一、行為模型的意義
近年來,隨著企業應用云原生業務越來越多,容器運行威脅也越發頻繁,這給企業帶來的負面影響越來越大。容器運行時安全成為企業及云原生安全的重點關注問題。容器運行時作為容器全生命周期核心,負責管理容器運行的全階段。而介于云原生業務、編排機制之間的容器所具有的短生命周期特點也成為攻擊者的新目標,并且傳統應對長生命周期資產的手段便不再適用。與之相應的是,鏡像這類持久化資產則成為攻擊者的另一目標。
面對多重運行時的攻擊威脅,安全狗基于云原生安全、CWPP、安全左移等多個先進技術概念打造的云原生安全產品——云甲,即,容器全生命周期安全解決方案所落地的雙模式檢測方案能有效應對并解決。
云甲·容器全生命周期安全解決方案
云甲是安全狗打造的守護容器云原生安全產品。
云甲可提供容器全生命周期安全防護。通過透明化分析鏡像容器資產信息、在鏡像倉庫和運行容器中,引入病毒檢測、異常檢測和合規掃描,截斷惡意代碼代入到運行環境,檢測防護容器自身、部署環境及運行時安全。通過監控POD、容器流量訪問,控制惡意流量入侵、配置網絡策略,全方位保障容器云安全。
在落地的云甲設計雙模式檢測方案中,一方面,針對已知威脅,建立特征準確、覆蓋面廣、更新及時的異常檢測機制;針對未知威脅,研究發現鏡像容器內進程文件等具有相似性、一致性。如攻擊者嘗試繞過進程白名單,致使某進程所在的文件路徑與正常運行時不同。另一方面,即可通過建立行為模型,從業務運行期間的海量數據中識別出異常行為。
圖1
二、典型的容器環境未知風險
01、0day漏洞被利用導致逃逸
容器編排平臺、容器內的軟件應用以及宿主機內核時不時爆發零日漏洞。然而,對于此類漏洞的響應往往存在一定的滯后性,由于缺少充分的漏洞信息,很多安全事件分析師往往需要時間分析提煉規則。對此,攻擊者在防護“空窗期”對漏洞進行利用,往往使得受害者猝不及防。在攻擊者利用此類漏洞的過程中,所執行的EXP可能產生大量的可疑進程,執行成功后的容器可能會開放端口獲取交互shell。
02、容器內下載惡意軟件應用
對于開放網絡的容器,攻擊者可能下載惡意的軟件應用,繼而對容器環境實施攻擊。惡意軟件可能產生可疑進程,修改容器文件目錄或異常的對外開放端口。
03、容器內掃描集群內網端口
攻擊者可能會利用失陷的容器進行針對K8s集群內部、內網主機的橫向滲透。例如,攻擊者進入容器內部后,為了進一步擴大戰果,需要收集內網信息,可利用端口掃描工具掃描集群內網,在此過程中易產生大量的端口連接。
三、行為模型解決方案
通過對不同的運行時未知風險的深入分析,云甲研發團隊研究出最佳運行時行為模型方案,即,從系統級別監測管控容器行為,客戶端側實時采集行為活動數據,生成行為日志。云端側對上報數據分析、建模,通過聯合威脅情報風險信息,識別容器異常行為。通過針對性分析,進而推送異常告警及安全策略,實現風險可視、可管、可控。采用建模系統、運行時監測系統、策略配置系統這三大系統,實現容器鏡像集群行為風險的智能化檢測與安全響應。
圖2
01 建模系統——構建低偏差模型畫像
建模系統作為行為模型最重要的環節,云甲遵循3項理念:自生成、可調整、聚合與復用。
自生成
云甲行為模型具備自學習、無需監督方式,即可自動構建出行為模型。建立模型后,當發現偏離模型的行為則可認為是異常行為,需要進一步分析判斷。
可調整
數據分析近乎一半的容器生命周期小于1小時,普通自學習模型并沒有專門的分析,更加沒有對模型做進一步優化,不僅實際效力較低,而且穩定性方面較差。這類具有缺陷的模型系統,是無法使用或要做進一步的改造。模型畫像的精確性需要通過不斷的學習、調整、聚合才可獲得。而云甲具備手動調整自學習模型,可創建各種場景化模型能力。在將兩種模型結合的基礎上,通過行為界定或范圍確定,應用統計的思想,把某個時間段的行為特征作為樣本,研究其樣本分布,進一步確定模型,以此獲得較高準確性和穩定性的模型系統。
聚合與復用
根據云原生容器業務分析以及威脅攻擊情報顯示,鏡像相比容器具備持久化特點。一個風險的鏡像可以發布到更多的集群節點,影響到更多運行上線的容器與云原生業務。而通過云甲組建集群維度的分析,可跨越單個容器或鏡像的局限,發現更全面、具備代表性的行為基準。通過容器模型聚合而成鏡像模型,鏡像模型復用到容器模型。通過鏡像持久化聚合出集群內的業務活動模型,做到從N到一,一到N模型的聚合與復用。通過落地此理念,可極大減少資源消耗與占用,符合業務模型統一性提高準確性。
02 運行時監測系統——智能分析研判
云甲可通過行為模型進行狀態跟蹤,判斷各類異常行為,發現隱藏的未知威脅;彌補只通過特征庫檢測已知風險的單面性,讓威脅攻擊無處遁形。實時數據跟蹤:經過對容器內進程、文件、網絡等活動數據實時采集、數據對比、數據存儲等,實現運行時業務活動的實時監控,并形成行為審計日志,實現基于行為模型的異常行為分析、監控和異常上報等功能,以此達到及時發現威脅并預警效果。
03 策略配置系統——風險閉環處理
為了應對運行時異常威脅的發現,云甲采用模型策略配置和響應策略配置兩種方式達到及時的閉環響應處置目的,為運維人員提供及時、便捷的防護措施。通過事件研判上報、內容分析,可調整策略中的模型聚合、模型分離,從而實現容器模型、鏡像模型不同場景下的畫像調整;通過配置進程、文件、網絡等行為活動的行為黑白名單響應操作包括不限于阻止異常進程、只讀文件、網絡端口訪問限制等,配置自動處置策略,并且結合自動處置與威脅告警,增強安全事件的響應速度,從而形成風險閉環。
四、結論與展望
以上是安全狗云甲研發團隊基于用戶所面臨的容器運行時威脅所做的云原生容器安全解決思路與落地經驗分享。值得關注的是,安全狗近期所發布的云甲新版本中也具備了以上所提的功能。
后續云甲也將針對異常行為監控與判斷、在不同場景下活動特征、模型構建算法等方面做進一步探索。希望為用戶建立更科學合理的模型,更全面的威脅監控,以及編排化的快速響應支撐,助力國內云原生安全快速發展。
