10 月 24 日,由腾讯平安云鼎实验室联结 GeekPwn 发动的第二届云平安较量在上海落下帷幕,包含 Nu1L、r3kapig、NeSE、0ops、天枢 Dubhe 等 7 支国内顶级平安战队,通过 8 小时的强烈云端攻防反抗后,Emoji 战队最终怀才不遇,凭借 10209.7 的惟一一个过万积分,夺得本届云靶场挑战赛一等奖,NeSe 战队和 0ops 战队分获二、三名。
本届云平安较量蕴含“云靶场挑战赛”和“云平安凋谢赛”两大赛事,连续首届基于全栈实在云环境的赛事特点,继续为宽广平安研究者和从业人员提供实在的云环境靶场,让选手们体验到了实在的云上攻防。同时,作为搭建实在云环境的赛事组织者,腾讯平安云鼎实验室也通过搭建模仿环境和安排赛题,再一次验证了腾讯云平台的安全性,为进一步打造“平安的产业云”积攒了技术教训。
基于云端平安实际和前沿畛域的摸索,腾讯平安云鼎实验室还在现场公布了《2021 云平安九大趋势》,为新基建下的云平安建设提供前瞻性指引。
赛制翻新降级
寰球顶尖 CTF 好手遇上实在云端环境
本届云平安较量在因循首届全栈实在云环境特点根底上,进一步翻新赛制,引入了经典的 CTF 模式。
腾讯云平安副总经理李滨示意:“去年咱们所有的较量都是在实在的云环境中能够真刀实枪地用的。然而咱们发现,有宽泛的 CTF 的选手不足在这个场景中的教训,所以往年咱们 采取了两者联合的模式,既能够让 CTF 选手施展他们的专长进行进行破解和钻研,同时也让实在场景中的一些极客体现出他们的能力。”
相比去年,往年的赛题和“云”之间的联合更为严密,云鼎实验室将一线攻防实际中的教训引入赛题,同时减少实时反抗环节。这象征 7 支战队不仅要破解基于实在云环境设置的层层关卡,还要互为攻守单方一较高下。
较量赛题由战队赛题和云环境赛题组成,其中战队赛题得分由出题评分和攻防评分组成,攻防评分更是采纳强烈的“零和游戏”计分规定进行计分,真正将云端的攻和防演出到极致。较量最终战绩以战队出题、解题赛题、云环境赛题各环节得分的高下进行综合排名,评定获奖名次,更加考验选手们解决云上平安问题的综合能力。
冠军 Emoji 战队的夺冠之路堪称黑马。作为初赛压线进入决赛的队伍,顶着倒数的压力。最终,Emoji 战队演绎了一场完满逆袭,累计进行了 198 次攻打,并且解开 3 道赛题,不仅是惟一一个得分过万的队伍,也是 7 支队伍中解题数量最多的队伍。尽管较量过程中的排名偶有更替,但 Emoji 仍然将劣势放弃到最初,以 10209.7 的高分取得第一名。
强烈的赛事过程与本次赛事设置的实在云环境关系密切,据腾讯云平安总经理董志强介绍,将来,腾讯平安云鼎实验室将继续打造一个长期凋谢的云上靶场,所有的平安研究者在身份进行验证之后都能够在基于实在云环境的靶场上进行攻防钻研以及平安测试。
公布云平安九大趋势
提供新基建下云端平安建设指南
寰球顶尖极客带来强烈云端攻防的同时,腾讯平安云鼎实验室也在本次大赛上带来了新的研究成果。
腾讯云平安副总经理李滨基于腾讯云平安建设的实际和云鼎实验室的前沿钻研,公布了《2021 云平安九大趋势》,致力于摸索新基建疾速倒退之下,技术疾速迭代、法律法规相继出台,云平安建设面临的全新挑战,为企业云上平安建设和云平安技术倒退方向提供新指南。
九大趋势涵盖了 云原生平安,零信赖及身份认证,数据安全及合规,软硬件供应链平安 等几大行业宽泛关注的畛域。
云原生平安无疑是九大趋势中的高频词。随同着产业上云的速度、广度、深度一直增长,云原生具备的开箱即用、弹性、自适应、全生命周期防护等显著劣势,让企业平安防护提质增效。IDC 在往年 5 月公布的《2020 年中国云计算市场十大预测》指出,到 2022 年,60% 的中国 500 强企业将投资于云原生利用和平台的自动化、编排和开发生命周期治理。
但云原生平安这一近年来爆红的理念间隔真正普惠千行百业依然有着不短的路要走,趋势指出,云原生概念逐步成熟,以容器、微服务、API 等技术为代表的利用逐渐落地,生态开始健全。但云原生体系中平安人造缺位,容器平安问题频出,云原生组件平安性能广泛缺失,云原生的平安架构和技术亟待倒退。
云原生平安在脱虚向实的过程中还将激发更多技术畛域迎来变革。容器和 Serverless 技术的衰亡把平安反抗带入毫秒级时代,导致传统平安模型和反抗形式生效,宏观宏观联合的继续反抗、规模反抗、毫秒级反抗成为新发展趋势;同时,云原生也让以平安左移、内嵌、自动化为标记的 DevSecOps 理念及产品逐步落地利用。
除此之外,在数据安全这一企业最为关注的焦点畛域,腾讯平安云鼎实验室总结了企业分外须要关注的内外两大风向。外部须要联合数据这一生产因素在当下的价值,促成以网络为核心的平安体系(Net-Centric Security)逐步进化为以数据为核心的平安体系(Data-Centric Security),从而更好地保障数据全生命周期的平安;内部则要留神法律合规,各国家地区数据安全和个人信息爱护法规逐步清晰,而国内《网络安全法》《明码法》《数据安全法》(草)《个人信息保护法》(草)及配套规范逐步落地,数据安全和个人信息爱护面临新法规、新规范、新局势,带来新的问题和解决方案,数据合规由此将进入新时代。
在身份认证这个热门畛域,腾讯平安云鼎实验室详解了零信赖、多云治理以及新身份认证技术等细分技术的趋势与痛点。
将来,腾讯平安还将与生态社区和合作伙伴一起合作,钻研构建系统化的云平安攻防模型,并凋谢云攻防靶场,推动产业、钻研机构和平安爱好者对于云平安更加体系化和深刻的钻研与分析。
10 月 26 日,腾讯平安将联结 InfoQ 独特举办云平安趋势研讨会,会集腾讯云平安总经理董志强、腾讯云平安副总经理李滨、中国信息通信研究院云大所云计算部副主任陈屹力、数世征询创始人李少鹏以及普华永道中国区信息安全与隐衷爱护合伙人万彬等多方产业首领,共论云上平安发展趋势,10 月 26 日晚 7:30,腾讯云大学直播间,敬请期待。