Attivo為容器和無(wú)服務(wù)器帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題
掃描二維碼
隨時(shí)隨地手機(jī)看文章
(文章來(lái)源:新華能網(wǎng))
隨著組織開(kāi)始采用容器和無(wú)服務(wù)器技術(shù),需要保護(hù)這些部署模型。9月24日,Attivo Networks宣布進(jìn)入集裝箱和無(wú)服務(wù)器安全市場(chǎng),更新其ThreatDefend網(wǎng)絡(luò)安全欺騙平臺(tái)。網(wǎng)絡(luò)安全欺騙的基本思想是提供看似真實(shí)的資源,以欺騙和誘捕攻擊者揭露自己。通過(guò)新的ThreatDefend更新,AtTIvo正在添加以容器和AWS Lambda無(wú)服務(wù)器云服務(wù)本機(jī)運(yùn)行的欺騙。
“我們作為一家公司所看到的是,公司開(kāi)始非常積極地研究用于網(wǎng)內(nèi)威脅檢測(cè)的欺騙技術(shù),我們發(fā)現(xiàn)他們希望在所有攻擊面上都能獲得相同的無(wú)處不在的檢測(cè),”Carolyn Crandall ,AtTIvo Networks的首席欺騙官告訴eWEEK?!拔覀冎暗玫搅艘恍┲С?,基本上是在云中進(jìn)行了一些常規(guī)誘餌和欺騙,現(xiàn)在我們已經(jīng)發(fā)展它以便能夠支持無(wú)服務(wù)器和容器架構(gòu)。
容器(包括Docker容器)提供了隔離和虛擬化正在運(yùn)行的應(yīng)用程序的機(jī)制。另一方面,無(wú)服務(wù)器(有時(shí)也稱為服務(wù)功能)使組織能夠在不需要運(yùn)行服務(wù)器實(shí)例的情況下運(yùn)行功能。
Crandall解釋說(shuō),AtTIvo為云中的容器和無(wú)服務(wù)器部署構(gòu)建的欺騙包括一系列誘餌,這些誘餌似乎是攻擊者,就像它們是真正的生產(chǎn)容器或無(wú)服務(wù)器功能一樣。此外,AtTIvo對(duì)容器和無(wú)服務(wù)器的欺騙還包括使用嵌入誘餌憑證,以試圖引誘攻擊者。
“為了吸引攻擊者參與,它(誘餌)必須是真實(shí)的,鏡像與生產(chǎn)相匹配,”克蘭德?tīng)栒f(shuō)。“因此,我們進(jìn)行了廣泛的開(kāi)發(fā),以確保在這些新的云環(huán)境中都是如此。”有了欺騙誘餌和虛假證書(shū),一旦針對(duì)誘餌發(fā)生攻擊,Crandall說(shuō)Attivo平臺(tái)提供攻擊分析和取證,以幫助組織了解攻擊者如何操作以及應(yīng)該采取什么措施來(lái)阻止他們作為事件的一部分回應(yīng)過(guò)程。
Attivo為新的云,容器和無(wú)服務(wù)器安全功能擴(kuò)展的ThreatDefend平臺(tái)的一部分是BOTsink,它為破壞后檢測(cè)提供基于網(wǎng)絡(luò)的威脅欺騙。BOTsink與公共云提供商合作,也可以部署在Kubernetes容器集群部署中。“您可以使用任何編排環(huán)境在Kubernetes環(huán)境中部署ThreatDirect容器,”產(chǎn)品管理聯(lián)合創(chuàng)始人兼副總裁Marc Feghali告訴eWEEK?!癟hreatDirect連接器將隧道回到BOTsink平臺(tái),并在該本地子網(wǎng)上投射所有欺騙功能。”
Feghali解釋說(shuō),在AWS云中,組織首先將BOTsink部署到可用區(qū)。最重要的是ThreatDefend平臺(tái)的Attivo ThreatDirect組件,F(xiàn)eghali說(shuō)這基本上是一個(gè)消耗本地IP地址的虛擬機(jī),并提供攻擊者可能參與的誘餌服務(wù)。
他補(bǔ)充說(shuō),組織還可以選擇部署一組誘餌憑證,包括Lambda無(wú)服務(wù)器功能內(nèi)的帳戶訪問(wèn)令牌和SSH密鑰,以及Amazon S3存儲(chǔ)桶。因此,如果攻擊者以某種方式進(jìn)入云部署并在Lamda函數(shù)中查找?guī)魬{據(jù),他們將找到誘餌憑據(jù),這些憑據(jù)不會(huì)影響生產(chǎn)環(huán)境,但會(huì)向組織提示攻擊者在其中存在云部署,F(xiàn)eghali說(shuō)。
Feghali解釋說(shuō),當(dāng)攻擊者已經(jīng)進(jìn)入云環(huán)境時(shí),可以查看存在的所有不同資源。一旦攻擊者追蹤其中一個(gè)Attivo誘餌,F(xiàn)eghali說(shuō),至少,組織會(huì)收到違規(guī)帳戶的警報(bào),該系統(tǒng)已被感染,并使用了哪些憑據(jù)。他補(bǔ)充說(shuō),通過(guò)與攻擊者的接觸,ThreatDefend平臺(tái)能夠?yàn)橛脩籼峁┕舻牟呗裕夹g(shù)和程序(TTP)。
“我們與其他系統(tǒng)集成,如NAC [網(wǎng)絡(luò)訪問(wèn)控制]和端點(diǎn)安全解決方案,以阻止數(shù)據(jù)泄露和隔離受感染的端點(diǎn),”他說(shuō)?!拔覀儞碛幸粋€(gè)擁有超過(guò)25家供應(yīng)商的廣泛集成生態(tài)系統(tǒng),而且我們一直在擴(kuò)展。”網(wǎng)絡(luò)安全欺騙技術(shù)市場(chǎng)是一個(gè)活躍的市場(chǎng),包括Illusive,TrapX,Acalvio,F(xiàn)idelis和賽門鐵克等多家供應(yīng)商。
Crandall表示,Attivo通過(guò)對(duì)網(wǎng)絡(luò)和端點(diǎn)欺騙進(jìn)行廣泛的攻擊面覆蓋來(lái)區(qū)別于其他人。她還認(rèn)為Attivo的方法被攻擊者認(rèn)為是可信的,因此誘餌似乎與在生產(chǎn)環(huán)境中運(yùn)行的真實(shí)服務(wù)相同。誘餌真實(shí)性的一部分是通過(guò)機(jī)器學(xué)習(xí)功能實(shí)現(xiàn)的,這些功能是Attivo技術(shù)的一部分。