Attivo為容器和無服務(wù)器帶來的網(wǎng)絡(luò)安全問題

時間：2020-05-22 13:18:01

關(guān)鍵字：網(wǎng)絡(luò)安全 TI AN DIRECT

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] （文章來源：新華能網(wǎng)）隨著組織開始采用容器和無服務(wù)器技術(shù)，需要保護這些部署模型。9月24日，Attivo Networks宣布進入集裝箱和無服務(wù)器安全市場，更新其ThreatDefen

（文章來源：新華能網(wǎng)）

隨著組織開始采用容器和無服務(wù)器技術(shù)，需要保護這些部署模型。9月24日，Attivo Networks宣布進入集裝箱和無服務(wù)器安全市場，更新其ThreatDefend網(wǎng)絡(luò)安全欺騙平臺。網(wǎng)絡(luò)安全欺騙的基本思想是提供看似真實的資源，以欺騙和誘捕攻擊者揭露自己。通過新的ThreatDefend更新，AtTIvo正在添加以容器和AWS Lambda無服務(wù)器云服務(wù)本機運行的欺騙。

“我們作為一家公司所看到的是，公司開始非常積極地研究用于網(wǎng)內(nèi)威脅檢測的欺騙技術(shù)，我們發(fā)現(xiàn)他們希望在所有攻擊面上都能獲得相同的無處不在的檢測，”Carolyn Crandall ，AtTIvo Networks的首席欺騙官告訴eWEEK?！拔覀冎暗玫搅艘恍┲С?，基本上是在云中進行了一些常規(guī)誘餌和欺騙，現(xiàn)在我們已經(jīng)發(fā)展它以便能夠支持無服務(wù)器和容器架構(gòu)。

容器(包括Docker容器)提供了隔離和虛擬化正在運行的應(yīng)用程序的機制。另一方面，無服務(wù)器(有時也稱為服務(wù)功能)使組織能夠在不需要運行服務(wù)器實例的情況下運行功能。

Crandall解釋說，AtTIvo為云中的容器和無服務(wù)器部署構(gòu)建的欺騙包括一系列誘餌，這些誘餌似乎是攻擊者，就像它們是真正的生產(chǎn)容器或無服務(wù)器功能一樣。此外，AtTIvo對容器和無服務(wù)器的欺騙還包括使用嵌入誘餌憑證，以試圖引誘攻擊者。

“為了吸引攻擊者參與，它(誘餌)必須是真實的，鏡像與生產(chǎn)相匹配，”克蘭德爾說?！耙虼?，我們進行了廣泛的開發(fā)，以確保在這些新的云環(huán)境中都是如此?！庇辛似垓_誘餌和虛假證書，一旦針對誘餌發(fā)生攻擊，Crandall說Attivo平臺提供攻擊分析和取證，以幫助組織了解攻擊者如何操作以及應(yīng)該采取什么措施來阻止他們作為事件的一部分回應(yīng)過程。

Attivo為新的云，容器和無服務(wù)器安全功能擴展的ThreatDefend平臺的一部分是BOTsink，它為破壞后檢測提供基于網(wǎng)絡(luò)的威脅欺騙。BOTsink與公共云提供商合作，也可以部署在Kubernetes容器集群部署中。“您可以使用任何編排環(huán)境在Kubernetes環(huán)境中部署ThreatDirect容器，”產(chǎn)品管理聯(lián)合創(chuàng)始人兼副總裁Marc Feghali告訴eWEEK?！癟hreatDirect連接器將隧道回到BOTsink平臺，并在該本地子網(wǎng)上投射所有欺騙功能?！?/p>

Feghali解釋說，在AWS云中，組織首先將BOTsink部署到可用區(qū)。最重要的是ThreatDefend平臺的Attivo ThreatDirect組件，F(xiàn)eghali說這基本上是一個消耗本地IP地址的虛擬機，并提供攻擊者可能參與的誘餌服務(wù)。

他補充說，組織還可以選擇部署一組誘餌憑證，包括Lambda無服務(wù)器功能內(nèi)的帳戶訪問令牌和SSH密鑰，以及Amazon S3存儲桶。因此，如果攻擊者以某種方式進入云部署并在Lamda函數(shù)中查找?guī)魬{據(jù)，他們將找到誘餌憑據(jù)，這些憑據(jù)不會影響生產(chǎn)環(huán)境，但會向組織提示攻擊者在其中存在云部署，F(xiàn)eghali說。

Feghali解釋說，當攻擊者已經(jīng)進入云環(huán)境時，可以查看存在的所有不同資源。一旦攻擊者追蹤其中一個Attivo誘餌，F(xiàn)eghali說，至少，組織會收到違規(guī)帳戶的警報，該系統(tǒng)已被感染，并使用了哪些憑據(jù)。他補充說，通過與攻擊者的接觸，ThreatDefend平臺能夠為用戶提供攻擊的策略，技術(shù)和程序(TTP)。

“我們與其他系統(tǒng)集成，如NAC [網(wǎng)絡(luò)訪問控制]和端點安全解決方案，以阻止數(shù)據(jù)泄露和隔離受感染的端點，”他說。“我們擁有一個擁有超過25家供應(yīng)商的廣泛集成生態(tài)系統(tǒng)，而且我們一直在擴展?！本W(wǎng)絡(luò)安全欺騙技術(shù)市場是一個活躍的市場，包括Illusive，TrapX，Acalvio，F(xiàn)idelis和賽門鐵克等多家供應(yīng)商。

Crandall表示，Attivo通過對網(wǎng)絡(luò)和端點欺騙進行廣泛的攻擊面覆蓋來區(qū)別于其他人。她還認為Attivo的方法被攻擊者認為是可信的，因此誘餌似乎與在生產(chǎn)環(huán)境中運行的真實服務(wù)相同。誘餌真實性的一部分是通過機器學習功能實現(xiàn)的，這些功能是Attivo技術(shù)的一部分。