近日，2022 CCS 成都網(wǎng)絡(luò)安全大會順利結(jié)束，由字節(jié)跳動安全中心承辦的云安全實戰(zhàn)論壇也圓滿落幕。作為信息安全行業(yè)盛會，大會深度聚焦“云上安全新形態(tài)，擁抱數(shù)字新未來”，突破圈層、打破壁壘，聯(lián)合眾多專家、學(xué)者聚焦新形勢下網(wǎng)絡(luò)安全領(lǐng)域，展開新對話、新探討與新碰撞。

火山引擎長期關(guān)注并重視用戶的信息安全，通過結(jié)合字節(jié)跳動多年積累的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗，為企業(yè)用戶提供全面的網(wǎng)絡(luò)安全解決方案。火山引擎云安全參與本次2022 CCS 成都網(wǎng)絡(luò)安全大會的云安全實戰(zhàn)論壇，打造極具特色的云展廳，并發(fā)表2個精彩紛呈的議題演講，全方位展示了火山引擎云安全在保障用戶信息安全方面的優(yōu)勢能力。

云上安全防御體系建設(shè)分享

云上業(yè)務(wù)遭受DDoS攻擊威脅

近幾年數(shù)字技術(shù)與實體經(jīng)濟的加速融合，泛互聯(lián)網(wǎng)、金融、游戲等行業(yè)繁榮發(fā)展，引來黑產(chǎn)團伙覬覦。在各大企業(yè)中，隨著自身業(yè)務(wù)規(guī)模不斷擴大、客戶群體不斷增加，面臨的網(wǎng)絡(luò)安全威脅也不斷增多，其中DDoS攻擊和應(yīng)用層CC攻擊較多，這些攻擊往往會導(dǎo)致公司業(yè)務(wù)出現(xiàn)中斷、癱瘓，不僅嚴(yán)重影響公司業(yè)務(wù)的正常運營，更會損害公司的口碑與收入。

來自火山引擎的云安全工程師歐陽鵬，在大會上進行了《云上業(yè)務(wù)網(wǎng)絡(luò)安全防御體系建設(shè)和應(yīng)用案例》的議題分享。他通過火山引擎云安全團隊的實踐案例，講述火山引擎網(wǎng)絡(luò)防護系統(tǒng)如何幫助企業(yè)構(gòu)建起縱深DDoS/CC防御體系，并結(jié)合業(yè)務(wù)實際場景給出最佳防護方案。

在歐陽鵬分享的實踐案例中，某網(wǎng)絡(luò)科技公司的業(yè)務(wù)主要基于云上開展，業(yè)務(wù)長期遭受DDoS和應(yīng)用層CC攻擊。該公司在面臨此類網(wǎng)絡(luò)攻擊時主要存在兩大痛點：1. 該公司雖已有防護策略，但有效防護率低，如果接入外部防護方案，需要在防護策略、防護算法上進行適配兼容，避免造成誤傷；2. 該公司業(yè)務(wù)受攻擊的頻率極高，同時業(yè)務(wù)場景復(fù)雜，對時延、丟包等問題容忍度低。這就需要防護方案易兼容適配，同時實現(xiàn)高效防護。

DDoS攻擊現(xiàn)狀分析

協(xié)助企業(yè)構(gòu)建縱深防御體系

火山引擎網(wǎng)絡(luò)防護系統(tǒng)結(jié)合業(yè)務(wù)的痛點、難點，通過使用T級防護能力的高防IP，讓攻擊流量被系統(tǒng)檢測識別后能被清洗、過濾，保障正常流量回注到源站，最終完成整個DDoS防護過程；火山引擎解決方案通過采用DDoS、WAF等防護產(chǎn)品組成多層防御系統(tǒng)，對3至7層攻擊流量分層而治，并結(jié)合端側(cè)特征實現(xiàn)攻擊流量的精準(zhǔn)識別；同時火山引擎通過向客戶提供完備的數(shù)據(jù)可視化與安全事件告警能力，幫助用戶構(gòu)成防護DDoS、應(yīng)用層CC攻擊的縱深防御體系。

在接入火山引擎網(wǎng)絡(luò)防護系統(tǒng)后，該公司已能有效抵御TCP四層CC攻擊、TCP反射攻擊、TCP中間盒攻擊等多種手法攻擊，成功保障客戶業(yè)務(wù)的高效防護和穩(wěn)定運行。

火山引擎網(wǎng)絡(luò)防護系統(tǒng)之所以能夠有效解決DDoS、應(yīng)用層CC攻擊等問題，是因為自身的三大優(yōu)勢：

1. 具備先進全面的防護架構(gòu)；

2. 提供靈活兼容易部署的防護方案；

3. 能夠?qū)崿F(xiàn)感知、防護、管理一體化。

這些優(yōu)勢能力，具有很好的可復(fù)制性與兼容性，同樣可以為更多客戶的云上業(yè)務(wù)保駕護航。

字節(jié)跳動應(yīng)用運行時如何防護？

生產(chǎn)環(huán)境的主機威脅

生產(chǎn)環(huán)境攻擊來源可以歸類為外部、內(nèi)部和供應(yīng)鏈。對于一臺linux主機，這三種來源會實施在不同的作用域：對于linux 內(nèi)核與用戶態(tài)包含常見的惡意軟件或是 linux 漏洞，對于容器層會有更難以約束的鏡像問題或是集群配置問題。應(yīng)用層作為一臺主機最主要的攻擊入口，這里集合了這三種攻擊來源的各類威脅。

來自火山引擎的信息安全工程師潘璽廷，做了《字節(jié)跳動應(yīng)用運行時如何防護》的主題分享。火山引擎研發(fā)了針對不用作用域的 Elkeid-RASP 解決方案，應(yīng)對在應(yīng)用層不同作用域、不同來源、不同方式的威脅，實現(xiàn)對應(yīng)用層的全面防御，并解決 RASP 需要避免的問題。RASP 是一種應(yīng)用安全防御技術(shù)，通過對應(yīng)用運行時植入探針來采集運行時的關(guān)鍵信息，進而分析行為產(chǎn)生告警。

生產(chǎn)防護沒有銀彈，需要按不同作用域協(xié)同防護

Elkeid-RASP 防護思路

針對業(yè)務(wù)應(yīng)用作用域的安全防護，火山引擎 Elkeid-RASP  支持運行時關(guān)鍵行為采集、入侵風(fēng)險檢測、攻擊路徑阻斷等基礎(chǔ)功能。同時，火山引擎 Elkeid-RASP  支持旁路注入，無需更改代碼或啟動命令，即可實現(xiàn)適配多種語言的快速部署。

火山引擎 Elkeid-RASP 對于 NodeJS/JVM/PHP 的探針實現(xiàn)，均可利用語言特性/相關(guān)接口來完成旁路部署；對于 CPython/Golang 可利用 Linux 進程調(diào)試能力植入探針。在整個過程中，火山引擎 Elkeid-RASP能夠讓部署指令與上報信息都能通過 Elkeid 技術(shù)棧與 Server 實現(xiàn)交互。

各探針均可遠程控制植入，阻斷/過濾/降級均可遠程配置

火山引擎 Elkeid-RASP 的數(shù)據(jù)采集功能會覆蓋目標(biāo)應(yīng)用運行時的進程、網(wǎng)絡(luò)與文件，同時基于最小Hook原則，節(jié)省占用資源，通過強大的流式編排計算能力，快速讓 RASP 上報數(shù)據(jù)完成策略計算。Elkeid-RASP 可以將探針原始上報的數(shù)據(jù)，經(jīng)過 Elkeid-HUB 進行實時計算，一旦生成告警便可直接推送到安全工程師的通訊工具或 CWPP 工作臺中。潘璽廷介紹，CWPP是為物理機、虛擬機、容器和無服務(wù)器工作負載提供一致的保護和可見性的安全產(chǎn)品。

火山引擎 CWPP脫胎于字節(jié)跳動主機安全團隊，在字節(jié)跳動內(nèi)部解決了千萬級容器的反入侵與溯源需求。目前火山引擎已將Elkeid的完整采集能力對外開源（GitHub：https://github.com/bytedance/Elkeid）。

在未來，火山引擎云安全將持續(xù)結(jié)合字節(jié)跳動內(nèi)部安全防護體系、最佳實踐和技術(shù)創(chuàng)新，為企業(yè)用戶提供更為全面的網(wǎng)絡(luò)安全解決方案。