用Tracee检测云原生安全威胁
开源的Tracee使用Linux eBPF技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式
云端原生威胁的情况在不断变化。Aqua公司鹦鹉螺团队2021年的研究显示,攻击的复杂程度更高,针对容器基础设施的攻击量也在增加。该研究表明,脆弱的容器可以在不到一小时内被利用,这强调了云原生环境中可见性和实时威胁检测的重要性。
为了有效,威胁检测必须包括云原生环境的工作负载的广度,包括容器、虚拟机和无服务器功能,有能力检测针对云原生环境的攻击中所使用的策略。重要的是,检测必须是实时的,并且对生产的破坏性最小。
同样在InfoWorld上:用Trivy扫描器将安全问题纳入CI/CD
这些关键属性是创建Tracee的重要因素,Tracee是Aqua Security针对Linux的开源云原生运行时安全和取证工具。Tracee使用eBPF技术在运行时跟踪系统和应用程序,并分析收集的事件以检测可疑的行为模式。因此,团队可以保护他们的容器,确保应用程序保持在线和安全。Tracee正在迅速获得采用,目前在GitHub上有近2K颗星,有一个活跃的用户和贡献者社区。
关于eBPF的简要介绍
eBPF是一种相对较新的方法,以安全、高性能和灵活的方式将扩展性引入Linux内核。eBPF程序可以加载到内核中,并由许多不同类型的事件触发,包括内核中的网络、安全和基本生命周期事件。
eBPF的优势的一个例子是识别应用程序的异常行为,如将文件写入重要的系统目录。eBPF代码可以响应文件事件运行,以检查那些是否是特定工作负载的预期。因为这是你的代码,你可以收集任何类型的有意义的数据,否则将很难获得或没有效率。这就为许多复杂的检测技术打开了大门。
Tracee的演变
Tracee最初是一个内部工具,使Aqua的研究部门,鹦鹉螺团队,能够收集正在运行的容器中的事件。我们的目标是开发一个强大的追踪工具,从根本上为安全而设计。第一个版本专注于基本的事件收集。该团队开始逐步增加功能,将Tracee打造成一个整体的安全工具,并在2019年9月将其作为一个开源项目发布给社区。这使得从业者和研究人员能够从Tracee的功能中受益,同时Aqua从社区获得了有益的见解,以改善该工具。一路走来,新的功能被添加进来,如捕捉法医证据的能力,精确的过滤机制,以及额外的集成。
2021年2月,Aqua发布了0.5.0版本的Tracee,这标志着Tracee开始从一个系统跟踪CLI工具演变成一个具有行为分析能力的运行时安全解决方案,这要归功于规则引擎和规则库的引入,它可以检测Aqua识别的不同可疑行为模式。
今天的Tracee:一个强大的开放源码软件安全工具
自2019年创建以来,Tracee已经从一个开源的系统跟踪工具发展成为一个强大的运行时安全解决方案,包括一个CLI工具,一个用于编写eBPF程序的Go库,以及一个处理trace-ebpf事件和检测可疑活动的规则引擎。Tracee以Docker镜像的形式交付,很容易运行。一个Kubernetes安装程序使得使用Tracee来保证集群的安全并以方便的方式消耗检测结果变得容易。
Tracee开箱即有一套基本规则(称为签名),涵盖各种攻击和规避技术。用户可以通过编写自己的签名来扩展Tracee。签名是用Rego编写的,它是流行的云原生计算基金会项目Open Policy Agent背后的语言。这使得用户可以重新使用他们现有的技能和工具,并以一种成熟的语言编写具有表现力的签名。
除了开源签名,付费客户还可以访问Aqua的研究团队Nautilus创建和维护的签名综合数据库,该团队不断评估网络安全的现实进展,并以Tracee签名的形式创建缓解措施。
与其他许多检测引擎不同,Tracee从一开始就使用eBPF,并收集所有的系统调用(约330个)以及其他面向安全的事件,开箱即用。其他解决方案建立在内核模块上,可能会影响系统的稳定性并留下系统调用跟踪的漏洞,而Tracee对eBPF的使用是安全和高性能的,并且Trace具有防止攻击者规避的周到功能。
例如,默认情况下,Trace鼓励追踪LSM(Linux安全模块)事件,而不是在适用时追踪系统调用。Linux 安全模块是一套可插入的钩子,旨在被安全工具使用。例如,Tracee 可以追踪 security_file_open LSM 事件,而不是追踪 open/openat 系统调用,这对于安全目的来说更加准确、可靠和安全。
Tracee最近的更新包括使用 "一次编译:随处运行"的方法实现跨内核版本的可移植性,这样就不需要编译eBPF探针或提供内核头文件。原来的方法需要一个支持BTF(BPF类型格式)的最新Linux内核。但Tracee解决了这个问题,并使用一种新颖的方法支持较老的内核,这种方法是开源的,而且部分是向Linux项目本身的上游延伸。这在开源项目btfhub中有所涉及。
Tracee在云原生检测和响应中的作用
Tracee是Aqua的动态威胁分析(DTA)产品的基础,这是一个通过运行容器来扫描容器的沙盒式扫描器。DTA能够检测到传统扫描工具无法发现的恶意容器,是Aqua行业领先的云原生检测和响应(CNDR)解决方案的一个重要组成部分。CNDR使用不断增加的数百个行为指标,从Tracee浮现的低级eBPF事件中识别攻击。DTA、CNDR和Tracee将来自专门的云原生安全研究团队的行为指标与eBPF事件相结合,在运行时进行实时威胁检测。
[InfoWorld上还有:2021年最佳开源软件]
Tracee在Aqua的开源软件生态系统中的作用
Tracee是Aqua的开源、云原生安全项目家族的一部分。Aqua认为开源是一种使安全民主化的方式,并通过可获得的工具教育工程、安全和开发团队,降低云原生安全的准入门槛。Aqua的另一个开源项目是Trivy,世界上最受欢迎的开源漏洞扫描器。Trivy帮助团队 "左移",将安全纳入构建管道。Trivy扫描代码库和工件的漏洞、基础设施即代码的错误配置和秘密,并生成SBOM(软件材料清单),以及其他功能。
这些项目与Aqua的云原生应用保护平台(CNAPP)以及许多常用的devops生态系统工具集成,以帮助推动更快地采用云原生技术和流程,同时保持安全性。Aqua的开放源码项目由Aqua的开放源码团队建立和维护,该团队与商业工程分开运作,以维持公司对提供可靠的开放源码解决方案的承诺,继续开发新功能和处理用户反馈,并不断为开放源码社区的其他项目作出贡献。