随着向云计算基础设施的转移,我们已经看到了云原生应用的快速增长。这些应用程序是小型、快速且集成的服务的集合。通过创建和运行云原生应用程序,企业可以更快地将新想法推向市场,并立即响应客户需求。这些应用程序通常使企业能够在现代动态云环境(例如公共云,私有云和混合云)中构建和运行可伸缩应用程序。
灵洞-威胁与漏洞管理平台Ai.Vul(简称灵洞)是华云安基于大数据和知识图谱架构自主构建的一套面向企业客户的新一代攻击面管理平台。使企业能够保护他们的云原生环境,包括从开发到生产的整个流程,加速容器采用效率,将安全无缝的接入DevOps流程。无论应用程序部署在何处,云原生攻击面管理产品在整个应用程序生命周期管理中提供预防、检测和响应自动化,以保护构建阶段、保护云基础架构平台和保护运行等各方面安全。同时借助于华云安攻击面情报,云原生攻击面管理产品能够最快速检测和处置最新发生的攻击面威胁风险,保护用户资产。
一、攻击面发现
1.安全构建
灵洞在开发和部署阶段扫描漏洞,恶意软件,敏感数据以及其他风险,并通过弹性,动态策略控制应用部署到运行环境。通过“安全左移”,更早更快的发现DevOps构建过程中导致的攻击面和威胁。
在应用开发和构建阶段,灵洞在CI/CD流程中自动执行代码审计,并持续扫描代码、镜像、注册数据和云函数功能应用、存储以检测新出现的风险,使开发人员能够快速解决问题。
2.镜像扫描
灵洞提供镜像扫描,对于镜像中的每一层文件,通过识别其组件之中的漏洞来评估该层的风险,通过暴露镜像特定层,并通过更新易受攻击文件包或将镜像回滚到以前的版本来加快补救速度。
灵洞通过自动扫描云注册信息和镜像来增强安全性,确保不会将恶意或易受攻击的应用部署到基于云的集群中。
3.漏洞扫描
整个开发周期中,通过检测漏洞、敏感数据及其他安全问题,收敛用户的攻击面,保护云原生应用。深入了解漏洞态势,并根据环境风险确定补救和缓解措施的优先级。
提供企业级轻量漏洞发现与检测工具,帮助用户轻松构建实战化防御能力,让安全漏洞无所遁形;
提供基于知识图谱化的指纹经验库和17000+的检测规则,对目标指纹信息进行准确的分析识别,对比传统技术的在识别准确率上提升40%。
基于PoC原理+自验证检测方式,采用智能化扫描插件,每个插件都来源于实战研究,能够根据扫描过程调整验证算法,全方位多维度的探测目标风险。
4.配置和合规检查
全面扫描虚拟机镜像、容器镜像和云函数功能,以查找敏感数据、许可问题、隐藏的恶意软件、配置问题和配置过高的权限。使用灵洞灵活的验证策略为每个发现的问题设置阈值,将其标记为不合规,并防止其通过集成管道进入生产环境。
灵洞持续审核用户的云帐户,以了解数百个配置设置和合规性最佳实践中的安全风险和错误配置,从而实现一致、统一的多云安全。
获取由互联网安全中心(CIS)基金会针对公共云的基准测试所映射和认证的报告,以评估您的云帐户的安全性并确保合规性。根据镜像内容和配置以及POD属性,控制Kubernetes应用的安全状况。与灵洞的镜像保证政策配合使用,以防止部署不安全和不合规的应用。
持续了解管道中的漏洞态势,在部署容器之前减少攻击面。获取容器和Kubernetes运行时环境的详细审计和取证数据,以跟踪违规事件和合规情况。通过根据CIS Benchmark for Linux评估操作系统配置、扫描恶意软件和漏洞以及确保实施最佳安全配置。
5.动态威胁分析
灵洞在运行时分析容器镜像,检查和跟踪行为异常,以发现静态扫描程序无法检测到的高级恶意威胁。在安全的沙盒环境中运行镜像,该环境可跟踪危害指标(IOC),如容器逃逸、反向外壳后门、恶意软件下载、代码注入后门和网络异常。发现隐藏在开源软件包和第三方镜像中的复杂恶意软件,防止对基于容器的应用程序的攻击,包括凭据窃取、加密货币挖掘和数据泄漏。
灵洞选择第三方、敏感或预生产镜像进行动态分析,以识别隐藏的风险,并自动将威胁检测添加到您的CI流程和注册流程中。灵洞的行为分析使用先进的机器学习技术来分析容器的行为,创建一个只允许访问观察到的行为和功能的模型。这包括文件访问、网络访问、卷装载和系统调用使用。
灵洞可以将检测到的行为映射到ATT&CK框架的类别中,使安全服务团队能够看到整个杀伤链,并了解和分析其安全基础架构中的漏洞。收集有关镜像、容器、协调器和主机的实时运行数据,提供作为事件记录的数据流,并可通过华云安的第三方连接器发送到用户的SIEM、分析或监控工具中。
6.情报订阅
华云安关注全球安全情报,与多方广泛合作,建立起了VTI情报系统,并成为攻击面管理的重要情报来源。VTI情报系统提供实时情报,并提供广泛的操作系统和编程语言支持、应用程序依赖性检测,整合多个情报来源(CNNVD、CNVD、供应商咨询和定向研究)的专有算法减少误报和漏报。
灵洞可以从华云安情报系统获取漏洞披露情报,结合资产和攻击面信息,精确分析、发现最易受到攻击的关键攻击面风险点。优先修补关键漏洞,可以在数以千计的漏洞管理中降低管控难度,进而最大化降低通过攻击面受到漏洞攻击的概率。
二、攻击面收敛和修复
在攻击面被利用之前,我们需要使用各种手段进行攻击面收敛和修复。重点关注最重要和最紧急的漏洞,根据您运行环境的应用、攻击的可用性和可利用性级别,优先考虑那些对您的环境造成最高风险的漏洞。
灵洞通过为每个选定的检查授予特定的和临时的经过身份验证的访问权限,在偏离策略时自动修复配置错误的服务,并对所选修复程序进行精细控制。灵洞通过自动化评估集群的安全配置和合规性,识别风险,修复风险因素。
灵洞使用静态和动态扫描的结果来创建灵活的镜像保护策略,以确定允许哪些镜像通过您的管道并在您的集群或主机中运行。保证策略基于漏洞分数或严重性、恶意软件严重性、敏感数据的存在、root权限或超级用户权限的使用等的任意组合进行优先级判定,
灵洞根据危害指标、漂移预防和行为分析获得精细的自动化响应,以阻止恶意行为,系统仅阻止违反策略的活动,而不影响合法的容器操作,很大程度上可以缓解供应链和零日攻击。
三、攻击面发现
灵洞提供多种可视化界面,直观显示用户攻击面态势,协助用户识别风险、处置事件。灵洞可实时显示集群、命名空间、部署、节点和应用程序中的风险因素。可以与正在运行的集群的动态地图进行交互,该地图可突出显示集群安全风险并对其进行评级。实时查看命名空间、部署、节点(主机)、容器和它们所来自的镜像,以及命名空间之间、内部的网络连接。
灵洞可将检测到的行为映射到ATT&CK框架的类别中,使安全服务团队能够看到整个杀伤链,并了解和分析其安全基础架构中的漏洞。灵洞可直观在地图上显示容器与外部目标(包括文件下载、C&C服务器和数据泄漏目标)之间的所有通信。
四、攻击面管理报告
灵洞提供多种格式报告供用户使用,满足各种管理需求。灵洞根据安全基线标准,通过100多项单独检查、提供扫描和详细的调查结果报告,自动对您的云原生环境进行合规性检查,输出合规检查报告。
灵洞通过特定类型的检查和条件构建自己的自定义报告,可以提供资产、攻击面、事件等多种报告。您的报告可以按地区、云提供商服务类别(例如,阿里、腾讯)、严重性级别等进行分类。导出为HTML或PDF、WORD、Excel。
