隨著向云計算基礎設施的轉移,我們已經看到了云原生應用的快速增長。這些應用程序是小型、快速且集成的服務的集合。通過創建和運行云原生應用程序,企業可以更快地將新想法推向市場,并立即響應客戶需求。這些應用程序通常使企業能夠在現代動態云環境(例如公共云,私有云和混合云)中構建和運行可伸縮應用程序。
靈洞-威脅與漏洞管理平臺Ai.Vul(簡稱靈洞)是華云安基于大數據和知識圖譜架構自主構建的一套面向企業客戶的新一代攻擊面管理平臺。使企業能夠保護他們的云原生環境,包括從開發到生產的整個流程,加速容器采用效率,將安全無縫的接入DevOps流程。無論應用程序部署在何處,云原生攻擊面管理產品在整個應用程序生命周期管理中提供預防、檢測和響應自動化,以保護構建階段、保護云基礎架構平臺和保護運行等各方面安全。同時借助于華云安攻擊面情報,云原生攻擊面管理產品能夠最快速檢測和處置最新發生的攻擊面威脅風險,保護用戶資產。
一、攻擊面發現
1.安全構建
靈洞在開發和部署階段掃描漏洞,惡意軟件,敏感數據以及其他風險,并通過彈性,動態策略控制應用部署到運行環境。通過“安全左移”,更早更快的發現DevOps構建過程中導致的攻擊面和威脅。
在應用開發和構建階段,靈洞在CI/CD流程中自動執行代碼審計,并持續掃描代碼、鏡像、注冊數據和云函數功能應用、存儲以檢測新出現的風險,使開發人員能夠快速解決問題。
2.鏡像掃描
靈洞提供鏡像掃描,對于鏡像中的每一層文件,通過識別其組件之中的漏洞來評估該層的風險,通過暴露鏡像特定層,并通過更新易受攻擊文件包或將鏡像回滾到以前的版本來加快補救速度。
靈洞通過自動掃描云注冊信息和鏡像來增強安全性,確保不會將惡意或易受攻擊的應用部署到基于云的集群中。
3.漏洞掃描
整個開發周期中,通過檢測漏洞、敏感數據及其他安全問題,收斂用戶的攻擊面,保護云原生應用。深入了解漏洞態勢,并根據環境風險確定補救和緩解措施的優先級。
提供企業級輕量漏洞發現與檢測工具,幫助用戶輕松構建實戰化防御能力,讓安全漏洞無所遁形;
提供基于知識圖譜化的指紋經驗庫和17000+的檢測規則,對目標指紋信息進行準確的分析識別,對比傳統技術的在識別準確率上提升40%。
基于PoC原理+自驗證檢測方式,采用智能化掃描插件,每個插件都來源于實戰研究,能夠根據掃描過程調整驗證算法,全方位多維度的探測目標風險。
4.配置和合規檢查
全面掃描虛擬機鏡像、容器鏡像和云函數功能,以查找敏感數據、許可問題、隱藏的惡意軟件、配置問題和配置過高的權限。使用靈洞靈活的驗證策略為每個發現的問題設置閾值,將其標記為不合規,并防止其通過集成管道進入生產環境。
靈洞持續審核用戶的云帳戶,以了解數百個配置設置和合規性最佳實踐中的安全風險和錯誤配置,從而實現一致、統一的多云安全。
獲取由互聯網安全中心(CIS)基金會針對公共云的基準測試所映射和認證的報告,以評估您的云帳戶的安全性并確保合規性。根據鏡像內容和配置以及POD屬性,控制Kubernetes應用的安全狀況。與靈洞的鏡像保證政策配合使用,以防止部署不安全和不合規的應用。
持續了解管道中的漏洞態勢,在部署容器之前減少攻擊面。獲取容器和Kubernetes運行時環境的詳細審計和取證數據,以跟蹤違規事件和合規情況。通過根據CIS Benchmark for Linux評估操作系統配置、掃描惡意軟件和漏洞以及確保實施最佳安全配置。
5.動態威脅分析
靈洞在運行時分析容器鏡像,檢查和跟蹤行為異常,以發現靜態掃描程序無法檢測到的高級惡意威脅。在安全的沙盒環境中運行鏡像,該環境可跟蹤危害指標(IOC),如容器逃逸、反向外殼后門、惡意軟件下載、代碼注入后門和網絡異常。發現隱藏在開源軟件包和第三方鏡像中的復雜惡意軟件,防止對基于容器的應用程序的攻擊,包括憑據竊取、加密貨幣挖掘和數據泄漏。
靈洞選擇第三方、敏感或預生產鏡像進行動態分析,以識別隱藏的風險,并自動將威脅檢測添加到您的CI流程和注冊流程中。靈洞的行為分析使用先進的機器學習技術來分析容器的行為,創建一個只允許訪問觀察到的行為和功能的模型。這包括文件訪問、網絡訪問、卷裝載和系統調用使用。
靈洞可以將檢測到的行為映射到ATT&CK框架的類別中,使安全服務團隊能夠看到整個殺傷鏈,并了解和分析其安全基礎架構中的漏洞。收集有關鏡像、容器、協調器和主機的實時運行數據,提供作為事件記錄的數據流,并可通過華云安的第三方連接器發送到用戶的SIEM、分析或監控工具中。
6.情報訂閱
華云安關注全球安全情報,與多方廣泛合作,建立起了VTI情報系統,并成為攻擊面管理的重要情報來源。VTI情報系統提供實時情報,并提供廣泛的操作系統和編程語言支持、應用程序依賴性檢測,整合多個情報來源(CNNVD、CNVD、供應商咨詢和定向研究)的專有算法減少誤報和漏報。
靈洞可以從華云安情報系統獲取漏洞披露情報,結合資產和攻擊面信息,精確分析、發現最易受到攻擊的關鍵攻擊面風險點。優先修補關鍵漏洞,可以在數以千計的漏洞管理中降低管控難度,進而最大化降低通過攻擊面受到漏洞攻擊的概率。
二、攻擊面收斂和修復
在攻擊面被利用之前,我們需要使用各種手段進行攻擊面收斂和修復。重點關注最重要和最緊急的漏洞,根據您運行環境的應用、攻擊的可用性和可利用性級別,優先考慮那些對您的環境造成最高風險的漏洞。
靈洞通過為每個選定的檢查授予特定的和臨時的經過身份驗證的訪問權限,在偏離策略時自動修復配置錯誤的服務,并對所選修復程序進行精細控制。靈洞通過自動化評估集群的安全配置和合規性,識別風險,修復風險因素。
靈洞使用靜態和動態掃描的結果來創建靈活的鏡像保護策略,以確定允許哪些鏡像通過您的管道并在您的集群或主機中運行。保證策略基于漏洞分數或嚴重性、惡意軟件嚴重性、敏感數據的存在、root權限或超級用戶權限的使用等的任意組合進行優先級判定,
靈洞根據危害指標、漂移預防和行為分析獲得精細的自動化響應,以阻止惡意行為,系統僅阻止違反策略的活動,而不影響合法的容器操作,很大程度上可以緩解供應鏈和零日攻擊。
三、攻擊面發現
靈洞提供多種可視化界面,直觀顯示用戶攻擊面態勢,協助用戶識別風險、處置事件。靈洞可實時顯示集群、命名空間、部署、節點和應用程序中的風險因素。可以與正在運行的集群的動態地圖進行交互,該地圖可突出顯示集群安全風險并對其進行評級。實時查看命名空間、部署、節點(主機)、容器和它們所來自的鏡像,以及命名空間之間、內部的網絡連接。
靈洞可將檢測到的行為映射到ATT&CK框架的類別中,使安全服務團隊能夠看到整個殺傷鏈,并了解和分析其安全基礎架構中的漏洞。靈洞可直觀在地圖上顯示容器與外部目標(包括文件下載、C&C服務器和數據泄漏目標)之間的所有通信。
四、攻擊面管理報告
靈洞提供多種格式報告供用戶使用,滿足各種管理需求。靈洞根據安全基線標準,通過100多項單獨檢查、提供掃描和詳細的調查結果報告,自動對您的云原生環境進行合規性檢查,輸出合規檢查報告。
靈洞通過特定類型的檢查和條件構建自己的自定義報告,可以提供資產、攻擊面、事件等多種報告。您的報告可以按地區、云提供商服務類別(例如,阿里、騰訊)、嚴重性級別等進行分類。導出為HTML或PDF、WORD、Excel。
