由于以往的2021年发生了诸多重要安全事件。小编这一年里也蜕变的特别迅速,这一年里也学习到了特别多的出色的安全解决方案、攻击技巧、安全架构方面的信息。因此小编想趁着三天假期时间,把小编这一年里自身蜕变的知识也分享给安全圈,可以让更多的人看到小编为此兴奋的知识,让大家一块儿兴奋、一块儿落地、共同进步。
小编彼此更新的信息,全是经过自身的工作经历+工作中兴趣爱好收集的有关的信息,其中有自己落地中的一些学习心得、还有一些依据工作内容扩展出来的一些信息,小编相信这篇信息肯定会让大家耳目一新,原来2021年发生了这么多有趣的事情。小编的信息主要分成两个部分,第一部分是以往的2021年小编到底看到了什么不错的安全架构、安全攻击技巧、安全技术(微软的零信任身份的安全架构升级、CrowdStrike的EDR+EPP+DLP+零信任的融合以及到底运营强在哪里、我看到的Amazon的用户驱动的安全架构、我看到的微软顶层架构的实施到底如何实施的、微软全链路数据跟踪的终态架构、API安全的漏洞到底有哪些、数据不落地的终局安全架构);第二部分是对2022年做一个简短的安全趋势判断,等到2023年的时候小编和大家一起来回看2022的总结和对应的安全趋势的分析。
(特此声明:此探讨仅仅是个人探讨行为,获得的信息也是公开情报获得)。
2021安全架构总结-身份+零信任篇
一、2021安全架构总结-身份+零信任篇
1、背景:
小编在某威胁情报500人大群中讲过一个CASE,就是说在2019年疫情刚开始的时候,讲了一个TOP500的故事。这个故事是这样的,2019年疫情期间对云安全做调研的时候,想到了一个简单的思路,就是经过TOP500的资产主要是IP、域名、邮箱等所在的云进行调研,依据一个月的调研,小编敏锐的发现了Azure的增长比较迅速,从10%快速增长到了35%左右,目前这个数据可能会更加的恐怖,当时看到这个数据之后,就对零信任产生了浓厚的兴趣,也就是在2018年的时候跟有关的人员一块儿讨论过零信任的落地方式,因此小编也就是在2019年开始再加上之前在某游戏公司看到的商业化软件的安全技术趋势来看,针对Azure展开了为期3年多的技术分析和持续观察。其实有些时候身边的很多朋友很奇怪为啥可以了解这么多信息和观点,其实全是基于公开情报持续的分析、加上自身所在的环境、自己的思考和理解的总结提炼而成。
在2013年,当小编在一家游戏公司工作时,像很多商业软件,由于身处信息安全领域,所以这些产品经过渗透测试后,发现了许多明显的安全隐患,主要包括信息泄漏、由环境复制引发的Cookie密码一致性并登录PS管理员漏洞、代码执行漏洞、OracleiScript脚本SQL注入等等,那时小编就发现这些商业软件都是没有防备软件的,从2013年起小编就开始关注商业软件的攻击趋势。