Sysdig Secure更新增加了在运行时阻止容器攻击的能力
Sysdig的Drift Control可以检测并阻止运行在运行时添加或修改的软件包或二进制文件的企图
容器和云安全公司Sysdig宣布了一项新功能,即Drift Control,旨在检测和防止运行时的容器攻击。
Drift Control将作为Sysdig Secure的一部分发挥作用,Sysdig Secure是为检测容器的漏洞而建立的。Sysdig Secure是Sysdig容器智能平台的一个组成部分,它包括几个面向容器的安全应用。
Drift Control旨在检测、预防和加快对生产中被修改的容器(也称为容器漂移)的事件响应,它提供了填补由于偏离可信的原始容器而产生的 "危险安全漏洞 "的能力。
"Sysdig公司安全产品营销经理Daniella Pontes说:"Drift Control检测并防止执行在容器部署到生产中后添加或修改的包或二进制文件。"通过防止在生产中执行添加或修改的可执行文件,Drift Control确保容器软件在其生命周期内不被修改,执行其不变性,保持从源头到运行的一致性,并防止可能成为攻击一部分的行动。"
此外,Sysdig宣布改进恶意软件和加密攻击的检测,其特点是来自Proofpoint新兴威胁(ET)情报和Sysdig自己的威胁研究团队的威胁情报反馈。
根据Sysdig的博客文章,Sysdig与Proofpoint合作,因为该公司提供带有背景和分类的恶意软件检测,持续更新关于恶意软件和域名的情报,并遵循一个强大的威胁评分系统。
现有的和新的Sysdig Secure客户都可以访问漂移控制和新的威胁反馈,不需要额外费用。
容器漂移是如何发生的
据Pontes说,一个典型的容器部署在生产过程中会出现漂移的情况,包括:
- 试图运行一个用软件包管理器下载或更新的软件包。
- 试图运行下载的恶意文件中的嵌入式可执行文件,例如恶意软件。
- 试图运行一个权限/属性已被改变为可执行的文件。
Pontes补充说,Drift Control可以检测并阻止这些新的或修改过的可执行文件。Sysdig通过容器的生命周期跟踪这些可执行文件,当它们试图运行时,拒绝或停止这些可执行文件。
此外,Drift Control的建立是为了让企业防止进行难以跟踪和安全的临时修改的 "危险的传统做法",Pontes说。 "鉴于云原生环境的动态性质和遗留实践延续到云环境,团队往往忽视或无法执行不变性的最佳实践,留下漂移导致的安全漏洞。Drift Control提供了自动执行Kubernetes的云原生不变性原则的能力。"
Tag Cyber的分析师Gary McAlum说,容器漂移不一定是一个不断上头条的问题,但它是一个需要考虑和适当解决的风险。"虽然它很可能不在'最常见'的攻击名单上,但对于一个获得不受限制地进入公司生产环境的复杂攻击者来说,它是一个真正的目标。"
"除非你的容器配置得当,否则它们可以被修改,例如,通过权限升级,这可以在运行时环境中造成破坏,"McAlum说。
此外,由于容器在 Kubernetes环境中相互通信,威胁在集群中横向移动的危险性也会增加。
Sysdig平台以Falco为基础
McAlum说,Drift Control是对Sysdig容器安全平台的一个 "非常强大的增强",他补充说,Sysdig将其平台和安全功能建立在Falco标准之上,这是一个巨大的优势。
Falco是Sysdig在2016年创建的一个开源标准工具,用于跨Kubernetes、容器和云的持续风险和威胁检测。2018年10月,Falco被接受为云原生计算基金会(CNCF)孵化级项目。CNCF是一个开源的软件基金会,促进云原生计算的采用。
Sysdig Secure除了新增加的Drift Control功能和威胁反馈外,还具有安全团队通过按需安全shell访问挖掘被破坏或可疑容器的能力,以调查被阻止的可执行文件和相关系统通信。
最近,Sysdig推出了Risk Spotlight,这是一个基于运行时智能的漏洞优先级工具,旨在让安全团队优先进行修复。