黄帅-混沌工程在安全领域的AIGC创新初探.pdf

1、2023K+全球软件研发行业创新峰会K智大参造接大装混沌工程在安全领域的AIGC创新初探主讲人：黄帅#page#KEYLINK科技生态圈峰会+深度研习Ting1000+技术团队的共同选择07.21-2211.03-0406.09-10上海.明捷万丽北京.希尔顿逸林深圳.凯悦2023K+2023K+2023K+K球软件研发行业创新峰会上海站全球软件研发行业创新峰会北京站全球软件研发行业创新峰会深圳站数字时代下的企业拓界与创变智数未来连接共生智数未来连接共生GNDDAI软件研发数字峰会UDDAI软件研发数字峰会AI驱动软件研发AI驱动软件研发全面进入数字化时代全面进入数字化时代NDD北京站深圳站0

2、8.18-1910.20-21#page#演讲嘉宾介绍W黄帅亚马逊云科技资深技术专家，安全经理在软件研发领域拥有15年架构设计、分布式系统稳定性建设安全运维以及团队管理经验自2018年以来推动亚马逊全球混沌工程服务落地，混沌书混沌工程：复杂系统韧性实现之道合译者智我未美连强关生2023K+全球软件研发行业创新峰会#page#CONTENT目录01云原生安全的新挑战02混沌工程在安全领域的实践新思路03借助AIGC的混沌安全实践初探04总结与回顾#page#KPart 01云原原生安全的新挑战#page#一个真实的安全事件X软件供应链攻击Build amazing1.6.3things1ocal

3、-storage3.1.0“0.0waysomigstensk whenusingpiyste pscfaoe feeo黄金错人Alex BirsanHackinglBugBountyIPythonlasi.RomCO2.226fol信息来源：https/ - DynamoDB其他服务CICD流水线数据中心的IT网络OT网络SCADA工控系统智我未表连强关生2023K+全球软件研发行业创新峰会#page#（示例）我们碰到的新挑战K潜在攻击路径TV-01：应用程序漏洞（不安全的反序列化/原型污染/原型污染+SSRF）TV-02：身份欺骗（访问密钥/临时访问密钥+会话令牌）TV-03：后门部署TV

4、-04：配置算改TV-05：Chrome浏览器漏洞利用（RCETV-06：Windows漏洞利用（级冲区溢出）TV-07：Jenkins漏洞（RCE）TV-08：PLC重新编程TV-09：Modbus攻击智我未表连强共生2023K+全球软件研发行业创新峰会#page#（总结）我们碰到的新挑战“宠物模式和牛群模式机密性peWl aTO攻击者使用越来越复杂的攻击方法和技术，使得传统的安全Confidentiality防御措施难以应对传统的安全防御措施往往是基于规则和模式匹配的，无法快速适应新的攻击方式和威助馆随着云资产的多样性与规模化，安全事件和威助不断增加，使得安全团队难以有效地监测、分析和应对

5、安全事件安全人才短缺，使得企业难以招聘和保留足够的安全专家易失性C.IA TradEphemeral智我未表连强共生2023K+全球软件研发行业创新峰会#page#过往我们的解方（威胁建模）K威励建模（ThreatModeling）是一种识别、量化和优先解决潜在安全威协的方法，包括对系统的整体架构、组件和数据流的分析，以确定可能的攻击向量和风险常见攻击路径IiialAccesColedioEsflirati5.持续加固和1.资产采集和改进扫描威胁建模核心流程MITRE4.制定加固计2.建立威模ATT&CK划地明显装距部分差距识别和评信无差距威协智我未表连强共生2023K+全球软件研发行业创新峰

6、会#page#MITREATT&CK-#page#过往我们的解方（威胁建模）K攻击者使用越来越复杂所有的安全风险组合（包括未知的）的攻击方法和技术可验证的安全事件传统的安全防御措施难以应对探索可预见的安全风险探索探索传统的安全防御措施往往是基于规则和模式匹配的探索无法快速适应新的攻击方式和威协可观测性智我未来连续关生2023K+全球软件研发行业创新峰会#page#KPart 02混沌工程在安全领域的实践新思路#page#威胁建模与混沌工程的探索性结合K威助建模（ThreatModeling）是一种识别、量化和优先解决潜在安全威协的方法，包括对系统的整体架构、组件和数据流的分析，以确定可能的攻击