RSAC 2024观察：云安全左移还是右移？

本文4418****字   阅读约需 12****分钟

RSAC2024上，基于AI安全的相关产品和服务成为网络安全创新的新趋势。纵观近几年RSAC大会创新沙盒十强，除了AI安全，云安全也一直是创新热点，2023RSAC创新沙盒十强中，有五家产品和云安全相关，2024RSAC创新沙盒十强中，也有四家产品和云安全相关。

2024RSAC云安全仍然处于最前沿，特别是强调云原生应用保护平台（CNAPP）。如果说2023RSAC云安全的创新方向主要聚焦在开发安全，包括供应链安全方面；2024年RSAC云安全创新方向则主要聚焦在运行时安全方向，尤其是云原生环境下的运行时安全。随着企业越来越多地采用云原生技术，以云为中心的安全防御变得前所未有的重要。

一、云安全相关创新方向受关注的原因

为什么云安全相关创新方向如此受关注和热捧呢？一方面是因为随着数字经济的加速发展，云已经成为关键基础设施，针对云的攻击手段和数量也越来越多；同时云原生相关技术的出现，也给安全管理和安全运营带来极大挑战。

（1）容器不可变基础设施特性导致业务必须从代码源头修复，漏洞修复代价高。传统环境或者非容器环境下，运行时环境如果被扫描出漏洞，可以通过打临时补丁或者热补丁进行线上即时修复，而容器环境下因为容器的不可变基础设施特性，即容器总是根据自己的镜像重建，导致临时补丁失效，需要业务先修复代码再重新构建新的容器镜像进行更新，也就是需要全部走一遍完整的开发部署流程，导致漏洞修复代价高，周期长，业务风险变高。

（2）IaC等技术的出现导致业务负责的范围变大，相应的安全责任也变大，业务的整体工作量剧增。传统环境或者非云环境下，业务代码只包含自定义代码、API和开源组件等，用到的安全工具也只有SAST/DAST、SCA和API安全工具等，而IaC技术和容器技术的出现，业务代码会增加基础设施代码，同时制品增加容器镜像，需要用到的安全工具相应增加IaC扫描工具、镜像扫描工具以及CSPM等配置扫描工具。业务在代码开发工作量增加的同时，新安全工具带来的工作量也剧增，同时业务的安全责任也变得更大。

（3）云原生分层架构导致攻击面增大，相应安全工具增多，安全工具运维和运营工作量大。云原生架构和微服务架构的出现，虽然解决了数字经济时代大型软件或者复杂软件的弹性和可扩展性问题，但也带来了新的暴露面。其中，云原生基础设施带来了新的云安全配置风险，容器化部署带来了容器逃逸的运行时新风险，而应用微服务的细粒度切分导致API风险剧增。这些新的风险都需要新的安全工具来解决，让本身繁重的安全运维和运营工作雪上加霜。

（4）云原生业务敏捷开发效率和现有安全运营效率严重不匹配，漏洞修不完，告警处置不完。随着DevOps开发流程和基于云的应用开发模式完美契合，应用开发效率得到了极大的提升。但因为容器技术和IaC等云原生技术的出现，不管是开发阶段，还是运行时阶段，均增加了大量新的安全工具，而这些不同的安全工具在使用的过程中会扫描出大量的安全漏洞或者告警。如果这些漏洞和告警都需要修复和处理，将极大的拖慢业务的开发速度，导致业务部门和安全部门的摩擦进一步增加，业务价值的快速变现和业务安全无法平衡。

除了上面这些难题，基于多云或混合云的应用部署模式正变得越来越普遍，安全的统一管理和防护也变得越发困难，迫切需要安全企业开发创新的方法或者技术来解决这些问题。

二、云安全技术创新三大方向

从RSAC 2024看，云安全创新的方法或者技术主要聚焦在以下方向：

（1）聚焦安全左移：安全左移概念很早就被提出，并不是云原生时代特有的，但因为容器不可变基础设施特性导致业务必须从代码源头修复，漏洞修复代价高，因此安全左移被越发重视。安全左移的目标是为了保障业务尽可能安全的上线，因此要求上线前发现所有的安全问题并修复问题。为了实现这一目标，诞生了各种白盒、灰盒和黑盒安全工具，例如各种SAST、SCA、DAST、IAST以及Fuzz测试工具。除了这些安全工具外，因为IaC和容器等技术的出现，也出现了IaC扫描、镜像安全、CI/CD管道安全等工具。这些安全工具都能帮助检测或者发现应用在开发阶段中的安全问题，包括漏洞、配置、协议和弱口令等脆弱性风险，但因为扫描或者检测技术的不同，工具的误报率或者准确率有区别。现有安全企业的创新方向是在尽可能的发现更多风险的前提下降低误报率，例如使用AI技术或者机器学习技术来提升代码安全的识别能力。除了单个工具自身的误报率和精准率的问题，多个安全工具一起使用扫描出的风险太多导致修复工作量大的问题也非常突出。工具越多，扫描出的风险越多，评估和修复的工作量越大，越影响业务发布上线的速度，但是如果减少工具，虽然扫描出的风险变少了，但是漏报的风险也高，和安全左移的目标不符。为了解决多个安全工具扫描出的风险怎么统一评估和修复的问题，ASPM（应用程序安全态势管理）就成为大家越来越关注的创新方向和解决方案。ASPM 工具通过收集、分析整个软件生命周期中的安全问题并确定其优先级，持续管理应用程序风险。他们从多个来源获取数据，关联并分析结果，以便于解释、分类和补救。它们支持安全策略的实施并促进安全问题的修复，同时提供整个应用程序风险的全面视图。

（2）聚焦安全右移：随着云成为新的基础设施，针对云的攻击正变得越来越多，攻击手法也越来越复杂，为此MITRE开发了针对云的ATT&CK攻击矩阵，帮助企业安全人员分析黑客攻击所使用的技战术，如下图所示。为了检测和防护这些针对云的攻击，相关的安全工具被开发出来，例如CWPP产品能覆盖云上工作负载的安全防护，包含主机、容器和Serverless等工作负载，CSPM/KSPM工具用于检测云原生基础设施的配置风险，CIEM工具用于检测云上用户权限的配置风险。

同时，伴随应用微服务架构的大量普及，云上API安全和数据问题越发突出，针对云上API安全防护和数据安全防护的产品也越来越多。另外针对云内特有的东西向攻击风险，基于云内全流量采集和威胁检测技术的NDR和XDR产品也应运而生。和安全左移一样，安全右移也面临风险过多无法及时评估和修复的问题，例如通过CWPP和网络漏扫设备都可以扫描出漏洞，但是漏洞太多，漏洞修复的优先级就变成一个亟待解决的问题，为此VPT相关技术和产品就成为一个热门创新方向。除了漏洞修复优先级问题，运行时告警降噪的能力也是云原生安全运营一直追求的方向，伴随AI技术的辅助加持，通过AI驱动告警研判和处置，提升安全运营效率就成为当前最热门的创新方向。

为了满足用户对云数据泄露的快速响应与检测需求，在RSAC期间，安全厂商展示丰富的云安全态势评估和检测工具，专注于广泛的多云检测和响应。

其中，Palo Alto Networks 的安全运营平台 Cortex XSIAM引入了云检测和响应 (CDR) 功能，提供云资产、事件、覆盖范围和漏洞的可见性，并与 Prisma  Cloud 集成以增强事件分组和导航。借助 XSIAM 提供的统一用户界面，安全分析师可以高效、有效地响应基于云的威胁，增强态势感知并增强整体安全态势。CrowdStrike推出新的云检测和响应 (CDR) 功能，将行业领先的托管威胁狩猎与跨云、身份和端点的可视性统一起来，以加快对每个阶段云攻击检测以及响应速度。

专注于云原生异常检测和响应创新解决方案的RAD Security跻身创新沙盒10强。该公司提供实时 Kubernetes 安全态势管理 (KSPM)工具，云原生身份威胁检测和响应、基于eBPF技术的云原生工作负载指纹。

（3）聚焦全生命周期安全：安全左移是为了让应用尽可能安全的上线，而安全右移是为了尽可能检测和防护运行时攻击，那这两者有没有什么关联呢？首先，运行时攻击利用的主要是应用和基础设施本身的脆弱性，而这些脆弱性本身是开发阶段引入的，如果开发阶段能提前发现和修复这些风险，运行时就不存在这些攻击路径。其次，运行时发现的风险问题必须经过新的开发阶段才能彻底修复，因此两者是有很强关联关系的。那有没有办法把安全左移和安全右移结合起来提升整体安全效果和运营效率呢？答案是有的。例如在开发阶段，大量安全工具的使用导致漏洞修复的优先级评估一直是一个难题，这时候可以结合安全右移阶段发现的应用风险暴露面或者攻击面拓扑来帮助评估漏洞的影响范围。而在运行时阶段，可以结合安全左移阶段积累的应用制品资产库和制品风险库，帮助安全运营人员迅速定位风险引入的位置和责任人，从而快速推动风险的彻底修复。为了实现这一目标，需要使用创新的设计方法来整合安全左移和安全右移，因此CNAPP平台产品应运而生。按照Gartner的定义，云原生应用程序保护平台 (CNAPP) 是一组统一且紧密集成的安全性和合规性功能，旨在跨开发和生产保护云原生应用程序。CNAPP 产品将多种不同的安全和保护功能整合到一个平台中，最重要的是，该平台能够跨现代云原生应用程序极其复杂的逻辑边界识别、确定优先级、实现协作并帮助修复过度风险。CNAPP平台的核心设计思想是以应用为中心，基于应用上下文的统一安全视角，覆盖应用全生命周期，包括资产管理、风险评估和告警处置，让应用安全可观测。

SentinelOne在RSAC期间宣布推出Singularity 云原生安全(CNS) ——无代理云原生应用保护平台 (CNAPP)，以帮助云团队、开发人员和安全专业人员减少云和容器攻击面。

奇安信云原生应用安全保护管理平台（CNAPP）则获得国际领先信息安全媒体CDM《网络防御杂志》的先锋产品奖。平台针对云原生带来的安全挑战，以云原生应用为核心保护目标，提供覆盖整个云原生架构以及云原生应用的全生命周期的完整保护。

2024RSAC大会虽已落幕，但围绕安全左移、安全右移和应用全生命周期安全相关的创新热点讨论仍在继续。对于大部分创业安全公司来说，围绕安全左移或者安全右移其中的一个点进行创新将成为主流，而对于大的网络安全厂商而言，聚焦应用全生命周期安全，通过集成、整合自有以及生态合作产品，推出CNAPP平台将成为主流。

奇安信作为一家为客户提供综合安全解决方案的网络安全领先厂商，除了为客户提供覆盖从安全左移到安全右移的各种单项安全能力之外，更是在国内率先推出并落地了CNAPP平台产品。奇安信CNAPP平台包括三大核心能力，一是代码到云的应用资产拓扑，以云原生应用为中心，提供全生命周期的应用资产拓扑和关联关系，从而全方位掌握保护对象和暴露面。二是提供统一的风险评估，通过整合各安全扫描工具风险数据，统一进行风险评估，提供漏洞修复优先级，从而提升应用上线评估和日常运营的效率。三是代码到云的攻击路径溯源，通过绘制应用代码到云的漏洞\威胁攻击路径，提供影响范围和攻击证据，打通开发态和运行态的风险关联，使安全左移可落地。

  关 于 作 者  

鲍坤夫 虎符智库特约专家、奇安信集团云安全研发总监

END