正文

ADR - 运行时安全的未来

admin
admin V管理员 /0 评论 /119 阅读
0621
此篇文章发布距今已超过246天,您需要注意文章的内容或图片是否可用!

虽然一般的 CISO 可能对 CrowdStrike 的“行业标准”感到满意,但经验丰富的云安全工程师知道容器化环境中现代端点检测和响应 (EDR) 产品是多么缺乏。EDR 的挑战源于因为历史原因,产品特性和技术植根于 Windows 环境。导致EDR 向云工作负载的过渡一直很艰难,因为主流EDR供应商为了解决提供跨云工作负载的深度监控,一直在努力尝试 eBPF、Kube Audit 技术和云日志关联可能性。事实证明,即使 Linux Agent技术逐渐成熟,对容器和 Kubernetes 环境丰富的上下文信息监控对于传统 EDR 提供商来说仍然是一个持续的挑战。

从 EDR 到 CDR/KDR

要了解从 EDR 到云检测响应 (CDR) 的演变为何如此重要,我们以用户体验对调查容器告警的影响为例来详细看看。

CrowdStrike:

Sweet Security :

如果您想在容器环境内实现检测和响应,从过去几年的经验看,您需要更现代的解决方案,例如:Rad 、ARMO 、Sweet 、Upwind或Sysdig 。

我曾与 ARMO 一起撰写了关于Kubernetes 检测响应 (KDR) 是 CDR 的核心的文章,以及为什么在没有 Kubernetes 支持的情况下尝试做CDR就像试图驾驶没有引擎的汽车一样。Kubernetes 是云架构的核心,现代解决方案需要全面覆盖才能保证处理事件时上下文的关联。此外,由于 Kubernetes 生态系统正在快速发展,因此需要具有特定领域专业知识的供应商才能继续跟上技术的迭代。

尽管与传统 EDR 相比,这类工具拥有巨大的技术优势,但它们仍难以在市场上脱颖而出。由于 CrowdStrike 和 SentinelOne 也使用了 eBPF 并拥有容器Agent,需要通过深入的测试才能发现它们的不足。它们缺少在多种云相关日志源之间做关联的能力和相应的检测规则。

不幸的是,许多 CISO 很难理解为什么他们需要现代 CDR 而不是 CrowdStrike。当每个云原生应用保护平台 (CNAPP) 都将 CDR 作为多种功能选项之一时,事情会变得更加复杂。这就是为什么我只把支持 Kubernetes Agent的产品视为 CDR 的原因——如果不支持云上使用的主流编排系统,您怎么能说您正在进行云上检测和响应呢?

从 CDR 到 ADR

从EDR到ADR的演化

当Miggo以“应用程序检测与响应 (ADR)”提供商的身份出现时,我就知道这就是我们期待的 CDR 未来。Oligo 很快采用了这种说法(更正,应该是Oligo 先提出的ADR!)(喵站:中国的边界无限最先提出的ADR!),我认为所有 CDR 厂商全面转向ADR只是时间问题,这样他们才能更好地将自己的产品与传统EDR厂商区分开来。

CDR 厂商与传统 EDR相比已经有独特的区别,但ADR产品能够对应用程序内部功能调用的可见性提供很好的支持。再加上传统应用程序运行时安全保护(RASP)领域的厂商,因为插桩技术的挑战很大,目前留存的已非常少,更突出了ADR产品的优势。

尽管 Miggo 和 Oligo 的插桩方法截然不同,它们都具有在运行时查看函数执行的可见性。这种增强的可见性也使ADR厂商与现有的CDR厂商明显区分开来。

在安全领域工作了足够长时间的专业人士会认识到 ADR 实际上“只是 RASP”,但我认为这种转变更为深刻,原因有二:
1.插桩更加简化

RASP 的致命弱点一直是插桩的难度,以及一旦出现问题,排除故障的风险。尽管 DataDog 用导入库的方式,或 Contrast 用包装启动命令行的方式在理论上很简单,但大多数安全人员通常不具备这方面的专业知识。对于开发人员来说,让安全团队做如此侵入性的事情,使得他们失去对程序的控制权,这是不可接受的。

这就是为什么我倾向于使用 Oligo 等通过 eBPF Agent实现这种可见性的厂商:安全团队已经有了部署Agent,和在Agent架构下构建检测和响应策略的经验。

2.结合云、容器和应用程序上下文,能够获得完整的检测和响应数据链

无论如何,我认为 ADR 的目标比 RASP 更深刻,因为它能够跨云、操作系统和应用程序日志进行关联,尽管目前还没有人完全做到这一点。我总是使用这种简单、现实的攻击视角来思考现代检测和响应平台应有的可见性能力。

我喜欢 CDR 提供商,因为他们可以检测到持续渗透的发生,并将这些渗透行为拼接在一起;但是,他们只能在进程实际启动后才能发现远程 shell。相反,RASP 可以看到攻击的尝试阶段,但看不到攻击链的其余部分。ADR 提供商的不同之处在于,他们可以通过一次插桩就可以获得所有必要的数据,虽然构建完整攻击路径的道路还很漫长。我通常会看到高级安全团队与开发人员合作,尝试在他们的日志中编写自定义应用程序检测,但这种方法并不具备通用性。

总之,我希望 ADR 能够成为一种与传统 EDR 厂商明显不同的技术,从而鼓励企业用户能够重新审视检测响应类产品。目前,CDR 厂商提供了比 EDR 更全面的可见性,我也希望企业安全团队能够在评估中给他们一个机会。话虽如此,ADR 作为完整解决方案的出现只是时间问题。

原文链接:

https://pulse.latio.tech/p/adr-the-future-of-runtime

关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《2023中国威胁情报订阅市场分析报告》,《网安初创天使投资态势报告》,《全球网络安全创业加速器调研报告》《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 [email protected]


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网