观看了“云原生安全趋势演进·云原生安全公开课第一期”,想必大家都有所发现和收获。下面收集了大家的一些问题并作出回答:
问题一:0day 可以防吗?
回答:要分是什么维度的 0day,比如容器逃逸的 0day,基于配置出现问题导致容器有 mount 权限可以直接挂载目录,这种情况是可以检测出来的。还有一种情况是基于内核漏洞,这种更多的是行为上的检测,如果满足通用行为序列也是能检测出来的。比如一个容器的进程操作了它没有权限操作的文件系统的目录,基于行为模式的分析可以判定有逃逸的可能。
问题二:可以讲一下云环境的应急场景吗?
回答:首先对于云原生的应急来说,它的难点其实不在于安全事件的处理本身。它的安全事件处理本身跟常规的应急响应没有太大的区别,云环境的应急的难点在于资产的梳理,比如我们发现一个 Pod 有挖矿的行为,首先要思考的它是一次临时性攻击还是供应链攻击,如果是供应链攻击的话,我们要通过 Pod 关联到镜像或者关联到 K8s 声明式的资源文件,然后去排查是否底层基础镜像会受到影响。所以云环境的应急更多的是资产粒度的梳理,就是说我们需要准确的定位。
问题三:涉及海量 K8s 原生的日志怎么去匹配特征?CNCF 提供全量的日志类型吗?
回答:K8s 原生提供 audit 功能,支持做审计,而审计数据源提供的方式有两种:本地 log 和 webhook,我们可以基于 webhook 去做审计。匹配的特征更多的是基于攻防场景去考虑,例如 CDK,可以从 K8s 里面抽取 CDK 创建后门时的固定特征,然后检测。我们是基于 OPA 实现 K8s 的检测。CNCF 本身没有提供全量日志类型,但在K8s 源码 api server 下的 EventList 结构,提供了日志类型。
问题四:问脉项目是完全开源的吗?可以二次开发吗?
回答:问脉走的是 MIT license,是可以二次开发的。lib没有公开,但 SDK 是开放出去的,目的是让使用不同语言的开发者都能使用问脉。问脉是采用宿主加插件的模式,你完全可以开发自己的插件去使用。
问题五:云原生项目中接入安全可以怎么做呢?
回答:首先要关注核心对象,保证核心对象的安全之后就能保证云原生的安全,至于接入模式,主要取决于公司的业务形态,因为现在很多企业都采用 K8s,以我个人经验之谈,直接对接 K8s 的成本是最低的。
问题六:用什么思路区别运维的特权行为和攻击者的横向行为呢?
回答:简单抛砖引玉讲个思路,对于运维来说不会去频繁列出所有 K8s 的 secrets,因为运维知道他有什么 secrets,但是对于攻击者来说刚拿到一个 K8s 环境,第一个要做的是看我的账号能访问哪些 secrets,然后就遍历访问,思考基于这些 secrets 我可以怎么去横向移动。
问题七:对镜像进行漏洞扫描是指分析组件和版本到漏洞库匹配漏洞吗?
回答:漏洞扫描呃目前主流的做法就是 SCA 软件成分分析,当然我们这边的漏扫是不止局限于 SCA,因为 SCA这个东西本身有局限性。举个例子比如说对于部分 java 漏洞,其实是要看 JDK 的版本,如果说你的 JDK 版本不符合某个版本范围,是会有影响的。我们一般是 SCA 加一个主机 poc 或者说镜像 poc 的模式去检测漏洞。
问题八:问脉可以扫描集群的镜像吗?这些镜像是从哪里收集起来的呢?
回答:问脉的产品版本是 SAAS 和私有化部署,是支持扫描集群里的镜像。收集的镜像是从集群里面解析出来的,我们支持旁路模式,所以不是在本地进行扫描。
问题九:镜像怎么打 poc 呢?
回答:我们这里的 poc 不是常规意义上远程扫描的 poc,你可以把它列成一个脚本,先去判断 JDK 脚本,然后去判断某些这个 Jar 包的特征,最终告诉你到底有没有这个漏洞。基于这样的模式,只要是一个文件系统就 OK 了。
云原生安全公开课第一期的 Q&A 环节就到此结束啦,后面的每一期都有很多干货!请大家多多参与、多多提问!让我们一起学习,共同进步,我们下期见!
扫码添加小助手,一起学习、共同进步!
若有收获,就点个赞吧~
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...