我的服务器又失陷了 !| 攻防演练真实案例

admin 2024年10月7日00:18:14评论27 views字数 2182阅读7分16秒阅读模式

2023年8月,某区域的攻防演练刚刚结束,A公司的安全运维老周便逐渐取消了大部分重保安全产品的订阅。

但是,下掉安全产品的第二天,A公司的服务器迅速被通报存在挖矿行为,可能面临业务强制下线的风险

这让老周百思不得其解,这不是公司第一次出现挖矿问题,在7月22日、8月1日、8月13日都收到了高危命令的告警,不过很快就排查出了主机上存在的高危漏洞,也做了修复和加固工作。“目前攻防演练都已经结束了,挖矿木马为什么又迅速卷土重来?”

老周立马找到腾讯云主机安全团队寻求帮助,安全专家Leo经验丰富——挖矿木马“杀不掉”,很大可能是容器存在漏洞!

我的服务器又失陷了 !| 攻防演练真实案例

Leo随即用腾讯云容器安全产品对A公司的服务器进行了一轮检测,发现A公司存在“Spring Cloud Gateway注入命令执行漏洞(CVE-2022-22947)”。Spring Cloud Gateway是一个非常流行和广泛使用的API网关框架,A公司业务团队采用了Spring Cloud Gateway技术栈搭建微服务网关,该组件在近期频发应急漏洞,攻击者通过批量探测工具,利用漏洞远程批量下发了挖矿脚本。

通过产品检出结果,终于找到了源头镜像,老周立马开启漏洞防御并将修复方案及影响镜像推给了业务团队。

但是,A公司有9K+的镜像、上百个容器,解决了一个漏洞问题,治标不治本,如何在容器环境下构建起整体方案,从镜像构建到运行时系统解决容器安全问题呢?这让老周头疼不已。

实际上,这是大部分企业的共同的痛点,公司安全运营团队人员不足,并没有专门人员负责容器安全,容器运维和业务团队对容器化的风险知之甚少。于是,在享受着技术架构升级带来的应用效能提升的同时,容器化带来的安全隐患也在不断被放大,引用不可信的镜像、k8s API接口梳理不清、操作权限管理空白带来的风险慢慢累积,直到黑客成功入侵才后知后觉。

如何填补容器化后的防护盲区?分享一个腾讯内部千万核规模容器安全最佳实践:

秘籍一:做好安全左移,从源头镜像减少收敛安全风险

腾讯云有千万核规模的容器集群,百万量级规模的容器镜像。如何高效收敛安全风险?关键就在于安全左移,从镜像构建环节入手,做好镜像供应链管理。

由于分层存储的特性,业务生成新镜像时,保存内容仅为最上层可读写文件系统中被更新过的文件,这样就实现了在不同的容器镜像间共享镜像层的效果。一般我们把共享镜像层称为基础镜像。基础镜像一旦出现严重漏洞、木马问题,所有的衍生镜像都会存在风险。根据腾讯安全内部的运维经验,百万级的镜像往往仅依赖数百个基础镜像进行构建,对1%的基础镜像做好把关,可以大大减少后续的安全管控压力。

因此,我们需要严格把关最原始的基础镜像的安全性,谨慎评估软件安装、权限开放的必要性。在业务构建初期,便引入镜像扫描能力对基础镜像进行安全性评估。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全仓库镜像截图)

镜像存储阶段,优先关注业务最新版本的镜像的风险情况,避免存在严重、高危漏洞,木马病毒及配置管理不当的镜像拉取到本地。同时,可使用腾讯云容器安全产品进行仓库镜像扫描并设置镜像拦截策略,保障不安全的镜像无法运行容器。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全镜像拦截截图)

秘籍二:进一步收敛攻击面,一站式提升漏洞管理效率

可使用腾讯云自动上报容器、镜像、集群、节点等14种容器资产(支持腾讯云超级节点、原生节点等原生部署形态)一键梳理运行集群和容器,秉持“最小化原则”关闭非必要容器服务并核实是否有非标记镜像启动容器。同时,收敛暴露面,对开放服务及进程端口进行确认,按业务需要设置访问规则,并进行重点监控。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全资产管理截图)

对运行业务的容器、镜像、节点、集群设置定时基线扫描任务,检查容器资产的配置是否安全合规,对严重、高危的检查项及时进行整改,降低企业被攻陷的风险、满足合规要求。

设置定时任务,对运行有容器的镜像和集群环境进行风险检查,及时发现新爆发的漏洞风险。同时,开启泰石引擎RASP+漏洞防御,无需重启,自动防御热点漏洞攻击。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全漏洞管理截图)

秘籍三:使用多维检测手段,深度防御业务被入侵

由于容器隔离性弱及共享主机内核的特性,在容器环境下,一旦攻击者控制了单个容器,便可通过漏洞利用、敏感目录挂载等方式逃逸至宿主机获取更高权限,从而控制宿主机,甚至集群上面运行的所有容器业务。因此,企业需要针对多条攻击路径进行实时异常监控,可借助容器安全产品深度感知容器内的入侵事件,实时上报被攻击容器,自动拦截失陷容器。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全攻击路径总览)

开启八大入侵检测功能,对K8s异常请求、恶意外连、容器逃逸、反弹Shell、文件查杀等入侵行为进行实时监控。

设置木马自动隔离及异常进程拦截策略:企业可借助腾讯云容器安全服务主动防御能力,自动查杀流行木马、拦截异常进程及恶意文件篡改行为;并对已失陷的容器进行网络隔离,避免失陷进一步扩散。

我的服务器又失陷了 !| 攻防演练真实案例

(容器安全文件查杀截图)

借助容器安全能力,应对工作负载层技术升级带来的工作负载层部署密度大、调用关系复杂等新型安全挑战,结合主机安全一同筑牢服务器最后一道安全防线。同时,联动腾讯云云防火墙、WAF、云安全中心,从互联网流量边界、Web服务,再到工作负载层,一站式联动产品原子能力,全面构建“3+1”防护体系。

我的服务器又失陷了 !| 攻防演练真实案例

(“3+1”防护体系介绍)

我的服务器又失陷了 !| 攻防演练真实案例
扫码联系我们
了解容器安全服务
- END -

原文始发于微信公众号(腾讯安全):我的服务器又失陷了 !| 攻防演练真实案例

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日00:18:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   我的服务器又失陷了 !| 攻防演练真实案例https://cn-sec.com/archives/1973820.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息