云甲大揭秘|容器运行时安全威胁该如何突围
2022-4-14 18:11:24 Author: www.4hou.com(查看原文) 阅读量:19 收藏

一、行为模型的意义

近年来,随着企业应用云原生业务越来越多,容器运行威胁也越发频繁,这给企业带来的负面影响越来越大。容器运行时安全成为企业及云原生安全的重点关注问题。容器运行时作为容器全生命周期核心,负责管理容器运行的全阶段。而介于云原生业务、编排机制之间的容器所具有的短生命周期特点也成为攻击者的新目标,并且传统应对长生命周期资产的手段便不再适用。与之相应的是,镜像这类持久化资产则成为攻击者的另一目标。

面对多重运行时的攻击威胁,安全狗基于云原生安全、安全左移等多个先进技术概念打造的云原生安全产品——云甲,即,容器全生命周期安全解决方案所落地的双模式检测方案能有效应对并解决。

云甲·容器全生命周期安全解决方案

云甲是安全狗打造的守护容器云原生安全产品。

云甲可提供容器全生命周期安全防护。通过透明化分析镜像容器资产信息、在镜像仓库和运行容器中,引入病毒检测、异常检测和合规扫描,截断恶意代码代入到运行环境,检测防护容器自身、部署环境及运行时安全。此外,通过监控POD、容器流量访问,控制恶意流量入侵、配置网络策略,云甲能全方位保障容器云安全。

在落地的云甲设计双模式检测方案中,一方面,针对已知威胁,建立特征准确、覆盖面广、更新及时的异常检测机制;针对未知威胁,研究发现镜像容器内进程文件等具有相似性、一致性。如攻击者尝试绕过进程白名单,致使某进程所在的文件路径与正常运行时不同。另一方面,即可通过建立行为模型,从业务运行期间的海量数据中识别出异常行为。

 

图1

二、典型的容器环境未知风险

01、0day漏洞被利用导致逃逸

容器编排平台、容器内的软件应用以及宿主机内核时不时爆发零日漏洞。然而,对于此类漏洞的响应往往存在一定的滞后性,由于缺少充分的漏洞信息,很多安全事件分析师往往需要时间分析提炼规则。对此,攻击者在防护“空窗期”对漏洞进行利用,往往使得受害者猝不及防。在攻击者利用此类漏洞的过程中,所执行的EXP可能产生大量的可疑进程,执行成功后的容器可能会开放端口获取交互shell。

02、容器内下载恶意软件应用

对于开放网络的容器,攻击者可能下载恶意的软件应用,继而对容器环境实施攻击。恶意软件可能产生可疑进程,修改容器文件目录或异常的对外开放端口。

03、容器内扫描集群内网端口

攻击者可能会利用失陷的容器进行针对K8s集群内部、内网主机的横向渗透。例如,攻击者进入容器内部后,为了进一步扩大战果,需要收集内网信息,可利用端口扫描工具扫描集群内网,在此过程中易产生大量的端口连接。

三、行为模型解决方案

通过对不同的运行时未知风险的深入分析,云甲研发团队研究出最佳运行时行为模型方案,即,从系统级别监测管控容器行为,客户端侧实时采集行为活动数据,生成行为日志。云端侧对上报数据分析、建模,通过联合威胁情报风险信息,识别容器异常行为。通过针对性分析,进而推送异常告警及安全策略,实现风险可视、可管、可控。采用建模系统、运行时监测系统、策略配置系统这三大系统,实现容器镜像集群行为风险的智能化检测与安全响应。

 

图2

01         建模系统——构建低偏差模型画像

建模系统作为行为模型最重要的环节,云甲遵循3项理念:自生成、可调整、聚合与复用。

自生成

云甲行为模型具备自学习、无需监督方式,即可自动构建出行为模型。建立模型后,当发现偏离模型的行为则可认为是异常行为,需要进一步分析判断。

可调整

数据分析近乎一半的容器生命周期小于1小时,普通自学习模型并没有专门的分析,更加没有对模型做进一步优化,不仅实际效力较低,而且稳定性方面较差。这类具有缺陷的模型系统,是无法使用或要做进一步的改造。模型画像的精确性需要通过不断的学习、调整、聚合才可获得。而云甲具备手动调整自学习模型,可创建各种场景化模型能力。在将两种模型结合的基础上,通过行为界定或范围确定,应用统计的思想,把某个时间段的行为特征作为样本,研究其样本分布,进一步确定模型,以此获得较高准确性和稳定性的模型系统。

聚合与复用

根据云原生容器业务分析以及威胁攻击情报显示,镜像相比容器具备持久化特点。一个风险的镜像可以发布到更多的集群节点,影响到更多运行上线的容器与云原生业务。而通过云甲组建集群维度的分析,可跨越单个容器或镜像的局限,发现更全面、具备代表性的行为基准。通过容器模型聚合而成镜像模型,镜像模型复用到容器模型。通过镜像持久化聚合出集群内的业务活动模型,做到从N到一,一到N模型的聚合与复用。通过落地此理念,可极大减少资源消耗与占用,符合业务模型统一性提高准确性。

02        运行时监测系统——智能分析研判

云甲可通过行为模型进行状态跟踪,判断各类异常行为,发现隐藏的未知威胁;弥补只通过特征库检测已知风险的单面性,让威胁攻击无处遁形。实时数据跟踪:经过对容器内进程、文件、网络等活动数据实时采集、数据对比、数据存储等,实现运行时业务活动的实时监控,并形成行为审计日志,实现基于行为模型的异常行为分析、监控和异常上报等功能,以此达到及时发现威胁并预警效果。

03        策略配置系统——风险闭环处理

为了应对运行时异常威胁的发现,云甲采用模型策略配置和响应策略配置两种方式达到及时的闭环响应处置目的,为运维人员提供及时、便捷的防护措施。通过事件研判上报、内容分析,可调整策略中的模型聚合、模型分离,从而实现容器模型、镜像模型不同场景下的画像调整;通过配置进程、文件、网络等行为活动的行为黑白名单响应操作包括不限于阻止异常进程、只读文件、网络端口访问限制等,配置自动处置策略,并且结合自动处置与威胁告警,增强安全事件的响应速度,从而形成风险闭环。

四、结论与展望

以上是安全狗云甲研发团队基于用户所面临的容器运行时威胁所做的云原生容器安全解决思路与落地经验分享。值得关注的是,安全狗近期所发布的云甲新版本中也具备了以上所提的功能。

后续云甲也将针对异常行为监控与判断、在不同场景下活动特征、模型构建算法等方面做进一步探索。希望为用户建立更科学合理的模型,更全面的威胁监控,以及编排化的快速响应支撑,助力国内云原生安全快速发展。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/5K2R
如有侵权请联系:admin#unsafe.sh