精准“秒杀”云原生下的未知威胁 探真推出运行时安全防御神器

摘  要//

探真科技再次倾力铸造云原生环境下,捍卫容器不可变神器——「TensorCIA·偏移防御」

「TensorCIA·偏移防御」利用容器不可变性,通过构建可执行文件白名单,告警和阻断一切黑客工具及二进制篡改

有力保证容器的可执行文件实现真正的零信任与最小权限原则运行。


云原生世界危机四伏

运行时容器的二进制或者应用程序被纂改,是云原生平台面临的主要安全威胁之一。

根据专业报告显示:

62%的容器被检测出包含shell命令,增加了被篡改的风险。

38%的容器有敏感挂载位置,能改变主机系统的重要文件。

诸多信息都表明企业的云原生环境存在较大安全风险,需要谨慎对待。

无论是在传统应用架构还是在微服务架构下,企业无时无刻面临着各类攻击威胁,黑客一旦撕破入口,获取到一定权限后,通常会进行提权、横向移动等一系列的深入攻击。

·2020年5月,云服务提供商Blackbaud受到了黑客攻击,黑客通过渗透攻陷Blackbaud的网络,黑客试图安装勒索软件阻止客户访问数据和服务器。

·2021年4月,全球最大的代码托管平台Github云服务器遭黑客非法挖矿,影响超过9000w使用者。

·2022年2月,知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS网络会话中的加密数据长达数月,受影响的网站预计至少200万之多,其中涉及Uber、1password 等多家知名互联网公司的服务。

根据最新研究,大约80%的组织在过去一年中遭遇了严重的云安全事件,而四分之一的公司担心他们遭受了云数据泄露,却没有意识到这一点。

勒索、挖矿正在侵害云原生环境(图片来源于网络,侵删)

而针对该类问题最常见的传统做法就是根据具体的攻击行为,编写相应规则进行告警,比如IDS/IPS类产品。

但很不幸的是,业务环境的高复杂度,加之大量不合规的人为操作,进一步让攻击识别变得困难。理论上我们面对的攻击场景是无限的,而要针对这无限的攻击场景逐条编写检查策略,同时还要控制误报率,这显然是一件高投入、低回报的事。

那么,除了设置规则,在云原生环境下,我们是否还有其它思路,来解决这一难题呢?

容器的不可变性为面临繁杂、无限威胁的运行时容器带来了曙光

容器不可变性

什么是容器不可变性,从字面意思来看,就是容器一旦被建立好,那就保持它不再变动。那么,为什么要这样设计呢?这样设计又有什么好处呢?接下来便详细说一说。

在传统应用架构下,单项业务通常部署在单台或少量几台服务器上,这样就导致了单台服务器会安装大量的应用及对应的依赖环境,每次运维或出现业务变更,管理员都会登录到对应主机进行操作,一个小的改动就可能影响整个环境,可谓牵一发而动全身,但这样也导致了传统架构下系统环境的复杂性。

而容器化的出现,则改变了这一现状,通过将业务切分成微服务,为各自创建独立的环境,并通过API交互,来实现互通,这样就使得每个功能单元的环境都变得更加纯粹。也正是这样的设计,让容器不变性成为了可能,管理员可以灵活对每个微服务进行变更而不影响整个业务环境,即便发生软件升级或者业务版本迭代,也可以直接替换单个微服务容器,而不是进入到具体的环境对内容进行修改。这样极大地减小了程序之间的耦合,真正做到,“牵一发动一发”。

由此,一个比较好的容器不可变性定义应该是:镜像一旦完成了构建,预计在不同的环境中运行都不会改变。这意味着在因外部环境的不同,在需要的时候使用外部手法处理所依赖的外部配置数据,而不是通过修改每个环境来构建不同的容器。而容器应用程序中的任何变更,都应该因此触发构建新的容器镜像,并在所有环境中重用它。

探真铸造「TensorCIA·偏移防御」

我们知道,黑客的入侵过程通常都不是一步到位的。

从信息收集、边缘突破,到内网渗透、提权、后门驻留等,过程曲折蜿蜒,且依赖大量黑客工具的使用。

有的恶意程序甚至会通过篡改系统自身应用来达到长期驻留的效果,极难被发现。

但如果企业严格遵从云原生最佳实践,容器一旦构建完成,是不应该直接对其内部进行修改的。

基于此,探真科技在旗下领航·云原生安全平台中推出了对运行时容器的革新性安全管理能力——「TensorCIA·偏移防御」

「TensorCIA·偏移防御」是国内领先发布的针对恶意软件、蠕虫和零日攻击的云原生防护能力。

通过深度结合容器不可变性,以全新的思路,通过以下两步,强力阻断黑客的下一步攻击行为:

1、拦截恶意程序:已经构建好的镜像生成独属的应用清单;

2、拦截恶意篡改:对环境内的任何二进制程序变动进行严格校验

如同为运行时的容器戴上紧箍儿,施下“定心真言”。

开启「TensorCIA·偏移防御」后,有力保证容器的可执行文件实现真正的零信任与最小权限原则运行

「TensorCIA·偏移防御」工作示意图

「TensorCIA·偏移防御」的价值

1.拦截恶意程序

可针对外部引入的所有二进制程序进行拦截,同时不干扰正常应用,杜绝黑客工具的运行,使得依赖工具的提权、逃逸、扫描、横向渗透等恶意行为彻底失效。

2.拦截恶意篡改

为了持续获得环境控制权,黑客通常会通过篡改环境内的应用程序,留下后门,该类后门比起一般后门更难以发现和查杀。「TensorCIA·偏移防御」可以通过对系统本身二进制的严格校验,保护镜像自身程序,防范攻击者通过修改镜像现有程序以及伪装后门等绕过拦截。

「TensorCIA·偏移防御」的优势

1.零摩擦

在开启该功能后,「TensorCIA·偏移防御」在容器构建完成后即对其对应的镜像进行扫描,可在用户无感知的情况下建立对应白名单并固化。

2.精细化控制

「TensorCIA·偏移防御」的开启可精确到具体容器,可针对特定集群下的特定容器开启或关闭策略,并且支持阻断与告警两种模式,实现精细化控制。企业可以根据自身环境情况选择易受攻击的Pod开启「TensorCIA·偏移防御」,避免因环境的特殊需求造成误报及业务无法正常运行的情况。

3.极低资源占用

无需额外的存储空间和集中的算力,即可实现大规模集群的分布式扫描。

4.保证准确率与召回率的平衡

遵循容器不可变性的前提下,对所有容器环境中的所有二进制程序进行固化,严格限制新的程序侵入及篡改,保证准确率与召回率的平衡

探真科技 坚持持续创新,坚定关注客户需求和期望。去芜存真,让云原生世界更安全

💡

    何为探真    

这个世界上本来就没有可以一直保持完美无懈可击的系统,只要商业竞争、利益存在一天,企业的数字化系统就会持续受到安全攻击的威胁。

做安全本身就是一件不断探索求真的事情,需要持续对安全技术进行迭代更新,提升企业的威胁感知、响应处置、事件溯源的自动化管控能力,助力企业构建云原生新世界的DevSecOps体系。

前一篇火爆全网的人工智能绘画工具抓取私人病例照片
后一篇美国关键基础设施软件供应链安全指南的十大谬误