cyberark · google, azure) •illusion gap –繞過防毒軟體偵測 •amsi bypass...

CYBERARK

#1 特權帳號安全的領導者

保護Fortune 100中超過50%大公司的特權存取

全球超過 3,650 家客戶

機密與專屬性 ©CyberArk Software Ltd. 保有所有權利

特權帳號:「進入IT 王國的鑰匙」

提供主動

保護和偵測

惡意内部人員外部攻擊者

特權帳號「進入IT 王國的鑰匙」


CYBERARK 破壞攻擊鏈

4

現有存取

外部突破

地端

混合

雲端


5

44%涉及大規模資料外洩的公司

轉向採用CyberArk

來源：IDG的 “Biggest breaches of the 21st Century”

https://www.csoonline.com/article/2130877/data-breach/the-16-biggest-data-breaches-of-the-21st-century.html


CYBERARK LABS

• GhostHook – 繞過 PatchGuard

• BoundHook – 內核掛鉤的隱身功能

• WinDBG 分析工具 KDSnap –

VMware & VirtualBox

• Golden SAML – ADFS 服務 (AWS,

Google, Azure)

• Illusion Gap – 繞過防毒軟體偵測

• AMSI bypass – 繞過微軟PowerShell 防護

• 列舉 Google 帳號

• 繞過 Google 授權

尖端的研究，保持領先攻擊者一步

DEVOPS 與應用程式中的特權存取安全黃開印 (Kevin), 大中華區技術顧問

3/14/2018


當導入微服務, 應用架構就像碎塊一般

整塊虛擬化容器化微服務

這些都需要存取「secrets 」與其他憑據, 有些生命週期非常短

增強: 敏捷度, 速度, 自動化, 自動化工具


DEVOPS原則讓業務更敏捷

9

自動化讓事事順心

這都與速度及交付軟體有關以持續改善的模式下進行

萬事皆是程式碼協作與同步


10

DevOps/IT 變得高度自動化、敏捷而且使用很多工具

IaaS PaaSCM-as-Code 持續整合/持續交付容器 / 容器協同

佈署測量 ChatOps測試自動化


Cyberark 2018進階威脅報告指出:

但是…..DEVOPS管道可能不是安全的通道

11

• 75％的組織沒有針對DevOps

的特權號安全策略

• 只有不到一半的人表示DevOps和資安團隊持續合作

• 幾乎所有（99％）的資安專家和DevOps受訪者都未能確定所有特權帳號或secrets存在的地方


在不管理風險的情況下, 擁抱維運速度的組織會在其 IT 流程及其業務中暴露新的漏洞

當為了速度而與安全性妥協, 後果相當真實

資料外洩與

內部威脅

駭客可存取

docker 註冊庫

, 其中包含完整

的Vine原始碼,

API 密鑰與

secrets

維運效率

開發人員無意

中在韌體中包含對原始碼簽名用的金鑰

開發人員在原

始程式碼中存儲

特權帳密和金鑰

內部人員將金

鑰存儲在公共存儲

庫中。可用於破壞

包含個人資訊的資

料庫

威脅參與者獲得了 AWS 金

鑰的存取權, 然後

用於存取 AWS

API、資料庫以

及有關使用者、

應用程式和各種

金鑰的資訊。


DEVOPS 帶來更大的安全挑戰

必須保護管道!

• 未被監控的環境

• 大量的智慧財產權

• 強大的特權帳號

• 人員與程式碼經常對其存取、變更與修改!


• 於聊天/電子郵件中分享祕密資訊

• 將明碼的秘密存在本機與程式碼儲存庫中

• 在執行檔中寫死的秘密沒有定期更新或稽核

• 沒有控制使用者使用建構、測試工具主控台與基礎設施

• 沒有控制使用者存取artifact 儲存庫

• 上線的程式碼中寫死秘密資訊

• DevOps 用戶在生產環境有無限的權限

程式碼建構與測試組態設定, 發布

後果: 外洩的管理者帳密被用來存取其雲端資產

後果: 惡意程式碼被插入測試系統與建構流程中

後果: 不受控制/惡意地存取artifact 儲存去

後果: 危及機敏客戶資料與關鍵的應用系統

佈署

DEVOPS 帶來新的風險


引入新的威脅模型並放大可攻擊面

檢查

佈署

開發團隊, 工具 &

工具管理者

開發團隊開發者

開發團隊, 工具, 工具管理者 & 維運者

程式碼開發原始碼

持續建構與單元測試

程式碼審查組態設定,

發布, 佈署

在分支上

提交

建構

測試

通過

核准

基礎設施

雲端應用平台

容器

App App

Bins / libs

容器

App App

Bins / libs

容器

App App

Bins / libs

雲端帳密在GitHub中無意中共用

惡意程式被插入測試系統

危及機敏客戶資料與關鍵的應用系統

IT 資源遭劫持

過時的程式庫開啟攻擊大門

外洩的管理者帳密被用來存取其雲端平台與工具


16

CI 流程範例: GITHUB、JENKINS & DOCKER

需要秘密資訊! 需要秘密資訊!需要秘密資訊!

需要秘密資訊!


安全憑據無意中外洩於公開領域


攻擊者找到新機會: 建構系統中的密鑰


身分管理內建的安全孤島帶來的挑戰

Puppet Hiera

Chef

Databags

Ansible Vault

安全孤島

AWS

IAM /KMS

Microsoft

Azure IAM /

KMS / KMS

Google Cloud

IAM / KMS

Docker

Secrets

Kubernetes

Secrets

OpenShift

Secrets

原生工具的秘密資訊管理解決方式:

產生「安全孤島」問題

• 每個工具提供特定、不同的解決方案

• 並非把安全掛在心上 – 只是秘密儲存地而已

• 沒有定期更新秘密

• 沒有稽核功能

• 有限的整合能力

• 沒有特權帳號安全的完整視野


最佳實踐是, 資安長與IT管理階層想要在不斷更新的基礎架構與應用環境有一致可強制落實的特權安全政策

資安長想要涵蓋企業廣度的特權安全政策

SaaS IaaS地端基礎架構與應用 DevOps 工具

在整個企業中貫徹執行的特權安全政策


分析工具

工業控制

身分認證

身分與存取管理

偵防

ITSM

DevOps

協同合作與事件回應

探索工具

機器人流程自動化

治理

SIEM

HSM

漏洞管理

密碼管理連線管理

100+ 個經認證的資安聯防解決方案 200+ 個插件

70+ 家認證合作夥伴

C3 聯盟


DEVOPS 與應用程式中的特權存取安全解決方案

Application

Identity ManagerConjur

社群版Conjur

企業版

DevOps & Cloud

的秘密資訊管理

靜態環境的秘密資訊管理

CyberArk Privileged Account Security SolutionApplication Identity Manager

• 主要針對靜態環境

• 應用伺服器/工具類產品

• 與CyberArk 數位金庫整合

Conjur

• 專注於 DevOps

• 動態、短暫的

• 容器化環境

• 提供開源版本

• 與CyberArk 數位金庫整合


保護應用系統與DEVOPS

私有雲/公有雲

地端資料中心

AIM

數位金庫

特權帳號安全

CI/CD 工具容器管理應用伺服器/C3聯盟

AIM Conjur


CyberArk Conjur 是一個 DevOps 與雲端安全的解決方案

• 著重獨特的Secrets管理領域與DevOps管道的特權存取安全的挑戰

• 原生整合雲端管理與DevOps協作解決方案

• 專注於安全 – 支援職責分工

• 為開發人員所設計 – 開放原始碼, 說明文件, 完整的技術支援

CYBERARK CONJUR

24


+

Human Identity


Passwords

API Keys

Tokens

• 程式碼中不在有Secrets

• 靜止與傳輸中的皆加密• 依環境所需整合• 依政策定期輪替Secrets

mysql::database::populate { 'my-db':

username => conjur_secret('${environment}/username'),

password => conjur_secret('${environment}/password'),

privileges => 'SELECT,INSERT,UPDATE,DELETE',

schemafile => '/usr/share/my-db/schema/mysql.sql',

}

CONJUR


以PUPPET為例

1. 啟用註冊

CyberArk Conjur

MASTER

Node Classification: Test Node Classification: Production

2. 以該有的類別Token啟動5. 秘密資訊依政策定時或視需要更新

Agent Agent Agent Agent Agent Agent


• 開源, 可插入秘密資訊提供商

• 一旦認證通過, 將取得的秘密資訊推進工具的環境變數中

• 呼叫程序 (例如 Jenkins build), 該程序可存取環境變數

• 秘密資訊在程序退出後即消失

SUMMON


MasterFollower FollowerStandby

conjur-

follower.corp.com

conjur-

master.corp.com

Web

App

Web

App

Zone 1

Web

App

Web

App

Zone 2

CYBERARK CONJUR 具備高度伸縮性與可用性


業務負責人資安負責人

開發人員

維運 /

DevOps

風控稽核

稽核報告的數位儀表板

“萬事皆程式碼”

社群版本與APIs的設計讓開發人員可容易上手

使用指令列介面與「新IT部門」的工具原生整合

利用數位儀表板來集中安全管理

Conjur 提供多種介面以涵蓋整個企業的需求

15


DevOps 團隊

• 完整的秘密管理• 功能皆可用 – 適合本地, 獨立的 DevOps 的提案• 經由社群提供支援• 可升級為Conjur 企業版

業務負責人資安負責人

• 健全的 HA 與容錯轉移• 企業級的整合 (例如 AD/LDAP, HSM 等等)

• 著重於合規與稽核的痛處• 與既有 CyberArk 特權帳號安全解決方案整合

Conjur

企業版

Conjur

社群版

CyberArk Conjur

社群版

開發人員 / DevOps的開源版本

CyberArk Conjur

企業版

企業級的性能與支援

企業全面性的

特權帳號安全

CONJUR: 易於入門, 且已為企業做好準備


社群有強烈的興趣!

• 從 Conjur 正式發表後, 訪問 conjur.org 的流量成長9倍

• 100K+ 的Docker pulls, 是1個月前的10倍

• 超過 125 社群成員主動參與我們的Slack的頻道

CyberArk Conjur 社群版受到矚目

機密與專屬性 ©CyberArk Software Ltd. 保有所有權力


CONJUR案例與客戶採用範例

33

• 保全 CI/CD 工具, 管理關鍵的基礎設施

• 安全地傳送秘密資訊與管理SSH Key

存取

• 安全地儲存及遞送安全憑據給機器、應用與原始碼

• 使用強認證以安全地交付秘密資訊給容器化的應用

• 確保應用佈署於彈性的環境可動態且安全的取得秘密

保全 CI/CD 工具及維運

管理 Secrets

認證容器

保護自動伸縮與彈性的運算資源


▪ 歐洲公司, 全球佈署

▪ 提供創新的企業級 DevOps 平台, 包含儲存庫管理, 給領先的互聯網公司

▪ 使用 Conjur 來管理平台內部的 SSH keys

與秘密資訊

客戶範例: 創新的 DevOps 平台提供商

34

• 全球部署

• 管理 SSH Keys

• 已上線

DevOps 平台


▪ 佈署於全球24個網路連接點 (POP)

▪ 使用 Conjur 來控制遞送 X509 憑證與API

Keys 到 AWS 上的生產環境

▪ 已上線 4+ 年

客戶範例: 世界級的網路設備商

35

• 全球佈署

• 已上線

網路設備

• 保護 AWS API Keys


▪ 從預計導入雲端架構變成轉型之旅 – 擁抱DevOps, 下一代系統, 容器等

▪ 經由 ASW 串流媒體 – 在健全的基礎架構下營運

▪ 使用 Conjur 保護 AWS 存取金鑰與DevOps 秘密資訊

客戶範例: 領先的媒體公司

36

• 全球佈署

• 已上線

媒體公司

• 數位轉型


▪ 世界上最大、最成功的即時多人線上遊戲之一

▪ 使用 Conjur 來遞送 API Keys, 資料庫密碼, 與X509憑證到線上遊戲中

▪ 因為 Conjur 有強力的安全控制措施且能滿足每分鐘處理2,000,000筆秘密資訊的要求

▪ 預計將 Conjur 進一步導入至分析平台

客戶範例: 知名的多人線上遊戲公司

37

• 已上線

多人互動遊戲

• 全球運營, 用戶遍及各大洲

• 即時 / 高流量


簡單上手

於 www.conjur.org 下載 Conjur 社群版

瀏覽 www.cyberark.com/conjur

http://www.conjur.org/

http://www.cyberark.com/conjur

謝謝

cyberark · google, azure) •illusion gap –繞過防毒軟體偵測 •amsi bypass...

Documents