新闻详细
专访|云安全攻防:从理论到应用的全面探索
  • 2024.04.16
  • 5055

2023年11月,美国核研究实验室(INL)遭遇数据泄露。同年10月,索尼的员工数据在MOVEit攻击事件中被泄露。2024年2月,某知名制造商因云存储服务器的配置错误导致了敏感数据泄露。

 

这些事件表示企业必须重视云安全建设,采取积极措施保护他们的数据和云基础设施免受攻击。从攻防角度来看,云渗透能力对安全人员与渗透测试人员都是亟需补充的能力,仍是企业发展所需。

 

在这一背景下,云安全联盟大中华区发布的CCPTP(云渗透测试认证专家)课程为安全专业人士提供了针对云计算渗透测试所需的专业实操技能,弥补云渗透测试认知的差距和技能人才培养的空白,以更好应对云安全威胁。 

 

CCPTP云渗透测试认证专家讲师专访


李来冰

CSA CCPTP首批讲师

腾讯安全云鼎实验室云安全高级研究员

 

云安全之旅:从初梦到探索

 

Q:请简单作一个自我介绍,包括您在云渗透测试领域的经验和专长。
 

李来冰:非常荣幸收到CSA的邀请,我叫李来冰,来自腾讯安全云鼎实验室,担任云安全高级研究员一职。我的主要研究方向为云产品安全测试与云特性漏洞挖掘、云安全风险收敛与能力建设等。

 

Q:请问你是什么时候开始接触云安全的?
 

李来冰:我是从之前加入绿盟的星云实验室开始接触云安全的。进入绿盟之前主要从事的是Web安全攻防研究,期间也慢慢了解到容器、虚拟化相关的技术,但大多浅尝辄止。中间有幸加入星云实验室,体系化地学习了云安全相关的技术。

在不断学习的过程中,我深知云安全是一个前景较好但又需要深耕的领域,因此决定全心投入其中。

后来偶然的机会,加入了如今的云鼎实验室,专注于挖掘腾讯云自身产品的安全漏洞,通过不断实践提升了个人的能力,视角也开始从攻击拓展到防御,也越来越清楚云安全建设之不易,未来希望能够在云安全领域有不错的成就和发展。

 

云安全之旅:从探索到专业化发展

 

Q:CCPTP的课程内容涵盖了哪些关键方面?您觉得哪些方面对您最有帮助和启发?
 

李来冰:CCPTP课程包含了云渗透测试体系、测试流程、实践技术、法律法规、渗透测试人员道德规范、渗透测试方法论以及实操技术等内容。

在CCPTP课程编写的过程中,我主要负责云管理层渗透测试章节的编写,但在看到教程的整体大纲之后,还是收货颇丰。过去的工作中,我的关注点更偏向于云原生技术的攻防研究与实践,对于云计算的整体安全以及公有云安全的研究面是有所欠缺的。

所以在学习了CCPTP课程之后,对于云计算安全有了更加体系化的掌握,这样的好处是,在云环境攻击实战于防御检测的实际工作中,所能联想的攻击面与攻击链都能有所提升,照应了安全行业的经典名言“知识的广度决定攻击面的宽度,知识的深度决定攻击链的长度”,云计算领域也是如此。

 

Q:作为既是讲师又学员的角度上来说,您认为学习CCPTP云渗透测试认证专家课程与其他渗透测试相关的认证课程有哪些区别呢?CCPTP课程对云安全领域有哪些贡献和价值?
 

李来冰:专注于云计算领域,是CCPTP的核心特征,也是与其他渗透测试课程的主要区别。其次在于课程的更新与发展,由于云计算技术的不断发展与变化,CCPTP认证课程可能会更加关注最新的云计算安全技术与知识,以保证学员在云安全知识上的发展。

对于云安全领域的贡献和价值,CCPTP云渗透测试认证专家作为全球首个云渗透测试能力培养课程及人才培养认证,弥补了国内云渗透测试认知的差距和技能型人才培养的空白。其次相关人员在完成CCPTP课程的学习之后,会获得相应的认证和证书,该证书在云安全行业中具有一定的权威性和认可度,有助于提升在云安全领域的职业竞争力。同时实际工作中在面对云安全领域的威胁和挑战时,会更加专业的进行解决。

 

Q:CCPTP对您的职业发展有何帮助?可以结合日常工作的一些真实的成功案例或其他学员向你反馈的成就故事。
 

李来冰:通过学习CCPTP,帮助我掌握了全面的云安全知识和实战技术,使我能够更好地适应云环境下的安全挑战,例如在云安全产品赋能工作中,能够考虑的面更加广泛,大大的提升了安全产品的防御能力。同时在云安全领域的培训交流工作中,思路和表述更具专业性。

 

云安全之旅:从发展到实践


Q:您对渗透测试相关的从业人员,您有什么建议可以分享一下吗?您认为云渗透测试未来的发展趋势和挑战是什么?


李来冰:《实践论》中提到,“理论来自实践,又反作用于实践,对实践具有重要的指导作用”,安全攻防也是如此。在进行云环境的实战工作之前,掌握体系化的云安全理论知识是最佳前提。同时理论也不应该脱离实践,两者应紧密联系,相互反哺,才能良性发展。

 

关于云渗透测试未来的发展趋势,我觉得有以下几点:

·云安全人才的需求增长

随着云计算的广泛应用增加,云渗透测试将成为保障云环境安全的重要环节。未来,云渗透测试需求将持续增长,对专业人员的需求也将相应增加。

·自动化与AI的结合

随着自动化和人工智能技术的发展,云渗透测试也将受益于这些技术。自动化工具和漏洞扫描器的进一步发展,以及利用机器学习和深度学习技术来识别和应对新型威胁,将成为未来云渗透测试的重要趋势。

·持续学习和专业化要求

云渗透测试行业将不断发展和演变,渗透测试人员需要进行持续学习,跟进最新的安全趋势和技术。专业化的培训和认证将成为渗透测试人员提升自身竞争力和适应行业发展的必备条件。

 

关于挑战,我觉得有以下几点:

·复杂化的云环境

不同的云服务提供商、多云环境、容器化和无服务器架构等技术使得云渗透测试的范围更广,攻击面更大,渗透测试人员需要更深入地了解这些技术和架构,并相应地开展渗透测试工作。  

·自动化和人工智能

渗透测试工具和平台的自动化程度不断提高,人工智能技术的应用也不断增加。虽然自动化工具可以提高效率,但同时也意味着渗透测试人员需要不断学习和适应自动化工具的使用,并确保在自动化测试中不会错过重要的漏洞。  

·隐私保护和合规性

随着数据保护和隐私法规的加强,在进行云渗透测试时,必须遵守相关法规和合规要求,确保不会侵犯用户的隐私权,并且对敏感数据进行妥善处理。  

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝