IBM研究實(shí)驗(yàn)室近日宣布發(fā)布開源安全工具包SysFlow，用于查找云和容器環(huán)境中的漏洞。SysFlow旨在解決網(wǎng)絡(luò)保護(hù)中的常見問題?，F(xiàn)代安全監(jiān)控工具可以高精確度地捕獲系統(tǒng)活動(dòng)，跟蹤到單個(gè)事件例如文件更改操作等。

[[312846]]

這很有用但也會產(chǎn)生大量“噪音”，更難以發(fā)現(xiàn)威脅。IBM研究人員Frederico Araujo和Teryl Taylor稱在這種情況下尋找漏洞無異于“大海撈針”。

SysFlow減少了安全團(tuán)隊(duì)必須篩選的信息量。該工具包可以從給定的系統(tǒng)中收集操作數(shù)據(jù)，并將這些數(shù)據(jù)壓縮到一個(gè)模型中，該模型可以顯示系統(tǒng)的高級別行為而不是單個(gè)事件(例如HTTP請求)，而且還可以呈現(xiàn)這種本地化事件，但是SysFlow會將其與相關(guān)行為模式進(jìn)行關(guān)聯(lián)，而不是為了詳細(xì)分析提供必要的上下文。

Araujo和Taylor在一篇博客文章中舉例了一種示漏洞場景，結(jié)果證明該工具包是非常方便的。他們假設(shè)黑客發(fā)現(xiàn)了企業(yè)網(wǎng)絡(luò)中存在漏洞的Node.js服務(wù)器，將惡意腳本下載到該服務(wù)器上，然后入侵了敏感的客戶數(shù)據(jù)庫。

兩位研究人員解釋說：“先進(jìn)的監(jiān)視工具只能捕獲斷開連接的事件流，但SysFlow可以連接系統(tǒng)上每個(gè)攻擊步驟的實(shí)體。例如，突出顯示的SysFlow跟蹤情況可以精確地映射攻擊殺死鏈的每一步：劫持node.js進(jìn)程，然后與端口2345上的遠(yuǎn)程惡意軟件服務(wù)器進(jìn)行對話，以下載并執(zhí)行惡意腳本。”

SysFlow不僅可以幫助安全團(tuán)隊(duì)發(fā)現(xiàn)威脅，而且在這個(gè)過程中還能節(jié)省硬件資源。據(jù)IBM稱，與傳統(tǒng)工具相比，該工具包降低安全數(shù)據(jù)收集率是“數(shù)量級”的。

SysFlow具有內(nèi)置的規(guī)則引擎，可自定義自動(dòng)發(fā)現(xiàn)可疑事件。除了漏洞之外，該工具包還可以發(fā)現(xiàn)違反法規(guī)的情況，例如將財(cái)務(wù)記錄保存在不恰當(dāng)?shù)牡胤健．?dāng)需要進(jìn)行更高粒度的檢測時(shí)，安全團(tuán)隊(duì)可以將他們的自定義威脅識別算法編程到SysFlow中。

IBM認(rèn)為，該平臺可與其他開源工具一起使用。“SysFlow的開放序列化格式和庫，支持與開放源代碼框架(例如Spark、scikit-learn)和自定義分析微服務(wù)的集成，”Araujo和Taylor在博客中這樣寫道。

SysFlow能夠?qū)⒃枷到y(tǒng)數(shù)據(jù)轉(zhuǎn)換為高級別查看惡意行為情況，這個(gè)功能是其他解決方案也能提供的。目前有幾家安全保護(hù)廠商(包括最近剛剛獲得融資的初創(chuàng)公司Cyber​​eason)都提供了商業(yè)化的調(diào)查工具，可以追蹤攻擊者攻擊企業(yè)網(wǎng)絡(luò)的路徑。但是，IBM以開源的形式免費(fèi)提供SysFlow，這一點(diǎn)將讓SysFlow在安全工具生態(tài)系統(tǒng)中占據(jù)特殊的位置。