李骁 aka 与非 ? bilibili - 基础安全建设 ? PINGAN Tech - 移动安全/SOC产品建设 ? Ctrip - 安全架构/反爬虫 基础安全scope ? 网络区域 1. 办公/职场 2. IDC(自建/租借) 3. 公有云 ? 技术领域 1. 终端安全(PC/Server) 2. 系统/中间件安全 3. 网络安全 4. 数据安全 ? 聚焦工作 1. 安全产品研发/运营 2. 应急响应 3. 专项治理 4. 红蓝对抗 ? 负责产品 1. 办公终端:网络准入、防病毒 2. 服务器:HIDS、蜜罐、容器安全、漏扫 3. 网络:IDS、WAF 概要 ? 0x01. 企业面临的变局与乱局 一. 变局:业务快速变化 二. 变局:技术更新迭代 三. 乱局:攻击从未停歇 ? 0x02. 基础安全建设历程 一.安全基线 二.安全产品 三.感知左移 四.红蓝对抗 ? 0x03. 思考与展望 0x01. 企业面临的变局与乱局 变局:业务快速变化 1.30 1.72 1.72 1.97 2.02 0 0.7 1.4 2.1 2.8 2019Q4 2020Q1 2020Q2 2020Q3 2020Q4 月活用户(亿) ? 用户量增长 ? 新的组织架构 / 业务部分 / 收购公司 ? 大潮退去,不再迭代也不下线的业务 ? 出海业务,合规、技术挑战 变局:技术更新迭代 ? 业务快速变化 -> 技术革新 -> 颠覆固有安全策略 ? 提升服务器利用率,推行容器化 HIDS不香了:如何监控容器内部行为? 传统的防火墙ACL怎么管理? ? 资源节省,推行gRPC(电池/流量/带宽/高性能) nginx -> envoy 基于 lua-nginx-module / Openresty 的WAF完全废弃 考虑故障降级到1.X的方案 ? 新的异地职场、疫情影响下的居家办公 VPN -> Zero Trust 员工体验优化、安全验证策略的挑战 乱局:攻击从未停歇 ? BORG —— 一个快速进化的僵尸网络 ? 2020年12月28日,腾讯宙斯盾首次捕获了该僵尸网络针对Docker的攻击 ? 利用kubelet API未授权访问RCE,具备内网扫描、传播能力 ? 2021年1月统计算力23KH/s,相当于1300+台i5 2300机器的挖矿算力 ? 2021年3月统计算力96KH/s,相当于5400+台i5 2300机器的挖矿算力 ? 2个月,4倍增长