隨著企業(yè)尋求基礎(chǔ)設(shè)施現(xiàn)代化，DevSecOps的落地在現(xiàn)代混合云環(huán)境下就顯得尤為重要。Capsule8可以無(wú)縫的集成到企業(yè)的Linux基礎(chǔ)架構(gòu)中，并在企業(yè)的整個(gè)平臺(tái)上提供持續(xù)的安全響應(yīng)。此外，它不是SaaS解決方案，它是與用戶的IT基礎(chǔ)設(shè)施一起部署。因此，數(shù)據(jù)完全保存在客戶環(huán)境，消除了第三方傳播、刪除或損壞數(shù)據(jù)的風(fēng)險(xiǎn)，從而給企業(yè)帶來(lái)更好的安全新體驗(yàn)。

公司介紹

Capsule8是一家由經(jīng)驗(yàn)豐富的黑客和安全企業(yè)家創(chuàng)建的高新科技初創(chuàng)型企業(yè)，總部位于紐約布魯克林，成立于2016年秋季，在2018年8月獲得1500萬(wàn)美元的B輪融資。

Capsule8開(kāi)發(fā)了業(yè)界第一個(gè)也是唯一一個(gè)針對(duì)Linux的實(shí)時(shí)0day攻擊檢測(cè)平臺(tái)，可主動(dòng)保護(hù)用戶的Linux基礎(chǔ)設(shè)施免受已知和未知的攻擊。Capsule8實(shí)時(shí)0day攻擊檢測(cè)平臺(tái)可顯著改善和簡(jiǎn)化當(dāng)今基礎(chǔ)架構(gòu)的安全性，同時(shí)為未來(lái)的容器化環(huán)境提供彈性的支持。

背景介紹

混合云環(huán)境由于存在多云服務(wù)商，缺乏中心控制和完整的合規(guī)性規(guī)劃，存在邊界模糊，訪問(wèn)策略不一致等問(wèn)題，筆者曾探討過(guò)[1]相關(guān)的訪問(wèn)控制機(jī)制，加上公有云的暴露面增大，攻擊者容易通過(guò)進(jìn)入薄弱點(diǎn)，這也是近年來(lái)如軟件定義邊界SDP、移動(dòng)目標(biāo)防護(hù)MTD等新方案興起的原因。

混合云架構(gòu)已經(jīng)成為企業(yè)IT基礎(chǔ)設(shè)施的重要架構(gòu)，但其復(fù)雜性也使企業(yè)面臨多種攻擊的風(fēng)險(xiǎn)，根據(jù)Capsule8與ESG Research贊助的一項(xiàng)新研究(針對(duì)混合云環(huán)境對(duì)北美和西歐地區(qū)的450名IT和安全專家進(jìn)行的調(diào)查)表明，僅2017一年就有42%的企業(yè)報(bào)告了混合云環(huán)境受到攻擊，28%的企業(yè)表示0day攻擊是這些攻擊的起源。

攻擊者進(jìn)而借助利用0day漏洞，如在容器環(huán)境中利用逃逸漏洞(近日爆出在特權(quán)容器中逃逸的runc漏洞CVE-2019-5736)，或虛擬化環(huán)境中的利用CPU漏洞Meltdown/Spectre等，進(jìn)入宿主機(jī)，進(jìn)而橫向到企業(yè)的云內(nèi)或企業(yè)側(cè)網(wǎng)絡(luò)，造成更大的威脅。

此外，傳統(tǒng)的攻擊檢測(cè)平臺(tái)的工作機(jī)制通常是分析網(wǎng)絡(luò)和安全設(shè)備(如入侵檢測(cè)系統(tǒng))的大量日志告警，進(jìn)行關(guān)聯(lián)分析，最后還原出惡意攻擊。然而多年來(lái)，設(shè)備日志告警的置信度不高等問(wèn)題導(dǎo)致絕大多數(shù)平臺(tái)告警是誤報(bào)，也造成了企業(yè)的安全團(tuán)隊(duì)持續(xù)處于警報(bào)疲勞的狀態(tài)。企業(yè)急需一種可以有效解決上述問(wèn)題的安全方案。

無(wú)論是傳統(tǒng)環(huán)境，還是混合環(huán)境，防護(hù)利用0day漏洞的高級(jí)威脅需要企業(yè)安全團(tuán)隊(duì)全方位持續(xù)防護(hù)資產(chǎn)、獲得環(huán)境的可視度(visibility)，檢測(cè)惡意行為。

產(chǎn)品介紹

該公司推出的0day攻擊實(shí)時(shí)檢測(cè)平臺(tái)Capsule8，而且不會(huì)給生產(chǎn)基礎(chǔ)架構(gòu)帶來(lái)風(fēng)險(xiǎn)。

Capsules8平臺(tái)整體架構(gòu)圖如下所示：

Capsule8 OSS傳感器,即Capsule8工作負(fù)載保護(hù)平臺(tái)的探針，是許多威脅檢測(cè)機(jī)制的基礎(chǔ)。傳感器旨在收集系統(tǒng)安全和性能數(shù)據(jù)，對(duì)服務(wù)的影響很小，它能夠?qū)崟r(shí)了解到生產(chǎn)環(huán)境正在做什么。該傳感器軟件已開(kāi)源，項(xiàng)目地址是https://github.com/capsule8/capsule8

Backplane，包含一個(gè)實(shí)時(shí)消息總線，可以獲取到傳感器傳來(lái)的實(shí)時(shí)事件以及Flight Recorder記錄的歷史事件，它實(shí)現(xiàn)了背壓從而確保了平臺(tái)不會(huì)因?yàn)檫^(guò)多的Capsule8遙測(cè)事件而導(dǎo)致網(wǎng)絡(luò)洪水事件;

The Capsule8 API server，提供了統(tǒng)一的接口，允許企業(yè)管理生產(chǎn)環(huán)境中基礎(chǔ)設(shè)施架構(gòu)所有跟安全相關(guān)的數(shù)據(jù);

Capsulators封裝了連接客戶端軟件的API,通過(guò)它企業(yè)可以快速集成實(shí)現(xiàn)特定功能的軟件如Splunk和Hadoop，方便企業(yè)進(jìn)行數(shù)據(jù)分析。通過(guò)Capsulators企業(yè)不僅可以實(shí)時(shí)感知集群信息，還可以通過(guò)Flight Recorders獲得歷史數(shù)據(jù)，依據(jù)IOC(Indicators of Compromise，包括MD5 hash、IP地址硬編碼、注冊(cè)表等)，從而實(shí)現(xiàn)追溯調(diào)查;

第三方工具，如Splunk和Spark等;

Capsule8 Console，前端可視化界面。

下面我們介紹Capsule8如何實(shí)時(shí)檢測(cè)并阻止0day攻擊。假設(shè)客戶生產(chǎn)環(huán)境是一個(gè)混合云環(huán)境，服務(wù)器部署于客戶側(cè)數(shù)據(jù)中心、公有云AWS和Azure中。

Capsule8的整個(gè)工作流程主要分為以下幾步：

1、感知。為了保護(hù)分布式環(huán)境，Capsule8傳感器遍布在整個(gè)基礎(chǔ)架構(gòu)中-云環(huán)境和數(shù)據(jù)中心的裸機(jī)以及容器上。由于傳感器運(yùn)行在用戶空間，捕獲少量的安全關(guān)鍵數(shù)據(jù)，故不會(huì)對(duì)系統(tǒng)工作負(fù)載的穩(wěn)定性和性能造成影響。

以容器環(huán)境為例，前述關(guān)鍵數(shù)據(jù)包括：

a.進(jìn)程生命周期事件(fork，execve以及exit)

b.統(tǒng)調(diào)用返回值;

c.匹配容器鏡像名字的file open事件;

d.涉及IPv4的SyS_connect的內(nèi)核函數(shù)調(diào)用事件;

e.容器生命周期事件(創(chuàng)建、運(yùn)行、退出、銷毀))。

2、檢測(cè)。感知階段收集到的關(guān)鍵數(shù)據(jù)通過(guò)Capsule8 Backplane傳送到企業(yè)側(cè)臨近位置的Capsule8 Detect分析引擎，利用云端專家的知識(shí)庫(kù)將數(shù)據(jù)還原成事件，并對(duì)可疑事件進(jìn)行分析。

3、阻斷。當(dāng)Capsule8檢測(cè)到攻擊時(shí)，它可以在攻擊發(fā)生之前自動(dòng)關(guān)閉連接，重啟工作負(fù)載或者立即警告安全團(tuán)隊(duì)。

4、調(diào)查。由于0day攻擊持續(xù)事件較長(zhǎng)，所以除了實(shí)時(shí)檢測(cè)外，Capsule8會(huì)在本地記錄遙測(cè)數(shù)據(jù)，便于專家利用歷史數(shù)據(jù)進(jìn)行攻擊朔源。

產(chǎn)品特點(diǎn)

檢測(cè)和跟蹤0day威脅從本質(zhì)上是非?？简?yàn)安全團(tuán)隊(duì)的日常運(yùn)維和運(yùn)營(yíng)能力的，Capsule8可在如下方面有所幫助。

從安全運(yùn)營(yíng)團(tuán)隊(duì)角度來(lái)看

1.實(shí)時(shí)檢測(cè)漏洞

Capsule8使用分布式流分析與高置信數(shù)據(jù)相結(jié)合，在黑客企圖攻擊的實(shí)例中檢測(cè)攻擊。

在混合環(huán)境的檢測(cè)引擎、數(shù)據(jù)本地化，專家云端化，并將兩者結(jié)合形成類邊緣計(jì)算的層級(jí)化檢測(cè)模式，可在大規(guī)模環(huán)境下減少數(shù)據(jù)傳輸，避免合規(guī)性風(fēng)險(xiǎn)，同時(shí)提高檢測(cè)精度和響應(yīng)速度，使得Capsule8這樣的小型安全企業(yè)提供大規(guī)模Sec-aaS/MDR服務(wù)變成可能。

2.確保高置信度告警

Capsule8的系統(tǒng)級(jí)檢測(cè)是不斷更新的，它使用動(dòng)態(tài)攻擊指標(biāo)(IOA，Indicator of Attack，其是一個(gè)實(shí)時(shí)記錄器，包括代碼執(zhí)行等，專注于檢測(cè)攻擊者試圖完成的目標(biāo))而不是行業(yè)標(biāo)準(zhǔn)的IOC指標(biāo)來(lái)發(fā)現(xiàn)最新的0day攻擊。因此，以前困擾客戶的大量潛在威脅告警變成了少量的圍繞實(shí)際場(chǎng)景的攻擊告警。

3.清晰和可行動(dòng)(Actionable)的情報(bào)

Capsule8提供了一定程度的透明性，可以很容易的確定警報(bào)觸發(fā)的原因，以及攻擊者后續(xù)的操作。

4.可適配多種環(huán)境

Capsule8可以輕松實(shí)現(xiàn)復(fù)雜且可自定義的策略，這些策略不僅在不同的基礎(chǔ)設(shè)施環(huán)境中可能會(huì)不同，而且在更精細(xì)的系統(tǒng)項(xiàng)目中也會(huì)有差異。通過(guò)Capsule8可以最大限度地減少誤報(bào)。

Capsule8可在各種環(huán)境(公有云，數(shù)據(jù)中心，容器，虛擬機(jī)或裸機(jī))中Linux版本上提供無(wú)縫、易于部署的檢測(cè)。同時(shí)保護(hù)所有主要的編排器，包括Kubernete，以及Puppet和Ansible等配置管理工具。

此外，可與現(xiàn)有系統(tǒng)集成，充分利用現(xiàn)有的安全工具，如SIEMs日志分析工具(如Splunk和ELK Stack)和取證工具。

5.自動(dòng)化攻擊響應(yīng)

Capsule8可幫助客戶實(shí)時(shí)檢測(cè)和響應(yīng)攻擊。例如，客戶可以在啟動(dòng)Capsule8時(shí)選擇立即關(guān)閉攻擊者連接、重新啟動(dòng)工作負(fù)載或立即向調(diào)查員發(fā)出警報(bào)。

從安全運(yùn)維團(tuán)隊(duì)角度來(lái)看

1.系統(tǒng)穩(wěn)定性好，性能影響小

Capsule8運(yùn)行在用戶空間，在不需要內(nèi)核模塊的情況下收集內(nèi)核級(jí)數(shù)據(jù)。這就保證了生產(chǎn)環(huán)境(服務(wù)器和網(wǎng)絡(luò))的系統(tǒng)穩(wěn)定性。

為確保對(duì)主機(jī)和網(wǎng)絡(luò)的性能影響最小，Capsule8采用資源限制器，通過(guò)智能減載策略強(qiáng)制對(duì)系統(tǒng)CPU，磁盤和內(nèi)存進(jìn)行硬限制。

分布式的分析方法與邊緣計(jì)算相似，將計(jì)算操作推向盡可能接近數(shù)據(jù)，確保就算是在系統(tǒng)最繁忙時(shí)候也對(duì)網(wǎng)絡(luò)影響最小。

2.簡(jiǎn)單的部署和維護(hù)

Capsule8代理是一個(gè)單一的靜態(tài)Go二進(jìn)制文件，它是可移植的，易于安裝和通過(guò)各種編排機(jī)制進(jìn)行更新，包括Puppet，Ansible，Kubernetes等。