精准“秒杀”云原生下的未知威胁 探真推出运行时安全防御神器

摘  要//

探真科技再次倾力铸造云原生环境下，捍卫容器不可变神器——「TensorCIA·偏移防御」。

「TensorCIA·偏移防御」利用容器不可变性，通过构建可执行文件白名单，告警和阻断一切黑客工具及二进制篡改。

有力保证容器的可执行文件实现真正的零信任与最小权限原则运行。

---

云原生世界危机四伏

运行时容器的二进制或者应用程序被纂改，是云原生平台面临的主要安全威胁之一。

根据专业报告显示：

62%的容器被检测出包含shell命令，增加了被篡改的风险。

38%的容器有敏感挂载位置，能改变主机系统的重要文件。

诸多信息都表明企业的云原生环境存在较大安全风险，需要谨慎对待。

无论是在传统应用架构还是在微服务架构下，企业无时无刻面临着各类攻击威胁，黑客一旦撕破入口，获取到一定权限后，通常会进行提权、横向移动等一系列的深入攻击。

·2020年5月，云服务提供商Blackbaud受到了黑客攻击，黑客通过渗透攻陷Blackbaud的网络，黑客试图安装勒索软件阻止客户访问数据和服务器。

·2021年4月，全球最大的代码托管平台Github云服务器遭黑客非法挖矿，影响超过9000w使用者。

·2022年2月，知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS网络会话中的加密数据长达数月，受影响的网站预计至少200万之多，其中涉及Uber、1password 等多家知名互联网公司的服务。

根据最新研究，大约80%的组织在过去一年中遭遇了严重的云安全事件，而四分之一的公司担心他们遭受了云数据泄露，却没有意识到这一点。

勒索、挖矿正在侵害云原生环境（图片来源于网络，侵删）

而针对该类问题最常见的传统做法就是根据具体的攻击行为，编写相应规则进行告警，比如IDS/IPS类产品。

但很不幸的是，业务环境的高复杂度，加之大量不合规的人为操作，进一步让攻击识别变得困难。理论上我们面对的攻击场景是无限的，而要针对这无限的攻击场景逐条编写检查策略，同时还要控制误报率，这显然是一件高投入、低回报的事。

那么，除了设置规则，在云原生环境下，我们是否还有其它思路，来解决这一难题呢？

容器的不可变性为面临繁杂、无限威胁的运行时容器带来了曙光。

容器不可变性

什么是容器不可变性，从字面意思来看，就是容器一旦被建立好，那就保持它不再变动。那么，为什么要这样设计呢？这样设计又有什么好处呢？接下来便详细说一说。

在传统应用架构下，单项业务通常部署在单台或少量几台服务器上，这样就导致了单台服务器会安装大量的应用及对应的依赖环境，每次运维或出现业务变更，管理员都会登录到对应主机进行操作，一个小的改动就可能影响整个环境，可谓牵一发而动全身，但这样也导致了传统架构下系统环境的复杂性。

而容器化的出现，则改变了这一现状，通过将业务切分成微服务，为各自创建独立的环境，并通过API交互，来实现互通，这样就使得每个功能单元的环境都变得更加纯粹。也正是这样的设计，让容器不变性成为了可能，管理员可以灵活对每个微服务进行变更而不影响整个业务环境，即便发生软件升级或者业务版本迭代，也可以直接替换单个微服务容器，而不是进入到具体的环境对内容进行修改。这样极大地减小了程序之间的耦合，真正做到，“牵一发动一发”。

由此，一个比较好的容器不可变性定义应该是：镜像一旦完成了构建，预计在不同的环境中运行都不会改变。这意味着在因外部环境的不同，在需要的时候使用外部手法处理所依赖的外部配置数据，而不是通过修改每个环境来构建不同的容器。而容器应用程序中的任何变更，都应该因此触发构建新的容器镜像，并在所有环境中重用它。

探真铸造「TensorCIA·偏移防御」

我们知道，黑客的入侵过程通常都不是一步到位的。

从信息收集、边缘突破，到内网渗透、提权、后门驻留等，过程曲折蜿蜒，且依赖大量黑客工具的使用。

有的恶意程序甚至会通过篡改系统自身应用来达到长期驻留的效果，极难被发现。

但如果企业严格遵从云原生最佳实践，容器一旦构建完成，是不应该直接对其内部进行修改的。

基于此，探真科技在旗下领航·云原生安全平台中推出了对运行时容器的革新性安全管理能力——「TensorCIA·偏移防御」！

「TensorCIA·偏移防御」是国内领先发布的针对恶意软件、蠕虫和零日攻击的云原生防护能力。

通过深度结合容器不可变性，以全新的思路，通过以下两步，强力阻断黑客的下一步攻击行为：

1、拦截恶意程序：已经构建好的镜像生成独属的应用清单；

2、拦截恶意篡改：对环境内的任何二进制程序变动进行严格校验

如同为运行时的容器戴上紧箍儿，施下“定心真言”。

开启「TensorCIA·偏移防御」后，有力保证容器的可执行文件实现真正的零信任与最小权限原则运行。

「TensorCIA·偏移防御」工作示意图

「TensorCIA·偏移防御」的价值

1.拦截恶意程序

可针对外部引入的所有二进制程序进行拦截，同时不干扰正常应用，杜绝黑客工具的运行，使得依赖工具的提权、逃逸、扫描、横向渗透等恶意行为彻底失效。

2.拦截恶意篡改

为了持续获得环境控制权，黑客通常会通过篡改环境内的应用程序，留下后门，该类后门比起一般后门更难以发现和查杀。「TensorCIA·偏移防御」可以通过对系统本身二进制的严格校验，保护镜像自身程序，防范攻击者通过修改镜像现有程序以及伪装后门等绕过拦截。

「TensorCIA·偏移防御」的优势

1.零摩擦

在开启该功能后，「TensorCIA·偏移防御」在容器构建完成后即对其对应的镜像进行扫描，可在用户无感知的情况下建立对应白名单并固化。

2.精细化控制

「TensorCIA·偏移防御」的开启可精确到具体容器，可针对特定集群下的特定容器开启或关闭策略，并且支持阻断与告警两种模式，实现精细化控制。企业可以根据自身环境情况选择易受攻击的Pod开启「TensorCIA·偏移防御」，避免因环境的特殊需求造成误报及业务无法正常运行的情况。

3.极低资源占用

无需额外的存储空间和集中的算力，即可实现大规模集群的分布式扫描。

4.保证准确率与召回率的平衡

遵循容器不可变性的前提下，对所有容器环境中的所有二进制程序进行固化，严格限制新的程序侵入及篡改，保证准确率与召回率的平衡

探真科技 坚持持续创新，坚定关注客户需求和期望。去芜存真，让云原生世界更安全！

💡

    何为探真    

这个世界上本来就没有可以一直保持完美无懈可击的系统，只要商业竞争、利益存在一天，企业的数字化系统就会持续受到安全攻击的威胁。

做安全本身就是一件不断探索求真的事情，需要持续对安全技术进行迭代更新，提升企业的威胁感知、响应处置、事件溯源的自动化管控能力，助力企业构建云原生新世界的DevSecOps体系。