您的位置:首頁 >滾動(dòng) >

華云安:云原生攻擊面管理解析(下)

2022-03-29 10:07:10    來源:榕城網(wǎng)

隨著向云計(jì)算基礎(chǔ)設(shè)施的轉(zhuǎn)移,我們已經(jīng)看到了云原生應(yīng)用的快速增長(zhǎng)。這些應(yīng)用程序是小型、快速且集成的服務(wù)的集合。通過創(chuàng)建和運(yùn)行云原生應(yīng)用程序,企業(yè)可以更快地將新想法推向市場(chǎng),并立即響應(yīng)客戶需求。這些應(yīng)用程序通常使企業(yè)能夠在現(xiàn)代動(dòng)態(tài)云環(huán)境(例如公共云,私有云和混合云)中構(gòu)建和運(yùn)行可伸縮應(yīng)用程序。

靈洞-威脅與漏洞管理平臺(tái)Ai.Vul(簡(jiǎn)稱靈洞)是華云安基于大數(shù)據(jù)和知識(shí)圖譜架構(gòu)自主構(gòu)建的一套面向企業(yè)客戶的新一代攻擊面管理平臺(tái)。使企業(yè)能夠保護(hù)他們的云原生環(huán)境,包括從開發(fā)到生產(chǎn)的整個(gè)流程,加速容器采用效率,將安全無縫的接入DevOps流程。無論應(yīng)用程序部署在何處,云原生攻擊面管理產(chǎn)品在整個(gè)應(yīng)用程序生命周期管理中提供預(yù)防、檢測(cè)和響應(yīng)自動(dòng)化,以保護(hù)構(gòu)建階段、保護(hù)云基礎(chǔ)架構(gòu)平臺(tái)和保護(hù)運(yùn)行等各方面安全。同時(shí)借助于華云安攻擊面情報(bào),云原生攻擊面管理產(chǎn)品能夠最快速檢測(cè)和處置最新發(fā)生的攻擊面威脅風(fēng)險(xiǎn),保護(hù)用戶資產(chǎn)。

一、攻擊面發(fā)現(xiàn)

1.安全構(gòu)建

靈洞在開發(fā)和部署階段掃描漏洞,惡意軟件,敏感數(shù)據(jù)以及其他風(fēng)險(xiǎn),并通過彈性,動(dòng)態(tài)策略控制應(yīng)用部署到運(yùn)行環(huán)境。通過“安全左移”,更早更快的發(fā)現(xiàn)DevOps構(gòu)建過程中導(dǎo)致的攻擊面和威脅。

在應(yīng)用開發(fā)和構(gòu)建階段,靈洞在CI/CD流程中自動(dòng)執(zhí)行代碼審計(jì),并持續(xù)掃描代碼、鏡像、注冊(cè)數(shù)據(jù)和云函數(shù)功能應(yīng)用、存儲(chǔ)以檢測(cè)新出現(xiàn)的風(fēng)險(xiǎn),使開發(fā)人員能夠快速解決問題。

2.鏡像掃描

靈洞提供鏡像掃描,對(duì)于鏡像中的每一層文件,通過識(shí)別其組件之中的漏洞來評(píng)估該層的風(fēng)險(xiǎn),通過暴露鏡像特定層,并通過更新易受攻擊文件包或?qū)㈢R像回滾到以前的版本來加快補(bǔ)救速度。

靈洞通過自動(dòng)掃描云注冊(cè)信息和鏡像來增強(qiáng)安全性,確保不會(huì)將惡意或易受攻擊的應(yīng)用部署到基于云的集群中。

3.漏洞掃描

整個(gè)開發(fā)周期中,通過檢測(cè)漏洞、敏感數(shù)據(jù)及其他安全問題,收斂用戶的攻擊面,保護(hù)云原生應(yīng)用。深入了解漏洞態(tài)勢(shì),并根據(jù)環(huán)境風(fēng)險(xiǎn)確定補(bǔ)救和緩解措施的優(yōu)先級(jí)。

提供企業(yè)級(jí)輕量漏洞發(fā)現(xiàn)與檢測(cè)工具,幫助用戶輕松構(gòu)建實(shí)戰(zhàn)化防御能力,讓安全漏洞無所遁形;

提供基于知識(shí)圖譜化的指紋經(jīng)驗(yàn)庫(kù)和17000+的檢測(cè)規(guī)則,對(duì)目標(biāo)指紋信息進(jìn)行準(zhǔn)確的分析識(shí)別,對(duì)比傳統(tǒng)技術(shù)的在識(shí)別準(zhǔn)確率上提升40%。

基于PoC原理+自驗(yàn)證檢測(cè)方式,采用智能化掃描插件,每個(gè)插件都來源于實(shí)戰(zhàn)研究,能夠根據(jù)掃描過程調(diào)整驗(yàn)證算法,全方位多維度的探測(cè)目標(biāo)風(fēng)險(xiǎn)。

4.配置和合規(guī)檢查

全面掃描虛擬機(jī)鏡像、容器鏡像和云函數(shù)功能,以查找敏感數(shù)據(jù)、許可問題、隱藏的惡意軟件、配置問題和配置過高的權(quán)限。使用靈洞靈活的驗(yàn)證策略為每個(gè)發(fā)現(xiàn)的問題設(shè)置閾值,將其標(biāo)記為不合規(guī),并防止其通過集成管道進(jìn)入生產(chǎn)環(huán)境。

靈洞持續(xù)審核用戶的云帳戶,以了解數(shù)百個(gè)配置設(shè)置和合規(guī)性最佳實(shí)踐中的安全風(fēng)險(xiǎn)和錯(cuò)誤配置,從而實(shí)現(xiàn)一致、統(tǒng)一的多云安全。

獲取由互聯(lián)網(wǎng)安全中心(CIS)基金會(huì)針對(duì)公共云的基準(zhǔn)測(cè)試所映射和認(rèn)證的報(bào)告,以評(píng)估您的云帳戶的安全性并確保合規(guī)性。根據(jù)鏡像內(nèi)容和配置以及POD屬性,控制Kubernetes應(yīng)用的安全狀況。與靈洞的鏡像保證政策配合使用,以防止部署不安全和不合規(guī)的應(yīng)用。

持續(xù)了解管道中的漏洞態(tài)勢(shì),在部署容器之前減少攻擊面。獲取容器和Kubernetes運(yùn)行時(shí)環(huán)境的詳細(xì)審計(jì)和取證數(shù)據(jù),以跟蹤違規(guī)事件和合規(guī)情況。通過根據(jù)CIS Benchmark for Linux評(píng)估操作系統(tǒng)配置、掃描惡意軟件和漏洞以及確保實(shí)施最佳安全配置。

5.動(dòng)態(tài)威脅分析

靈洞在運(yùn)行時(shí)分析容器鏡像,檢查和跟蹤行為異常,以發(fā)現(xiàn)靜態(tài)掃描程序無法檢測(cè)到的高級(jí)惡意威脅。在安全的沙盒環(huán)境中運(yùn)行鏡像,該環(huán)境可跟蹤危害指標(biāo)(IOC),如容器逃逸、反向外殼后門、惡意軟件下載、代碼注入后門和網(wǎng)絡(luò)異常。發(fā)現(xiàn)隱藏在開源軟件包和第三方鏡像中的復(fù)雜惡意軟件,防止對(duì)基于容器的應(yīng)用程序的攻擊,包括憑據(jù)竊取、加密貨幣挖掘和數(shù)據(jù)泄漏。

靈洞選擇第三方、敏感或預(yù)生產(chǎn)鏡像進(jìn)行動(dòng)態(tài)分析,以識(shí)別隱藏的風(fēng)險(xiǎn),并自動(dòng)將威脅檢測(cè)添加到您的CI流程和注冊(cè)流程中。靈洞的行為分析使用先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)來分析容器的行為,創(chuàng)建一個(gè)只允許訪問觀察到的行為和功能的模型。這包括文件訪問、網(wǎng)絡(luò)訪問、卷裝載和系統(tǒng)調(diào)用使用。

靈洞可以將檢測(cè)到的行為映射到ATT&CK框架的類別中,使安全服務(wù)團(tuán)隊(duì)能夠看到整個(gè)殺傷鏈,并了解和分析其安全基礎(chǔ)架構(gòu)中的漏洞。收集有關(guān)鏡像、容器、協(xié)調(diào)器和主機(jī)的實(shí)時(shí)運(yùn)行數(shù)據(jù),提供作為事件記錄的數(shù)據(jù)流,并可通過華云安的第三方連接器發(fā)送到用戶的SIEM、分析或監(jiān)控工具中。

6.情報(bào)訂閱

華云安關(guān)注全球安全情報(bào),與多方廣泛合作,建立起了VTI情報(bào)系統(tǒng),并成為攻擊面管理的重要情報(bào)來源。VTI情報(bào)系統(tǒng)提供實(shí)時(shí)情報(bào),并提供廣泛的操作系統(tǒng)和編程語言支持、應(yīng)用程序依賴性檢測(cè),整合多個(gè)情報(bào)來源(CNNVD、CNVD、供應(yīng)商咨詢和定向研究)的專有算法減少誤報(bào)和漏報(bào)。

靈洞可以從華云安情報(bào)系統(tǒng)獲取漏洞披露情報(bào),結(jié)合資產(chǎn)和攻擊面信息,精確分析、發(fā)現(xiàn)最易受到攻擊的關(guān)鍵攻擊面風(fēng)險(xiǎn)點(diǎn)。優(yōu)先修補(bǔ)關(guān)鍵漏洞,可以在數(shù)以千計(jì)的漏洞管理中降低管控難度,進(jìn)而最大化降低通過攻擊面受到漏洞攻擊的概率。

二、攻擊面收斂和修復(fù)

在攻擊面被利用之前,我們需要使用各種手段進(jìn)行攻擊面收斂和修復(fù)。重點(diǎn)關(guān)注最重要和最緊急的漏洞,根據(jù)您運(yùn)行環(huán)境的應(yīng)用、攻擊的可用性和可利用性級(jí)別,優(yōu)先考慮那些對(duì)您的環(huán)境造成最高風(fēng)險(xiǎn)的漏洞。

靈洞通過為每個(gè)選定的檢查授予特定的和臨時(shí)的經(jīng)過身份驗(yàn)證的訪問權(quán)限,在偏離策略時(shí)自動(dòng)修復(fù)配置錯(cuò)誤的服務(wù),并對(duì)所選修復(fù)程序進(jìn)行精細(xì)控制。靈洞通過自動(dòng)化評(píng)估集群的安全配置和合規(guī)性,識(shí)別風(fēng)險(xiǎn),修復(fù)風(fēng)險(xiǎn)因素。

靈洞使用靜態(tài)和動(dòng)態(tài)掃描的結(jié)果來創(chuàng)建靈活的鏡像保護(hù)策略,以確定允許哪些鏡像通過您的管道并在您的集群或主機(jī)中運(yùn)行。保證策略基于漏洞分?jǐn)?shù)或嚴(yán)重性、惡意軟件嚴(yán)重性、敏感數(shù)據(jù)的存在、root權(quán)限或超級(jí)用戶權(quán)限的使用等的任意組合進(jìn)行優(yōu)先級(jí)判定,

靈洞根據(jù)危害指標(biāo)、漂移預(yù)防和行為分析獲得精細(xì)的自動(dòng)化響應(yīng),以阻止惡意行為,系統(tǒng)僅阻止違反策略的活動(dòng),而不影響合法的容器操作,很大程度上可以緩解供應(yīng)鏈和零日攻擊。

三、攻擊面發(fā)現(xiàn)

靈洞提供多種可視化界面,直觀顯示用戶攻擊面態(tài)勢(shì),協(xié)助用戶識(shí)別風(fēng)險(xiǎn)、處置事件。靈洞可實(shí)時(shí)顯示集群、命名空間、部署、節(jié)點(diǎn)和應(yīng)用程序中的風(fēng)險(xiǎn)因素。可以與正在運(yùn)行的集群的動(dòng)態(tài)地圖進(jìn)行交互,該地圖可突出顯示集群安全風(fēng)險(xiǎn)并對(duì)其進(jìn)行評(píng)級(jí)。實(shí)時(shí)查看命名空間、部署、節(jié)點(diǎn)(主機(jī))、容器和它們所來自的鏡像,以及命名空間之間、內(nèi)部的網(wǎng)絡(luò)連接。

靈洞可將檢測(cè)到的行為映射到ATT&CK框架的類別中,使安全服務(wù)團(tuán)隊(duì)能夠看到整個(gè)殺傷鏈,并了解和分析其安全基礎(chǔ)架構(gòu)中的漏洞。靈洞可直觀在地圖上顯示容器與外部目標(biāo)(包括文件下載、C&C服務(wù)器和數(shù)據(jù)泄漏目標(biāo))之間的所有通信。

四、攻擊面管理報(bào)告

靈洞提供多種格式報(bào)告供用戶使用,滿足各種管理需求。靈洞根據(jù)安全基線標(biāo)準(zhǔn),通過100多項(xiàng)單獨(dú)檢查、提供掃描和詳細(xì)的調(diào)查結(jié)果報(bào)告,自動(dòng)對(duì)您的云原生環(huán)境進(jìn)行合規(guī)性檢查,輸出合規(guī)檢查報(bào)告。

靈洞通過特定類型的檢查和條件構(gòu)建自己的自定義報(bào)告,可以提供資產(chǎn)、攻擊面、事件等多種報(bào)告。您的報(bào)告可以按地區(qū)、云提供商服務(wù)類別(例如,阿里、騰訊)、嚴(yán)重性級(jí)別等進(jìn)行分類。導(dǎo)出為HTML或PDF、WORD、Excel。

關(guān)鍵詞:

相關(guān)閱讀