一、行為模型的意義
近年來,隨著企業(yè)應(yīng)用云原生業(yè)務(wù)越來越多,容器運(yùn)行威脅也越發(fā)頻繁,這給企業(yè)帶來的負(fù)面影響越來越大。容器運(yùn)行時安全成為企業(yè)及云原生安全的重點(diǎn)關(guān)注問題。容器運(yùn)行時作為容器全生命周期核心,負(fù)責(zé)管理容器運(yùn)行的全階段。而介于云原生業(yè)務(wù)、編排機(jī)制之間的容器所具有的短生命周期特點(diǎn)也成為攻擊者的新目標(biāo),并且傳統(tǒng)應(yīng)對長生命周期資產(chǎn)的手段便不再適用。與之相應(yīng)的是,鏡像這類持久化資產(chǎn)則成為攻擊者的另一目標(biāo)。
面對多重運(yùn)行時的攻擊威脅,安全狗基于云原生安全、CWPP、安全左移等多個先進(jìn)技術(shù)概念打造的云原生安全產(chǎn)品——云甲,即,容器全生命周期安全解決方案所落地的雙模式檢測方案能有效應(yīng)對并解決。
云甲·容器全生命周期安全解決方案
云甲是安全狗打造的守護(hù)容器云原生安全產(chǎn)品。
云甲可提供容器全生命周期安全防護(hù)。通過透明化分析鏡像容器資產(chǎn)信息、在鏡像倉庫和運(yùn)行容器中,引入病毒檢測、異常檢測和合規(guī)掃描,截?cái)鄲阂獯a代入到運(yùn)行環(huán)境,檢測防護(hù)容器自身、部署環(huán)境及運(yùn)行時安全。通過監(jiān)控POD、容器流量訪問,控制惡意流量入侵、配置網(wǎng)絡(luò)策略,全方位保障容器云安全。
在落地的云甲設(shè)計(jì)雙模式檢測方案中,一方面,針對已知威脅,建立特征準(zhǔn)確、覆蓋面廣、更新及時的異常檢測機(jī)制;針對未知威脅,研究發(fā)現(xiàn)鏡像容器內(nèi)進(jìn)程文件等具有相似性、一致性。如攻擊者嘗試?yán)@過進(jìn)程白名單,致使某進(jìn)程所在的文件路徑與正常運(yùn)行時不同。另一方面,即可通過建立行為模型,從業(yè)務(wù)運(yùn)行期間的海量數(shù)據(jù)中識別出異常行為。
圖1
二、典型的容器環(huán)境未知風(fēng)險
01、0day漏洞被利用導(dǎo)致逃逸
容器編排平臺、容器內(nèi)的軟件應(yīng)用以及宿主機(jī)內(nèi)核時不時爆發(fā)零日漏洞。然而,對于此類漏洞的響應(yīng)往往存在一定的滯后性,由于缺少充分的漏洞信息,很多安全事件分析師往往需要時間分析提煉規(guī)則。對此,攻擊者在防護(hù)“空窗期”對漏洞進(jìn)行利用,往往使得受害者猝不及防。在攻擊者利用此類漏洞的過程中,所執(zhí)行的EXP可能產(chǎn)生大量的可疑進(jìn)程,執(zhí)行成功后的容器可能會開放端口獲取交互shell。
02、容器內(nèi)下載惡意軟件應(yīng)用
對于開放網(wǎng)絡(luò)的容器,攻擊者可能下載惡意的軟件應(yīng)用,繼而對容器環(huán)境實(shí)施攻擊。惡意軟件可能產(chǎn)生可疑進(jìn)程,修改容器文件目錄或異常的對外開放端口。
03、容器內(nèi)掃描集群內(nèi)網(wǎng)端口
攻擊者可能會利用失陷的容器進(jìn)行針對K8s集群內(nèi)部、內(nèi)網(wǎng)主機(jī)的橫向滲透。例如,攻擊者進(jìn)入容器內(nèi)部后,為了進(jìn)一步擴(kuò)大戰(zhàn)果,需要收集內(nèi)網(wǎng)信息,可利用端口掃描工具掃描集群內(nèi)網(wǎng),在此過程中易產(chǎn)生大量的端口連接。
三、行為模型解決方案
通過對不同的運(yùn)行時未知風(fēng)險的深入分析,云甲研發(fā)團(tuán)隊(duì)研究出最佳運(yùn)行時行為模型方案,即,從系統(tǒng)級別監(jiān)測管控容器行為,客戶端側(cè)實(shí)時采集行為活動數(shù)據(jù),生成行為日志。云端側(cè)對上報(bào)數(shù)據(jù)分析、建模,通過聯(lián)合威脅情報(bào)風(fēng)險信息,識別容器異常行為。通過針對性分析,進(jìn)而推送異常告警及安全策略,實(shí)現(xiàn)風(fēng)險可視、可管、可控。采用建模系統(tǒng)、運(yùn)行時監(jiān)測系統(tǒng)、策略配置系統(tǒng)這三大系統(tǒng),實(shí)現(xiàn)容器鏡像集群行為風(fēng)險的智能化檢測與安全響應(yīng)。
圖2
01 建模系統(tǒng)——構(gòu)建低偏差模型畫像
建模系統(tǒng)作為行為模型最重要的環(huán)節(jié),云甲遵循3項(xiàng)理念:自生成、可調(diào)整、聚合與復(fù)用。
自生成
云甲行為模型具備自學(xué)習(xí)、無需監(jiān)督方式,即可自動構(gòu)建出行為模型。建立模型后,當(dāng)發(fā)現(xiàn)偏離模型的行為則可認(rèn)為是異常行為,需要進(jìn)一步分析判斷。
可調(diào)整
數(shù)據(jù)分析近乎一半的容器生命周期小于1小時,普通自學(xué)習(xí)模型并沒有專門的分析,更加沒有對模型做進(jìn)一步優(yōu)化,不僅實(shí)際效力較低,而且穩(wěn)定性方面較差。這類具有缺陷的模型系統(tǒng),是無法使用或要做進(jìn)一步的改造。模型畫像的精確性需要通過不斷的學(xué)習(xí)、調(diào)整、聚合才可獲得。而云甲具備手動調(diào)整自學(xué)習(xí)模型,可創(chuàng)建各種場景化模型能力。在將兩種模型結(jié)合的基礎(chǔ)上,通過行為界定或范圍確定,應(yīng)用統(tǒng)計(jì)的思想,把某個時間段的行為特征作為樣本,研究其樣本分布,進(jìn)一步確定模型,以此獲得較高準(zhǔn)確性和穩(wěn)定性的模型系統(tǒng)。
聚合與復(fù)用
根據(jù)云原生容器業(yè)務(wù)分析以及威脅攻擊情報(bào)顯示,鏡像相比容器具備持久化特點(diǎn)。一個風(fēng)險的鏡像可以發(fā)布到更多的集群節(jié)點(diǎn),影響到更多運(yùn)行上線的容器與云原生業(yè)務(wù)。而通過云甲組建集群維度的分析,可跨越單個容器或鏡像的局限,發(fā)現(xiàn)更全面、具備代表性的行為基準(zhǔn)。通過容器模型聚合而成鏡像模型,鏡像模型復(fù)用到容器模型。通過鏡像持久化聚合出集群內(nèi)的業(yè)務(wù)活動模型,做到從N到一,一到N模型的聚合與復(fù)用。通過落地此理念,可極大減少資源消耗與占用,符合業(yè)務(wù)模型統(tǒng)一性提高準(zhǔn)確性。
02 運(yùn)行時監(jiān)測系統(tǒng)——智能分析研判
云甲可通過行為模型進(jìn)行狀態(tài)跟蹤,判斷各類異常行為,發(fā)現(xiàn)隱藏的未知威脅;彌補(bǔ)只通過特征庫檢測已知風(fēng)險的單面性,讓威脅攻擊無處遁形。實(shí)時數(shù)據(jù)跟蹤:經(jīng)過對容器內(nèi)進(jìn)程、文件、網(wǎng)絡(luò)等活動數(shù)據(jù)實(shí)時采集、數(shù)據(jù)對比、數(shù)據(jù)存儲等,實(shí)現(xiàn)運(yùn)行時業(yè)務(wù)活動的實(shí)時監(jiān)控,并形成行為審計(jì)日志,實(shí)現(xiàn)基于行為模型的異常行為分析、監(jiān)控和異常上報(bào)等功能,以此達(dá)到及時發(fā)現(xiàn)威脅并預(yù)警效果。
03 策略配置系統(tǒng)——風(fēng)險閉環(huán)處理
為了應(yīng)對運(yùn)行時異常威脅的發(fā)現(xiàn),云甲采用模型策略配置和響應(yīng)策略配置兩種方式達(dá)到及時的閉環(huán)響應(yīng)處置目的,為運(yùn)維人員提供及時、便捷的防護(hù)措施。通過事件研判上報(bào)、內(nèi)容分析,可調(diào)整策略中的模型聚合、模型分離,從而實(shí)現(xiàn)容器模型、鏡像模型不同場景下的畫像調(diào)整;通過配置進(jìn)程、文件、網(wǎng)絡(luò)等行為活動的行為黑白名單響應(yīng)操作包括不限于阻止異常進(jìn)程、只讀文件、網(wǎng)絡(luò)端口訪問限制等,配置自動處置策略,并且結(jié)合自動處置與威脅告警,增強(qiáng)安全事件的響應(yīng)速度,從而形成風(fēng)險閉環(huán)。
四、結(jié)論與展望
以上是安全狗云甲研發(fā)團(tuán)隊(duì)基于用戶所面臨的容器運(yùn)行時威脅所做的云原生容器安全解決思路與落地經(jīng)驗(yàn)分享。值得關(guān)注的是,安全狗近期所發(fā)布的云甲新版本中也具備了以上所提的功能。
后續(xù)云甲也將針對異常行為監(jiān)控與判斷、在不同場景下活動特征、模型構(gòu)建算法等方面做進(jìn)一步探索。希望為用戶建立更科學(xué)合理的模型,更全面的威脅監(jiān)控,以及編排化的快速響應(yīng)支撐,助力國內(nèi)云原生安全快速發(fā)展。
