偏移防御｜探真推出运行时安全新品

云原生世界危机四伏

运行时容器的二进制或者应用程序被纂改，是云原生平台面临的主要安全威胁之一。

根据专业报告显示：

62%的容器被检测出包含shell命令，增加了被篡改的风险。
38%的容器有敏感挂载位置，能改变主机系统的重要文件。

诸多信息都表明企业的云原生环境存在较大安全风险，需要谨慎对待。

无论是在传统应用架构还是在微服务架构下，企业无时无刻面临着各类攻击威胁，黑客一旦撕破入口，获取到一定权限后，通常会进行提权、横向移动等一系列的深入攻击。

2020年5月，云服务提供商Blackbaud受到了黑客攻击，黑客通过渗透攻陷Blackbaud的网络，黑客试图安装勒索软件阻止客户访问数据和服务器。

2021年4月，全球最大的代码托管平台Github云服务器遭黑客非法挖矿，影响超过9000w使用者。

2022年2月，知名云安全服务商 Cloudflare 被爆泄露用户 HTTPS网络会话中的加密数据长达数月，受影响的网站预计至少200万之多，其中涉及Uber、1password 等多家知名互联网公司的服务。

根据Snyk的最新研究，大约80%的组织在过去一年中遭遇了严重的云安全事件，而四分之一的公司担心他们遭受了云数据泄露，却没有意识到这一点。

勒索、挖矿正在侵害云原生环境

而针对该类问题最常见的传统做法就是根据具体的攻击行为，编写相应规则进行告警，比如IDS/IPS类产品。

但很不幸的是，业务环境的高复杂度，加之大量不合规的人为操作，进一步让攻击识别变得困难。理论上我们面对的攻击场景是无限的，而要针对这无限的攻击场景逐条编写检查策略，同时还要控制误报率，这显然是一件高投入、低回报的事。

那么，除了设置规则，在云原生环境下，我们是否还有其它思路，来解决这一难题呢？

容器的不可变性为面临繁杂、无限威胁的运行时容器带来了曙光。

容器不可变性

什么是容器不可变性，从字面意思来看，就是容器一旦被建立好，那就保持它不再变动。那么，为什么要这样设计呢？这样设计又有什么好处呢？接下来便详细说一说。

在传统应用架构下，单项业务通常部署在单台或少量几台服务器上，这样就导致了单台服务器会安装大量的应用及对应的依赖环境，每次运维或出现业务变更，管理员都会登录到对应主机进行操作，一个小的改动就可能影响整个环境，可谓牵一发而动全身，但这样也导致了传统架构下系统环境的复杂性。

而容器化的出现，则改变了这一现状，通过将业务切分成微服务，为各自创建独立的环境，并通过API交互，来实现互通，这样就使得每个功能单元的环境都变得更加纯粹。也正是这样的设计，让容器不变性成为了可能，管理员可以灵活对每个微服务进行变更而不影响整个业务环境，即便发生软件升级或者业务版本迭代，也可以直接替换单个微服务容器，而不是进入到具体的环境对内容进行修改。这样极大地减小了程序之间的耦合，真正做到，“牵一发动一发”。

由此，一个比较好的容器不可变性定义应该是：镜像一旦完成了构建，预计在不同的环境中运行都不会改变。这意味着在因外部环境的不同，在需要的时候使用外部手法处理所依赖的外部配置数据，而不是通过修改每个环境来构建不同的容器。而容器应用程序中的任何变更，都应该因此触发构建新的容器镜像，并在所有环境中重用它。

探真铸造 TensorCIA•偏移防御

我们知道，黑客的入侵过程通常都不是一步到位的。从信息收集、边缘突破，到内网渗透、提权、后门驻留等，过程曲折蜿蜒，且依赖大量黑客工具的使用。有的恶意程序甚至会通过篡改系统自身应用来达到长期驻留的效果，极难被发现。但如果企业严格遵从云原生最佳实践，容器一旦构建完成，是不应该直接对其内部进行修改的。

基于此，探真科技在旗下领航•云原生安全平台中推出了对运行时容器的革新性安全管理能力——TensorCIA•偏移防御！

TensorCIA•偏移防御是国内领先发布的针对恶意软件、蠕虫和零日攻击的云原生防护能力。

通过深度结合容器不可变性，以全新的思路，通过以下两步，强力阻断黑客的下一步攻击行为：

1、拦截恶意程序：已经构建好的镜像生成独属的应用清单；
2、拦截恶意篡改：对环境内的任何二进制程序变动进行严格校验。

如同为运行时的容器戴上紧箍儿，施下“定心真言”。

开启TensorCIA•偏移防御后，有力保证容器的可执行文件实现真正的零信任与最小权限原则运行。

TensorCIA•偏移防御工作示意图

TensorCIA•偏移防御的价值

1、拦截恶意程序