cyberark · google, azure) •illusion gap –繞過防毒軟體偵測 •amsi bypass...
TRANSCRIPT
CYBERARK
#1 特權帳號安全的領導者
保護Fortune 100中超過50%大公司的特權存取
全球超過 3,650 家客戶
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
特權帳號:「進入IT 王國的鑰匙」
提供主動
保護和偵測
惡意内部人員外部攻擊者
特權帳號「進入IT 王國的鑰匙」
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
CYBERARK 破壞攻擊鏈
4
現有存取
外部突破
地端
混合
雲端
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
5
44%涉及大規模資料外洩的公司
轉向採用CyberArk
來源:IDG的 “Biggest breaches of the 21st Century”
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
CYBERARK LABS
• GhostHook – 繞過 PatchGuard
• BoundHook – 內核掛鉤的隱身功能
• WinDBG 分析工具 KDSnap –
VMware & VirtualBox
• Golden SAML – ADFS 服務 (AWS,
Google, Azure)
• Illusion Gap – 繞過防毒軟體偵測
• AMSI bypass – 繞過微軟PowerShell 防護
• 列舉 Google 帳號
• 繞過 Google 授權
尖端的研究,保持領先攻擊者一步
DEVOPS 與應用程式中的特權存取安全黃開印 (Kevin), 大中華區技術顧問
3/14/2018
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
當導入微服務, 應用架構就像碎塊一般
整塊 虛擬化 容器化 微服務
這些都需要存取「secrets 」與其他憑據, 有些生命週期非常短
增強: 敏捷度, 速度, 自動化, 自動化工具
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
DEVOPS原則讓業務更敏捷
9
自動化讓事事順心
這都與速度及交付軟體有關以持續改善的模式下進行
萬事皆是程式碼 協作與同步
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
10
DevOps/IT 變得高度自動化、敏捷而且使用很多工具
IaaS PaaSCM-as-Code 持續整合/持續交付 容器 / 容器協同
佈署 測量 ChatOps測試自動化
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
Cyberark 2018進階威脅報告指出:
但是…..DEVOPS管道可能不是安全的通道
11
• 75%的組織沒有針對DevOps
的特權號安全策略
• 只有不到一半的人表示DevOps和資安團隊持續合作
• 幾乎所有(99%)的資安專家和DevOps受訪者都未能確定所有特權帳號或secrets存在的地方
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
在不管理風險的情況下, 擁抱維運速度的組織會在其 IT 流程及其業務中暴露新的漏洞
當為了速度而與安全性妥協, 後果相當真實
資料外洩與
內部威脅
駭客 可存取
docker 註冊庫
, 其中包含完整
的Vine原始碼,
API 密鑰與
secrets
維運效率
開發人員 無意
中在韌體中包含對原始碼簽名用的金鑰
開發人員 在原
始程式碼中存儲
特權帳密和金鑰
內部人員 將金
鑰存儲在公共存儲
庫中。可用於破壞
包含個人資訊的資
料庫
威脅參與者獲得了 AWS 金
鑰的存取權, 然後
用於存取 AWS
API、資料庫以
及有關使用者、
應用程式和各種
金鑰的資訊。
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
DEVOPS 帶來更大的安全挑戰
必須保護管道!
• 未被監控的環境
• 大量的智慧財產權
• 強大的特權帳號
• 人員與程式碼經常對其存取、變更與修改!
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
• 於聊天/電子郵件中分享祕密資訊
• 將明碼的秘密存在本機與程式碼儲存庫中
• 在執行檔中寫死的秘密沒有定期更新或稽核
• 沒有控制使用者使用建構、測試工具主控台與基礎設施
• 沒有控制使用者存取artifact 儲存庫
• 上線的程式碼中寫死秘密資訊
• DevOps 用戶在生產環境有無限的權限
程式碼 建構與測試 組態設定, 發布
後果: 外洩的管理者帳密被用來存取其雲端資產
後果: 惡意程式碼被插入測試系統與建構流程中
後果: 不受控制/惡意地存取artifact 儲存去
後果: 危及機敏客戶資料與關鍵的應用系統
佈署
DEVOPS 帶來新的風險
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
引入新的威脅模型並放大可攻擊面
檢查
佈署
開發團隊, 工具 &
工具管理者
開發團隊開發者
開發團隊, 工具, 工具管理者 & 維運者
程式碼開發 原始碼
持續建構與單元測試
程式碼審查組態設定,
發布, 佈署
在分支上
提交
建構
測試
通過
核准
基礎設施
雲端應用平台
容器
App App
Bins / libs
容器
App App
Bins / libs
容器
App App
Bins / libs
雲端帳密在GitHub中無意中共用
惡意程式被插入測試系統
危及機敏客戶資料與關鍵的應用系統
IT 資源遭劫持
過時的程式庫開啟攻擊大門
外洩的管理者帳密被用來存取其雲端平台與工具
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
16
CI 流程範例: GITHUB、JENKINS & DOCKER
需要秘密資訊! 需要秘密資訊!需要秘密資訊!
需要秘密資訊!
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
安全憑據無意中外洩於公開領域
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
攻擊者找到新機會: 建構系統中的密鑰
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
身分管理內建的安全孤島帶來的挑戰
Puppet Hiera
Chef
Databags
Ansible Vault
安全孤島
AWS
IAM /KMS
Microsoft
Azure IAM /
KMS / KMS
Google Cloud
IAM / KMS
Docker
Secrets
Kubernetes
Secrets
OpenShift
Secrets
原生工具的秘密資訊管理解決方式:
產生「安全孤島」問題
• 每個工具提供特定、不同的解決方案
• 並非把安全掛在心上 – 只是秘密儲存地而已
• 沒有定期更新秘密
• 沒有稽核功能
• 有限的整合能力
• 沒有特權帳號安全的完整視野
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
最佳實踐是, 資安長與IT管理階層想要在不斷更新的基礎架構與應用環境有一致可強制落實的特權安全政策
資安長想要涵蓋企業廣度的特權安全政策
SaaS IaaS地端基礎架構與應用 DevOps 工具
在整個企業中貫徹執行的特權安全政策
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
分析工具
工業控制
身分認證
身分與存取管理
偵防
ITSM
DevOps
協同合作與事件回應
探索工具
機器人流程自動化
治理
SIEM
HSM
漏洞管理
密碼管理 連線管理
100+ 個經認證的資安聯防解決方案 200+ 個插件
70+ 家認證合作夥伴
C3 聯盟
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
DEVOPS 與應用程式中的特權存取安全解決方案
Application
Identity ManagerConjur
社群版Conjur
企業版
DevOps & Cloud
的秘密資訊管理
靜態環境的秘密資訊管理
CyberArk Privileged Account Security SolutionApplication Identity Manager
• 主要針對靜態環境
• 應用伺服器/工具類產品
• 與CyberArk 數位金庫整合
Conjur
• 專注於 DevOps
• 動態、短暫的
• 容器化環境
• 提供開源版本
• 與CyberArk 數位金庫整合
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
保護應用系統與DEVOPS
私有雲/公有雲
地端資料中心
AIM
數位金庫
特權帳號安全
CI/CD 工具容器管理應用伺服器/C3聯盟
AIM Conjur
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
CyberArk Conjur 是一個 DevOps 與雲端安全的解決方案
• 著重獨特的Secrets管理領域與DevOps管道的特權存取安全的挑戰
• 原生整合雲端管理與DevOps協作解決方案
• 專注於安全 – 支援職責分工
• 為開發人員所設計 – 開放原始碼, 說明文件, 完整的技術支援
CYBERARK CONJUR
24
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
+
Human Identity
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
Passwords
API Keys
Tokens
• 程式碼中不在有Secrets
• 靜止與傳輸中的皆加密• 依環境所需整合• 依政策定期輪替Secrets
mysql::database::populate { 'my-db':
username => conjur_secret('${environment}/username'),
password => conjur_secret('${environment}/password'),
privileges => 'SELECT,INSERT,UPDATE,DELETE',
schemafile => '/usr/share/my-db/schema/mysql.sql',
}
CONJUR
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
以PUPPET為例
1. 啟用註冊
CyberArk Conjur
MASTER
Node Classification: Test Node Classification: Production
2. 以該有的類別Token啟動5. 秘密資訊依政策定時或視需要更新
Agent Agent Agent Agent Agent Agent
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
• 開源, 可插入秘密資訊提供商
• 一旦認證通過, 將取得的秘密資訊推進工具的環境變數中
• 呼叫程序 (例如 Jenkins build), 該程序可存取環境變數
• 秘密資訊在程序退出後即消失
SUMMON
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
MasterFollower FollowerStandby
conjur-
follower.corp.com
conjur-
master.corp.com
Web
App
Web
App
Zone 1
Web
App
Web
App
Zone 2
CYBERARK CONJUR 具備高度伸縮性與可用性
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
業務負責人 資安負責人
開發人員
維運 /
DevOps
風控稽核
稽核報告的數位儀表板
“萬事皆程式碼”
社群版本與APIs的設計讓開發人員可容易上手
使用指令列介面與「新IT部門」的工具原生整合
利用數位儀表板來集中安全管理
Conjur 提供多種介面以涵蓋整個企業的需求
15
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
DevOps 團隊
• 完整的秘密管理• 功能皆可用 – 適合本地, 獨立的 DevOps 的提案• 經由社群提供支援• 可升級為Conjur 企業版
業務負責人 資安負責人
• 健全的 HA 與容錯轉移• 企業級的整合 (例如 AD/LDAP, HSM 等等)
• 著重於合規與稽核的痛處• 與既有 CyberArk 特權帳號安全解決方案整合
Conjur
企業版
Conjur
社群版
CyberArk Conjur
社群版
開發人員 / DevOps的開源版本
CyberArk Conjur
企業版
企業級的性能與支援
企業全面性的
特權帳號安全
CONJUR: 易於入門, 且已為企業做好準備
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
社群有強烈的興趣!
• 從 Conjur 正式發表後, 訪問 conjur.org 的流量成長9倍
• 100K+ 的Docker pulls, 是1個月前的10倍
• 超過 125 社群成員主動參與我們的Slack的頻道
CyberArk Conjur 社群版受到矚目
機密與專屬性 ©CyberArk Software Ltd. 保有所有權力
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
CONJUR案例與客戶採用範例
33
• 保全 CI/CD 工具, 管理關鍵的基礎設施
• 安全地傳送秘密資訊與管理SSH Key
存取
• 安全地儲存及遞送安全憑據給機器、應用與原始碼
• 使用強認證以安全地交付秘密資訊給容器化的應用
• 確保應用佈署於彈性的環境可動態且安全的取得秘密
保全 CI/CD 工具及維運
管理 Secrets
認證容器
保護自動伸縮與彈性的運算資源
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
▪ 歐洲公司, 全球佈署
▪ 提供創新的企業級 DevOps 平台, 包含儲存庫管理, 給領先的互聯網公司
▪ 使用 Conjur 來管理平台內部的 SSH keys
與秘密資訊
客戶範例: 創新的 DevOps 平台提供商
34
• 全球部署
• 管理 SSH Keys
• 已上線
DevOps 平台
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
▪ 佈署於全球24個網路連接點 (POP)
▪ 使用 Conjur 來控制遞送 X509 憑證與API
Keys 到 AWS 上的生產環境
▪ 已上線 4+ 年
客戶範例: 世界級的網路設備商
35
• 全球佈署
• 已上線
網路設備
• 保護 AWS API Keys
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
▪ 從預計導入雲端架構變成轉型之旅 – 擁抱DevOps, 下一代系統, 容器等
▪ 經由 ASW 串流媒體 – 在健全的基礎架構下營運
▪ 使用 Conjur 保護 AWS 存取金鑰與DevOps 秘密資訊
客戶範例: 領先的媒體公司
36
• 全球佈署
• 已上線
媒體公司
• 數位轉型
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
▪ 世界上最大、最成功的即時多人線上遊戲之一
▪ 使用 Conjur 來遞送 API Keys, 資料庫密碼, 與X509憑證到線上遊戲中
▪ 因為 Conjur 有強力的安全控制措施且能滿足每分鐘處理2,000,000筆秘密資訊的要求
▪ 預計將 Conjur 進一步導入至分析平台
客戶範例: 知名的多人線上遊戲公司
37
• 已上線
多人互動遊戲
• 全球運營, 用戶遍及各大洲
• 即時 / 高流量
機密與專屬性 ©CyberArk Software Ltd. 保有所有權利
簡單上手
於 www.conjur.org 下載 Conjur 社群版
瀏覽 www.cyberark.com/conjur
謝謝