第 48 屆 IT Press Tour 有機會與Sysdig的首席執(zhí)行官Suresh Vasudevan會面。他們的使命是加速和保護云創(chuàng)新。

Falco 是云原生威脅檢測的開源標準。它監(jiān)視來自內(nèi)核的系統(tǒng)事件，并支持主機、容器和 Fargate?；?Falco 構建的工作負載安全解決方案包括 Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm 等。

Sysdig 提供深度容器取證和故障排除。借助 Falco，他們通過識別軟件漏洞、運行時威脅、配置風險和合規(guī)性差距，提供從源到運行的云到容器的安全性。

云規(guī)模的安全挑戰(zhàn)

有四個關鍵的關注領域和要問的問題：

1. 漏洞管理：如何在不壓倒開發(fā)人員的情況下減少漏洞積壓和管理風險？
2. 身份和訪問管理：誰有權訪問哪些資源，實際使用了哪些權限？
3. 配置管理：如何盤點云資源并確保配置安全合規(guī)？
4. 威脅檢測和響應：哪些數(shù)據(jù)和上下文對于檢測和響應云中的異常和事件至關重要？

供應鏈安全合規(guī)

Sysdig 通過代碼提供供應鏈安全合規(guī)性，旨在運行和響應。

他們通過以下方式做到這一點：

• 基礎架構即代碼驗證，用于防止漂移和阻止有風險的配置。
• 使用 CI/CD 管道、注冊表和主機進行漏洞管理，并根據(jù)使用中的漏洞確定優(yōu)先級。
• CPSM 和云錯誤配置的配置管理，以及云庫存。
• 針對 CIEM 最小權限和基于使用中權限的優(yōu)先級的身份和訪問管理 (IAM) 。
• 針對云和工作負載運行時安全的威脅檢測。
• 事件響應捕獲詳細記錄以供取證并阻止惡意容器和進程。

運行時洞察力增強了左移安全性，從而可以在源頭上對使用中的暴露進行優(yōu)先級修復。

威脅研究

Sysdig 將多層方法應用于威脅研究，包括客戶和高級威脅情報、公共存儲庫的主動掃描、漏洞研究、基于行為的檢測和基于機器學習(ML) 的檢測。

他們有十幾位威脅研究和 ML 專家研究不良行為者和活動。此外，他們還使用 Falco 支持的沙箱技術主動掃描公共存儲庫以查找容器鏡像注冊表、GitHub 和暗網(wǎng)。

他們使用自動化取證和大數(shù)據(jù)分析為數(shù)十個地區(qū)的所有主要云供應商創(chuàng)建了一個多云、容器原生蜜罐網(wǎng)絡，用于數(shù)百個暴露的應用程序。

他們不斷研究云原生技術的漏洞并提供負責任的披露。此外，一旦使用開箱即用的檢測規(guī)則識別出可疑行為，它們就會保護用戶。

機器學習最適合解決特定領域的檢測問題，例如比特幣礦工。他們目前正在使用機器學習以 99% 的精度早期檢測加密礦工。此外，進程活動遙測提供了準確檢測惡意行為所需的粒度級別。

優(yōu)先考慮使用中的風險暴露

只有 15% 的漏洞在運行時被利用。通過使用使用中的風險暴露過濾器來監(jiān)控漏洞、配置、權限和Kubernetes網(wǎng)絡連接，用戶可以識別最重要的風險。用戶不必在未使用軟件包時進行調查，因此每個漏洞可以節(jié)省 1.5 小時。

風險聚光燈通過識別少數(shù)構成實際風險的漏洞來消除噪音。這些是在運行時綁定到活動包的那些。這可將漏洞噪聲降低多達 95%。

客戶用例

雅虎日本擁有超過 40,000 個 Kubernetes 節(jié)點。他們使用 Sysdig 在其 CI/CD 管道和運行時環(huán)境中進行漏洞分析，并檢測和防止偏差并跟蹤合規(guī)性。

全球支付處理器使用AWS 和 GCP 云。他們使用 Sysdig 提供 Kubernetes 運行時安全以及基于用戶云活動日志的實時異常和威脅檢測。

Goldman Sachs擁有超過 140,000 個 Kubernetes 節(jié)點和數(shù)千個應用程序。他們使用 Sysdig 為 Linux VM 和容器提供端點檢測和響應，并提取關鍵運行時數(shù)據(jù)以提供威脅檢測和安全分析。

FINRA擁有超過 3,000 個 Fargate 任務和 EC2 主機。他們使用 Sysdig 對基于 Fargate 的應用程序進行管道和運行時圖像掃描以及威脅檢測和響應。