Attivo為容器和無服務器帶來的網(wǎng)絡安全問題
(文章來源:新華能網(wǎng))
隨著組織開始采用容器和無服務器技術,需要保護這些部署模型。9月24日,Attivo Networks宣布進入集裝箱和無服務器安全市場,更新其ThreatDefend網(wǎng)絡安全欺騙平臺。網(wǎng)絡安全欺騙的基本思想是提供看似真實的資源,以欺騙和誘捕攻擊者揭露自己。通過新的ThreatDefend更新,AtTIvo正在添加以容器和AWS Lambda無服務器云服務本機運行的欺騙。
“我們作為一家公司所看到的是,公司開始非常積極地研究用于網(wǎng)內威脅檢測的欺騙技術,我們發(fā)現(xiàn)他們希望在所有攻擊面上都能獲得相同的無處不在的檢測,”Carolyn Crandall ,AtTIvo Networks的首席欺騙官告訴eWEEK。“我們之前得到了一些支持,基本上是在云中進行了一些常規(guī)誘餌和欺騙,現(xiàn)在我們已經(jīng)發(fā)展它以便能夠支持無服務器和容器架構。
容器(包括Docker容器)提供了隔離和虛擬化正在運行的應用程序的機制。另一方面,無服務器(有時也稱為服務功能)使組織能夠在不需要運行服務器實例的情況下運行功能。
Crandall解釋說,AtTIvo為云中的容器和無服務器部署構建的欺騙包括一系列誘餌,這些誘餌似乎是攻擊者,就像它們是真正的生產(chǎn)容器或無服務器功能一樣。此外,AtTIvo對容器和無服務器的欺騙還包括使用嵌入誘餌憑證,以試圖引誘攻擊者。
“為了吸引攻擊者參與,它(誘餌)必須是真實的,鏡像與生產(chǎn)相匹配,”克蘭德爾說。“因此,我們進行了廣泛的開發(fā),以確保在這些新的云環(huán)境中都是如此。”有了欺騙誘餌和虛假證書,一旦針對誘餌發(fā)生攻擊,Crandall說Attivo平臺提供攻擊分析和取證,以幫助組織了解攻擊者如何操作以及應該采取什么措施來阻止他們作為事件的一部分回應過程。
Attivo為新的云,容器和無服務器安全功能擴展的ThreatDefend平臺的一部分是BOTsink,它為破壞后檢測提供基于網(wǎng)絡的威脅欺騙。BOTsink與公共云提供商合作,也可以部署在Kubernetes容器集群部署中?!澳梢允褂萌魏尉幣怒h(huán)境在Kubernetes環(huán)境中部署ThreatDirect容器,”產(chǎn)品管理聯(lián)合創(chuàng)始人兼副總裁Marc Feghali告訴eWEEK?!癟hreatDirect連接器將隧道回到BOTsink平臺,并在該本地子網(wǎng)上投射所有欺騙功能?!?/p>
Feghali解釋說,在AWS云中,組織首先將BOTsink部署到可用區(qū)。最重要的是ThreatDefend平臺的Attivo ThreatDirect組件,F(xiàn)eghali說這基本上是一個消耗本地IP地址的虛擬機,并提供攻擊者可能參與的誘餌服務。
他補充說,組織還可以選擇部署一組誘餌憑證,包括Lambda無服務器功能內的帳戶訪問令牌和SSH密鑰,以及Amazon S3存儲桶。因此,如果攻擊者以某種方式進入云部署并在Lamda函數(shù)中查找?guī)魬{據(jù),他們將找到誘餌憑據(jù),這些憑據(jù)不會影響生產(chǎn)環(huán)境,但會向組織提示攻擊者在其中存在云部署,F(xiàn)eghali說。
Feghali解釋說,當攻擊者已經(jīng)進入云環(huán)境時,可以查看存在的所有不同資源。一旦攻擊者追蹤其中一個Attivo誘餌,F(xiàn)eghali說,至少,組織會收到違規(guī)帳戶的警報,該系統(tǒng)已被感染,并使用了哪些憑據(jù)。他補充說,通過與攻擊者的接觸,ThreatDefend平臺能夠為用戶提供攻擊的策略,技術和程序(TTP)。
“我們與其他系統(tǒng)集成,如NAC [網(wǎng)絡訪問控制]和端點安全解決方案,以阻止數(shù)據(jù)泄露和隔離受感染的端點,”他說?!拔覀儞碛幸粋€擁有超過25家供應商的廣泛集成生態(tài)系統(tǒng),而且我們一直在擴展?!本W(wǎng)絡安全欺騙技術市場是一個活躍的市場,包括Illusive,TrapX,Acalvio,F(xiàn)idelis和賽門鐵克等多家供應商。
Crandall表示,Attivo通過對網(wǎng)絡和端點欺騙進行廣泛的攻擊面覆蓋來區(qū)別于其他人。她還認為Attivo的方法被攻擊者認為是可信的,因此誘餌似乎與在生產(chǎn)環(huán)境中運行的真實服務相同。誘餌真實性的一部分是通過機器學習功能實現(xiàn)的,這些功能是Attivo技術的一部分。