023年底发布的针对国内用户的研究报告显示,90%以上的用户已经使用或者计划使用容器技术,50.71%的用户已经将容器技术应用于核心生产环境,27.5%的用户已将容器技术用于次核心生产环境。以腾讯为例,早在2022年6月就已经实现了内部海量自研业务的全面上云,包括微信、王者荣耀、腾讯会议等,达到了数千万核的上云规模,建设并维护着国内最大规模的Kubernetes集群,打造了国内最大规模的云原生实践。而作为腾讯云安全的运营方,面对容器化基础设施覆盖度极高,承载业务量极大,如此大规模容器集群安全性的防御,其重要性极高,一旦发生安全事件,将影响巨大。因此务必要确保事前、事中、事后各项安全措施全面、有效的发挥作用。容器安全的运营难度高、挑战大安全运营本身就是一个系统且复杂的问题,而容器安全的运营给运营者更是带来了新的挑战。因此,在做容器安全的运营时,最常见的一个问题就是,安全产品会检出成千上万个安全风险,那这些风险全部都需要修复吗?如果资产规模较小还有可能,但是像腾讯这种,面对数千万核的集群、千万量级的容器镜像,如果把安全产品检出的所有风险全部逐一修复,那几乎是不现实的。实际情况就是只能修一部分,那修的这些风险够不够,没有修的是不是就一定不会被利用,如果被利用了,安全能力能不能防御住。这些都是在安全运营过程中遇到的难以确定的问题。以1月底的runc CVE-2024-21626漏洞为例,从官方纰漏的信息来看该漏洞几乎影响了runc所有的发行版本,而runc作为容器环境的基础组件,几乎所有的集群节点均受影响,影响范围非常的广。但是这种基础组件对于存量集群来说,升级起来难度较大。根据对该漏洞的研判发现,漏洞的利用需要一定的前提条件,比如对内核版本有一定要求、对业务镜像有一定要求。在这种情况下完成了应急修复后,怎么来评价我们的系统是否还存在风险,这时就需要进行安全验证,我们第一时间上线了针对该漏洞的安全验证,高效的辅助运营完成了漏洞的应急处置。像这种例子,在容器安全的运营中,非常常见,单runc组件近年来就纰漏多个高危以上的漏洞。安全厂商能力参差不齐,产品边界不清晰云原生架构的落地规模持续增长,叠加带来的安全需求也在不断增长,因此,对应的容器安全以及云原生安全产品也快速的涌现。容器安全在最近的五六年发展时间里,几乎所有的传统综合性安全厂商、云厂商、创业公司纷纷推出了自己的容器安全产品,或者是云原生安全产品。Gartner、IDC、安全牛、数世咨询等国内外咨询机构报告的厂商就有十多家,实际上可选的产品将有几十种。除了专有的容器安全产品,传统的主机安全产品、云安全产品、甚至云厂商会在一定程度上实现云的内生安全。尽管经过了几年的发展,但是容器安全还是一个相对较新的赛道,各家厂商对容器安全的认知、定义不可避免的存在差异,因此产品边界、能力边界,能力水平相差也较大。对于甲方用户来说,如何在各种琳琅满目的产品中进行选择,实现相对完善的防御体系建设,是一件困难的事。用户不可避免会产生能力是否够用、是否有用的顾虑。综合上述几???内容,我们结合腾讯自身的安全运营痛点,建设并实践了基于攻击模拟技术(BAS)的安全验证平台,尤其是针对容器环境进行安全有效性的验证度量,从攻击者视角,模拟真实的攻击,确保整个容器环境的安全可靠。容器安全度量体系要想对容器安全的防御体系进行验证度量,那么首先要做的就是要制定全面和合理的验证度量指标,确保验证度量的完整性与合理性。在度量指标的设计上,主要参考以下几个维度的内容进行设计:(1)ATT&CK攻防矩阵框架;(2)腾讯蓝军实践经验以及安全研究成果;(3)腾讯容器安全相关产品能力;(4)腾讯容器安全运营实践;(5)标准、技术要求等行业规范。攻击者视角下的指标设计首先就是从攻击者视角下,确定容器安全的度量指标,要尽可能的覆盖到所有可能被使用的攻击手段。云鼎实验室在2021年发布了“云安全攻防矩阵”(https://cloudsec.tencent.com/home/),到现在已经迭代更新到了3.0版本,矩阵覆盖了从初始访问到攻击影响的全部9个阶段,其中明确指出了针对容器环境的攻击技术战术内容,几乎覆盖了所有容器环境下的攻击手段。针对容器安全的度量指标,覆盖了矩阵中所有的容器安全相关的技战术内容,可以从各个攻击阶段的维度,对容器安全进行验证度量。除此之外,从攻击视角看,还会结合腾讯蓝军在历次的内外部红蓝演练中,面向容器环境沉淀的攻击手法与技巧。这些实践经验,一方面会对矩阵的技战法做有效的补充,同时可以从实践的维度,对各个指标从可利用难易度的角度,进行更真实的风险等级划分,使得验证指标有着更好的完整度和可运营、可执行性。防守者视角下的指标设计除了从攻击视角外,另一方面就是从防守者视角,围绕各项容器安全相关的产品能力,进行度量指标的设计,从而确保相关能力全部发挥了作用。(1)腾讯在内部的容器安全能力建设上,自研了容器安全产品能力,对于容器安全相关的能力要求以及原理、安全规则等,有着深入的理解和认知,这些都会作为度量指标的设计参考,以及验证剧本的指导性输入。有了产品能力的基础,在一定程度上,验证指标和验证剧本的设计就是类似白盒测试一样,更具有针对性。(2)数千万核规模的容器集群安全运营经验,同样是我们度量指标设计的一个重要参考。在运营过程中,我们逐步积累了各种风险出现的频率、积累了各种安全事件的攻击手法。高频率的风险、高频率的事件、全新的攻击手法,这些真实的运营数据,对于指标设计以及指标权重、风险等级等属性设计,都有着重要的意义和价值。合规视角的指标设计除了上述攻防两个角度的设计参考之外,针对容器安全的验证指标设计还参考了等保、行业标准、各种国内外研究机构的规范要求等合规视角的能力要求。以等保为例,2023年7月1日,《网络安全等级保护容器安全要求》正式实施,标准对容器管理平台、计算节点、镜像仓库、容器实例、容器镜像等均提出了明确的安全防护要求。除了等保的标准之外,还包括信通院牵头发布的“云原生安全成熟度标准”、CSA大中华区牵头发布的“云原生安全技术规范”等国内的标准规范,以及OWASP、CNCF等国际组织发布的安全要求。值得一提的是,这些国内的标准规范腾讯都是深度的参与编写单位,对于规范的内容要求有着深刻的认知和理解。结合上述三个维度的内容输入,我们设计了针对容器安全的验证指标体系。其中包括了集群安全、运行时安全、网络安全与镜像安全四个一级验证指标项,容器逃逸检测、挖矿木马检测等40余个二级指标项。验证场景涵盖了IPDRR全生命周期的安全能力,指标示例如下图所示。验证指标示例容器安全验证实践云原生安全测试平台2022年6月召开的云原生产业大会上,由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。会上,中国信通院还联合腾讯安全云鼎实验室发布了“云原生安全测试平台”。该平台是国内首个云原生安全的测试验证平台,由腾讯安全云鼎实验室承担总体架构设计,联合云原生安全实验室的多家单位和企业共同研发,由中国信通院运营,匹配落地云原生安全多项标准,对国内云原生产业生态提供开放性的安全测试基准,将在很大程度上推动云原生环境安全性的判断、云原生相关安全能力的确认、以及云原生安全建设的有效性,解决云原生用户的选型困境及在云原生安全产品上遇到的燃眉之急。腾讯安全验证服务除了社区和产业的合作之外,结合前文介绍的各项验证指标体系设计,在腾讯安全验证服务中,发布了针对容器环境的安全验证度量方案。实现了每个指标下的所有可以使用的攻击手法,形成了验证剧本。用户可以选择具体的验证剧本,对容器安全针对特定攻击的防御能力进行验证。以容器逃逸的验证为例,容器逃逸场景是容器业务面临最多的攻击之一,因此,对容器逃逸攻击的防御能力验证是许多业务方的核心关注点。这里我们对如何实现容器逃逸场景的验证度量进行说明。常见的导致容器逃逸的原因可以简单的划分为两类:● 配置不当导致的容器逃逸:不当的Capabilities权限分配、敏感目录的不安全挂载、以及docker.sock的错误挂载等;● 漏洞相关的容器逃逸:涵盖了内核漏洞(如著名的“脏牛”漏洞)和容器软件漏洞(例如runc漏洞)等;针对每一种可以实现逃逸的攻击方法,我们编写了相应的攻击剧本,这些剧本详细定义了在特定类型的节点上执行的逃逸操作。然后就是验证针对容器逃逸的检测能力,这里既可以选择特定的剧本(特定的逃逸手段)进行验证,也可以根据产品内置的容器逃逸验证场景,对所有的可以造成容器逃逸的攻击手段进行验证。选择好验证场景和剧本后,就是对验证任务进行设计和编排,这个例子中只需要选择期望执行验证的攻击代理即可。这样,一个针对容器逃逸防御能力的验证就完成了。为了实现持续的防御能力验证,我们可以将上述验证任务配置成周期执行。总结基于容器技术的云原生架构,越来越多的在企业进行落地,容器的安全保障越来越得到了重视。在容器安全建设的基础上,需要进行安全防御的验证度量,确保安全体系持续有效。容器技术以及云原生相关的技术仍在不断的发展和演进,暴露出来的安全风险和攻击手段也在不断增多,安全验证度量的指标体系以及场景剧本的内容,也需要不断的进行迭代完善,确保业务安全的进行云原生升级。关于安全验证服务(BAS)腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安???服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。END更多精彩内容点击下方扫码关注哦~ 云鼎实验室视频号 一分钟走进趣味科技 -扫码关注我们-关注云鼎实验室,获取更多安全情报...
安全验证 | 容器安全的验证度量实践
about 1 year ago
原创 云鼎实验室 2024-05-06 17:18 广东 摘要容器安全作为云原生安全的重要组成部分,为用户业务的云原生落地提供了重要的安全保障。但是由于云原生架构和云原生应用的复杂性,以及不同厂商的容器安全产品在能力上的参差不齐,相应的安全防御能力是否达到了实际的防护效果,这是在运营中面临的重要挑战。本文将结合腾讯云在容器安全的运营实践,分析介绍如何通过安全验证度量,从攻击者视角持续发现防御的弱点,提升防御水平,实现云原生架构下的高质量安全运营。为什么对容器安全进行安全验证业务全面拥抱云原生,安全责任重大近年来,云原生架构的采纳率大幅攀升,据中国信通院在2023年底发布的针对国内用户的研究报告显示,90%以上的用户已经使用或者计划使用容器技术,50.71%的用户已经将容器技术应用于核心生产环境,27.5%的用户已将容器技术用于次核心生产环境。以腾讯为例,早在2022年6月就已经实现了内部海量自研业务的全面上云,包括微信、王者荣耀、腾讯会议等,达到了数千万核的上云规模,建设并维护着国内最大规模的Kubernetes集群,打造了国内最大规模的云原生实践。而作为腾讯云安全的运营方,面对容器化基础设施覆盖度极高,承载业务量极大,如此大规模容器集群安全性的防御,其重要性极高,一旦发生安全事件,将影响巨大。因此务必要确保事前、事中、事后各项安全措施全面、有效的发挥作用。容器安全的运营难度高、挑战大安全运营本身就是一个系统且复杂的问题,而容器安全的运营给运营者更是带来了新的挑战。因此,在做容器安全的运营时,最常见的一个问题就是,安全产品会检出成千上万个安全风险,那这些风险全部都需要修复吗?如果资产规模较小还有可能,但是像腾讯这种,面对数千万核的集群、千万量级的容器镜像,如果把安全产品检出的所有风险全部逐一修复,那几乎是不现实的。实际情况就是只能修一部分,那修的这些风险够不够,没有修的是不是就一定不会被利用,如果被利用了,安全能力能不能防御住。这些都是在安全运营过程中遇到的难以确定的问题。以1月底的runc CVE-2024-21626漏洞为例,从官方纰漏的信息来看该漏洞几乎影响了runc所有的发行版本,而runc作为容器环境的基础组件,几乎所有的集群节点均受影响,影响???围非常的广。但是这种基础组件对于存量集群来说,升级起来难度较大。根据对该漏洞的研判发现,漏洞的利用需要一定的前提条件,比如对内核版本有一定要求、对业务镜像有一定要求。在这种情况下完成了应急修复后,怎么来评价我们的系统是否还存在风险,这时就需要进行安全验证,我们第一时间上线了针对该漏洞的安全验证,高效的辅助运营完成了漏洞的应急处置。像这种例子,在容器安全的运营中,非常常见,单runc组件近年来就纰漏多个高危以上的漏洞。安全厂商能力参差不齐,产品边界不清晰云原生架构的落地规模持续增长,叠加带来的安全需求也在不断增长,因此,对应的容器安全以及云原生安全产品也快速的涌现。容器安全在最近的五六年发展时间里,几乎所有的传统综合性安全厂商、云厂商、创业公司纷纷推出了自己的容器安全产品,或者是云原生安全产品。Gartner、IDC、安全牛、数世咨询等国内外咨询机构报告的厂商就有十多家,实际上可选的产品将有几十种。除了专有的容器安全产品,传统的主机安全产品、云安全产品、甚至云厂商会在一定程度上实现云的内生安全。尽管经过了几年的发展,但是容器安全还是一个相对较新的赛道,各家厂商对容器安全的认知、定义不可避免的存在差异,因此产品边界、能力边界,能力水平相差也较大。对于甲方用户来说,如何在各种琳琅满目的产品中进行选择,实现相对完善的防御体系建设,是一件困难的事。用户不可避免会产生能力是否够用、是否有用的顾虑。综合上述几点内容,我们结合腾讯自身的安全运营痛点,建设并实践了基于攻击模拟技术(BAS)的安全验证平台,尤其是针对容器环境进行安全有效性的验证度量,从攻击者视角,模拟真实的攻击,确保整个容器环境的安全可靠。容器安全度量体系要想对容器安全的防御体系进行验证度量,那么首先要做的就是要制定全面和合理的验证度量指标,确保验证度量的完整性与合理性。在度量指标的设计上,主要参考以下几个维度的内容进行设计:(1)ATT&CK攻防矩阵框架;(2)腾讯蓝军实践经验以及安全研究成果;(3)腾讯容器安全相关产品能力;(4)腾讯容器安全运营实践;(5)标准、技术要求等行业规范。攻击者视角下的指标设计首先就是从攻击者视角下,确定容器安全的度量指标,要尽可能的覆盖到所有可能被使用的攻击手段。云鼎实验室在2021年发布了“云安全攻防矩阵”(https://cloudsec.tencent.com/home/),到现在已经迭代更新到了3.0版本,矩阵覆盖了从初始访问到攻击影响的全部9个阶段,其中明确指出了针对容器环境的攻击技术战术内容,几乎覆盖了所有容器环境下的攻击手段。针对容器安全的度量指标,覆盖了矩阵中所有的容器安全相关的技战术内容,可以从各个攻击阶段的维度,对容器安全进行验证度量。除此之外,从攻击视角看,还会结合腾讯蓝军在历次的内外部红蓝演练中,面向容器环境沉淀的攻击手法与技巧。这些实践经验,一方面会对矩阵的技战法做有效的补充,同时可以从实践的维度,对各个指标从可利用难易度的角度,进行更真实的风险等级划分,使得验证指标有着更好的完整度和可运营、可执行性。防守者视角下的指标设计除了从攻击视角外,另一方面就是从防守者视角,围绕各项容器安全相关的产品能力,进行度量指标的设计,从而确保相关能力全部发挥了作用。(1)腾讯在内部的容器安全能力建设上,自研了容器安全产品能力,对于容器安全相关的能力要求以及原理、安全规则等,有着深入的理解和认知,这些都会作为度量指标的设计参考,以及验证剧本的指导性输入。有了产品能力的基础,在一定程度上,验证指标和验证剧本的设计就是类似白盒测试一样,更具有针对性。(2)数千万核规模的容器集群安全运营经验,同样是我们度量指标设计的一个重要参考。在运营过程中,我们逐步积累了各种风险出现的频率、积累了各种安全事件的攻击手法。高频率的风险、高频率的事件、全新的攻击手法,这些真实的运营数据,对于指标设计以及指标权重、风险等级等属性设计,都有着重要的意义和价值。合规视角的指标设计除了上述攻防两个角度的设计参考之外,针对容器安全的验证指标设计还参考了等保、行业标准、各种国内外研究机构的规范要求等合规视角的能力要求。以等保为例,2023年7月1日,《网络安全等级保护容器安全要求》正式实施,标准对容器管理平台、计算节点、镜像仓库、容器实例、容器镜像等均提出了明确的安全防护要求。除了等保的标准之外,还包括信通院牵头发布的“云原生安全成熟度标准”、CSA大中华区牵头发布的“云原生安全技术规范”等国内的标准规范,以及OWASP、CNCF等国际组织发布的安全要求。值得一提的是,这些国内的标准规范腾讯都是深度的参与编写单位,对于规范的内容要求有着深刻的认知和理解。结合上述三个维度的内容输入,我们设计了针对容器安全的验证指标体系。其中包括了集群安全、运行时安全、网络安全与镜像安全四个一级验证指标项,容器逃逸检测、挖矿木马检测等40余个二级指标项。验证场景涵盖了IPDRR全生命周期的安全能力,指标示例如下图所示。验证指标示例容器安全验证实践云原生安全测试平台2022年6月召开的云原生产业大会上,由中国信通院联合腾讯云、清华大学共同发起成立了云原生安全实验室。会上,中国信通院还联合腾讯安全云鼎实验室发布了“云原生安全测试平台”。该平台是国内首个云原生安全的测试验证平台,由腾讯安全云鼎实验室承担总体架构设计,联合云原生安全实验室的多家单位和企业共同研发,由中国信通院运营,匹配落地云原生安全多项标准,对国内云原生产业生态提供开放性的安全测试基准,将在很大程度上推动云原生环境安全性的判断、云原生相关安全能力的确认、以及云原生安全建设的有效性,解决云原生用户的选型困境及在云原生安全产品上遇到的燃眉之急。腾讯安全验证服务除了社区和产业的合作之外,结合前文介绍的各项验证指标体系设计,在腾讯安全验证服务中,发布了针对容器环境的安全验证度量方案。实现了每个指标下的所有可以使用的攻击手法,形成了验证剧本。用户可以选择具体的验证剧本,对容器安全针对特定攻击的防御能力进行验证。以容器逃逸的验证为例,容器逃逸场景是容器业务面临最多的攻击之一,因此,对容器逃逸攻击的防御能力验证是许多业务方的核心关注点。这里我们对如何实现容器逃逸场景的验证度量进行说明。常见的导致容器逃逸的原因可以简单的划分为两类:● 配置不当导致的容器逃逸:不当的Capabilities权限分配、敏感目录的不安全挂载、以及docker.sock的错误挂载等;● 漏洞相关的容器逃逸:涵盖了内核漏洞(如著名的“脏牛”漏洞)和容器软件漏洞(例如runc漏洞)等;针对每一种可以实现逃逸的攻击方法,我们编写了相应的攻击剧本,这些剧本详细定义了在特定类型的节点上执行的逃逸操作。然后就是验证针对容器逃逸的检测能力,这里既可以选择特定的剧本(特定的逃逸手段)进行验证,也可以根据产品内置的容器逃逸验证场景,对所有的可以造成容器逃逸的攻击手段进行验证。选择好验证场景和剧本后,就是对验证任务进行设计和编排,这个例子中只需要选择期望执行验证的攻击代理即可。这样,一个针对容器逃逸防御能力的验证就完成了。为了实现持续的防御能力验证,我们可以将上述验证任务配置成周期执行。总结基于容器技术的云原生架构,越来越多的在企业进行落地,容器的安全保障越来越得到了重视。在容器安全建设的基础上,需要进行安全防御的验证度量,确保安全体系持续有效。容器技术以及云原生相关的技术仍在不断的发展和演进,暴露出来的安全风险和攻击手段也在不断增多,安全验证度量的指标体系以及场景剧本的内容,也需要不断的进行迭代完善,确保业务安全的进行云原生升级。关于安全验证服务(BAS)腾讯安全验证服务(BAS)提供自动化的安全防御有效性验证,是腾讯安全服务体系里的一项关键能力。能够帮助企业持续评估安全防御体系,发现防御弱点,优化策略配置,规划安全投入,提升安全水位。目前已服务金融、交通、制造、互联网等多个行业用户。更多内容,可点击链接了解详情:https://cloud.tencent.com/product/bas。END更多精彩内容点击下方扫码关注哦~ 云鼎实验室视频号 一分钟走进趣味科技 -扫码关注我们-关注云鼎实验室,获取更多安全情报
每周云安全资讯-2023年第43周
about 1 year ago
2023-10-22 19:00 广东 一站跟进国内外最新云安全热点资讯~ 1发现针对 Telegram、AWS 和阿里云用户的供应链攻击网络安全公司 Checkmarx 发现了新一波利用流行通信和电子商务平台中的漏洞进行的供应链攻击。目标平台包括 Telegram、阿里云和 AWS。https://cloudsec.tencent.com/article/oLcbe2KubeHound:识别 Kubernetes...
每周云安全资讯-2023年第42周
about 1 year ago
2023-10-15 19:01 广东 一站跟进国内外最新云安全热点资讯~ 1KubeHound:识别 Kubernetes 集群中的攻击路径KubeHound是一个用于可视化的 Kubernetes 攻击路径的工具包,此项目的目标是将Kubernetes安全思维模型从基于列表的思维转变为基于图的思维。https://cloudsec.tencent.com/article/1zGLUv2容器管理服务任意目录创建漏洞(CVE-2023-36723)PoC本项目提供了容器管理器服务中的任意目录创建错误漏洞(CVE-2023-36723)PoC。https://cloudsec.tencent.com/article/20zrFR3研究人员发现了 14 个恶意 npm...
每周云安全资讯-2023年第44周
about 1 year ago
2023-10-29 19:00 广东 一站跟进国内外最新云安全热点资讯~ 1Okta业务系统被黑导致客户遭入侵,公司股价暴跌11%国际身份软件巨头Okta的客户支持系统被黑,导致客户上传的Cookie和会话令牌等敏感数据泄露。目前已知ByondTrust、Cloudflare两家公司受影响。https://cloudsec.tencent.com/article/35hToz2Kubernetes控制器ingress-nginx存在代码注入漏洞(CVE-2023-5044)Ingress-nginx 中发现了一个安全问题,可用于注入任意命令,并可获取入口 nginx 控制器的凭据。在默认配置中,该凭据有权访问群集中的所有凭据。https://cloudsec.tencent.com/article/3kAv6L3研究人员发布VMware (CVE-2023-34051) POC 漏洞利用代码CVE-2023-34051是 VMware...
每周云安全资讯-2023年第46周
about 1 year ago
2023-11-12 19:00 广东 一站跟进国内外最新云安全热点资讯~ 1容器镜像仓库泄露风险分析本文主要对公共镜像仓库Docker Hub、私有镜像仓库Harbor、Docker Registry的数据泄露风险进行了分析,并揭示容器镜像仓库泄露的风险。https://cloudsec.tencent.com/article/2A5qVx2Whoami - 从密钥中获取主体名本文介绍了一种利用AWS云凭据获取账户主体名称的方法,相比与get-caller-identity接口,此种方法可以绕过cloudtrail的监控。https://cloudsec.tencent.com/article/42kDb93BlackCat开始用一种新策略实施攻击在最新发现的样本中,Unit 42研究人员获???了一个独特的Munchkin样本,它加载在自定义的Alpine虚拟机(VM)中。这种利用自定义虚拟机来部署恶意软件的新策略在最近几个月得到了越来越多的应用,允许勒索软件攻击者使用虚拟机来绕过部署恶意软件有效负载的安全解决方案。https://cloudsec.tencent.com/article/2ENNBC4漏洞利用 Kubernetes ingress-nginx...