技术公开课回放|容器在野安全与典型攻击手法解密

admin 2022年4月8日00:35:03安全文章评论17 views2004字阅读6分40秒阅读模式
技术公开课回放|容器在野安全与典型攻击手法解密


云原生场景下,容器安全的复杂性随着容器使用量的增加也不断增加。容器面临着愈演愈烈的供应链攻击和运行时安全问题。鉴于此,企业该如何构建容器安全能力?


3月30日,腾讯安全云鼎实验室高级研究员张壮、云鼎实验室研究员严寒以“容器在野安全与典型攻击手法”为主题,结合腾讯容器安全服务(Tencent Container Security Service, TCSS)的实践经验及容器安全典型案例。以下是完整视频回放。



以下为重点演讲内容实录:


容器安全现状及相关案例


张壮:根据云鼎实验室容器安全在野攻击调查报告显示,用户侧容器安全需求中,50.8%的客户经历过容器或Kubernets相关安全事件;77.2%的客户需提前规避业务风险;51.3%的客户有着等保合规需求。然而,在落实容器安全的过程中也存在着多种障碍,譬如69.4%用户认为容器安全部署的技术操作门槛高,会增加业务侧的学习成本;55.6%的用户认为价值不明显、投入产出比不明确;64.3%的用户觉得容器安全能力部署可能会影响网页业务的稳定运行;剩下的28.1%则没有无容器安全规划或者无预算。


黑产团伙之所以不遗余力地攻击容器,在于容器环境中挖矿带来的丰厚利益。通过对容器场景下实际案例进行分析,发现100万感染量的样本,一年的佣金约为6-7万美金。此外,通过对docker hub的下载镜像进行分析,发现较大黑产团伙的下载量高达1.8亿次。以Utopia这种新型挖矿概念为例,其采用P2P模式,可限制CPU的使用率,进而隐秘性更高。依据云鼎实验室哨兵蜜罐捕获的攻击数据,我们发现售卖流量正呈上升趋势。因而,做好容器安全至关重要。


容器与供应链安全


严寒:云原生时代,开发、测试、运维人员通过CICD框架实现了更加敏捷的交付应用,然而这也给攻击者开辟了新的入侵路径。供应链构成的问题和挑战在于,引入的恶意代码对于构建系统来说是可信的,而且构建出来的应用也会通过合法、可信的工具进行交付。所以攻击者的恶意代码就会直接绕过我们的安全防御,获得在生产环境下运行的权限。


供应链攻击在云原生环境中确实是极具威胁性的,现在常用的针对镜像的静态扫描方法没办法有效应对供应链攻击,原因在于静态扫描通常只会检查镜像中的已知漏洞、木马病毒、敏感信息和不安全配置。对于供应链攻击来说,恶意代码通常会隐藏在信任的镜像中,所以需借助动态威胁分析方案,帮助用户去识别诸如流量劫持、拒绝服务、窃取凭证、挖矿这些场景下的威胁,从而解决静态扫描无法覆盖的问题。


容器运行时安全及典型攻击手法解读


张壮:基于腾讯安全云鼎实验室的哨兵蜜罐捕获的2021年9月至2022年1月总共5个月的攻击数据,可以发现年底的时候攻击量大概翻了一番,有显著增长的趋势。通常而言,容器运行时攻击者会通过漏洞植入一个docker镜像执行起来,再通过植入的docker运行恶意指令。针对攻击持久化问题,基于130天共9687次次蠕虫攻击的数据,我们发现攻击成功后,38%的机器连续感染超过一周,28.5%的机器超过两周,17.8%的机器超过一个月,蠕虫式攻击的留存时间相对而言还是挺长的。


攻击中黑产常用的手法和检测手法大致分四步。第一步是漏洞利用,最常见的漏洞就是Docker Remote API。利用了漏洞之后,第二步就开始执行命令。执行命令有两种经典的手段,一种是下载脚本远程执行命令,另一种是直接执行命令或是通过特权指令启动特权镜像来进行容器逃逸。第三步是匿名域隐藏即伪装自己,第四步是攻击的进程隐藏。目前进程隐藏除了传统的手段以外,越来越多的样本也开始使用rootkit等一些高级的技术进行隐藏。


腾讯安全容器场景解决方案


张壮:腾讯容器安全服务(Tencent Container Security Service, TCSS)提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期的安全,帮助企业构建容器安全防护体系。TCSS的优势在于整合了腾讯安全整体的情报能力,包括容器安全引擎、AI学习、规则分析、漏洞扫描等,通过构建轻量化的Agent,实现入侵防护、逃逸检测、文件查杀、镜像扫描、配置检查、基线巡查。此外,TCSS部署极其方便,一键启用,支持百万Agent装机实践。


技术公开课回放|容器在野安全与典型攻击手法解密

腾讯容器安全服务(Tencent Container Security Service, TCSS))


以上是本次《容器安全》技术公开课两位专家观点的精华整理。目前,腾讯内部容器应用规模已达1600+集群和12W+节点,未来,以腾讯容器安全服务TCSS为代表的腾讯云容器安全体系,将依据安全能力原生化、安全左移、安全防护全生命周期、零信任架构四大原则,实现镜像安全管控、容器集群安全风险管控、容器运行时安全防护,从而更好地护航数字经济的发展。


技术公开课回放|容器在野安全与典型攻击手法解密

原文始发于微信公众号(腾讯安全联合实验室):技术公开课回放|容器在野安全与典型攻击手法解密

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月8日00:35:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  技术公开课回放|容器在野安全与典型攻击手法解密 http://cn-sec.com/archives/888738.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: