阿里云发布国内首个容器 ATT&CK 攻防矩阵,给出容器运行安全检测清单
2019 年是企业容器化爆发的一年。据统计已经有超过 90% 的互联网企业正在部署或使用容器,希望能通过更为敏捷的方式快速响应市场需求。
然而,伴随着容器技术的快速发展,容器安全问题也逐渐成为企业所关注的话题,同时,开发和运维人员缺乏对容器的安全威胁和最佳实践的认识也可能会使业务从一开始就埋下安全隐患。Tripwire的调研显示,60%的受访者所在公司在过去的一年中至少发生过一起容器安全事故。在部署规模超过100个容器的公司中,安全事故的比例上升到了75%,由此可见,快速拥抱容器化带来的安全风险不容忽视。
1、容器ATT&CK攻防矩阵九大维度
该矩阵从以下维度描述了攻击者在渗透过程中的阶段性目标以及所使用的技术手段,以便让企业更加了解攻击者的作案手法,加以应对。
01)Initial Access/初始访问
描述了攻击者初次入侵系统并获得立足点的方法。在容器化环境中,攻击者通常会从云服务平台、容器编排平台、以及容器化应用中寻找突破口。
02)Execution/执行
描述攻击者对已掌握的资产下发指令的方式。除了通过应用漏洞植入恶意代码外,攻击者还会通过云厂商提供的接口或容器编排工具的API完成指令下发。
03)Persistence/持久化
持久化用于实现对目标资产的长期控制。通过植入后门、更改配置等操作,攻击者可以避免因漏洞修复、服务重启、资源释放导致的攻击链路中断。在容器化场景中,容器编排平台以及镜像供应链为持久化提供了新的选择。
04)Privilege Escalation/权限提升
包含攻击者用来在目标系统或网络上获取更高级别权限的技术。攻击者通常需要提升到特权用户才能实现他们的目标,常见方法是利用系统缺陷,错误的配置和软件漏洞实现。
05)Defense Evasion/防御逃逸
描述了攻击者在渗透过程中用来躲避检测、绕过防御的方法。包括卸载、禁用安全软件或对数据和脚本进行混淆、加密。此外,攻击者还可以利用受信任的资源来隐藏其恶意行为。
06)Credential Access/窃取凭证
描述了用于窃取凭据(例如帐户名和密码)的技术。攻击者在进入系统后获取用户登录凭证、API访问凭证等信息,并使用这些信息窃取数据或进一步渗透其他服务。
07)Discovery/探测
包含搜集目标系统环境和探测网络拓扑的技术。这些技术可帮助攻击者了解目标环境并确定攻击方向。攻击者在进入系统之后常会对与其相关的资产发起扫描以寻找新的攻击面。
08)Lateral Movement/横向移动
横向移动技术描述了如何在目标系统中攻陷更多资产以扩大战果。在容器化场景中,这包括从单个容器内部访问集群的其他资源,以及通过容器向底层虚拟机节点或对其他云服务发起的攻击。
09)Impact/影响
包括攻击者用来劫持或破坏正常应用可用性或损害数据完整性,从而实现其最终目标的技术。在云环境中多见于植入挖矿或勒索病毒变现。
2、企业容器运行安全自检清单
阿里云安全团队根据云上容器ATT&CK攻防矩阵给出了企业容器运行时进行安全检查的清单,希望为企业实时检验自身容器安全水位提供参考。自检清单如下图,如果您有任何疑问欢迎扫描图中二维码咨询。
理解容器攻防矩阵是构建容器安全能力的第一步,除了上述涉及的能力和措施外,我们还建议用户在实施容器化过程中遵循以下几点安全规范,从不同角度缓解容器化带来的风险:
① 在应用生命周期中关注您的镜像、容器、主机、容器管理平台以及相关云服务的安全性,了解潜在风险以及如何保护整体容器环境的运行免受危害。
② 收集并妥善保管K8s集群、第三方CI组件以及云服务的API通信凭证,避免因人工误操作导致的AK泄露。
③ 由于容器应用生态涉及到的中间件较多,系统管理者需要关注这些中间件的漏洞披露情况并及时做好脆弱性管理和补丁升级工作。
在容器安全领域,阿里云重点关注容器构建、容器部署和容器运行三大生命周期阶段,结合容器攻防矩阵,为企业提供自动化的容器安全检测和响应能力;同时联合阿里云原生容器服务,面向企业推出云上容器安全一体化方案,助力企业容器化进程。
借助云安全中心,为客户提供自动化的安全编排与响应能力,全面提升容器安全易用性;同时为容器镜像提供漏洞扫描和修复,并支持整合在容器构建流程中,避免部署存在风险的容器;对于运行时的容器被植入 Webshell、挖矿病毒等场景,自动化隔离恶意样本,并通过联动云防火墙,针对存在漏洞的容器,提供虚拟补丁的能力,缓解安全风险。
最后,附上阿里云的优惠购买方式 |
全部评论
最新文章
-
1大模型数量国内第一!百度智能云国内首家支持Llama3全系列训练推理
-
2华为云推动土耳其数据库技术创新,“土耳其数据库先锋计划”正式启动
-
3鹅厂造了一座「桥」!腾讯云让主机搬家~
-
41299 万元,中兴新云中标财务共享建设项目
-
5新版本新能力,华为云 OceanBase 为何要打造实时分析数据库
-
61473.8万元,浪潮云中标重庆职业技能公共实训中心智联驾驶技术实训项目
-
7基于阿里云通义千问!央视《新闻联播》点赞中国一汽大模型应用!
-
8腾讯云4月8日故障复盘及情况说明
-
9天翼云大模型首次接入天文望远镜!基于通义千问,“星语3.0”发布
-
10IDC发布2023年中国整体超融合市场报告,深信服第一
热点排行
-
1文件存储 NAS 和 对象存储 OSS 的区别
-
2天翼云云电脑 | 让电视一秒变身电脑
-
3阿里工程师太凶残了,竟把服务器泡在“水里”!
-
4腾讯云 | 想在微信群里发起9人以上的语音聊天怎么办?
-
5数据仓库终结者:Dremio
-
62020年云服务器哪家强:阿里云、腾讯云、华为云、UCloud测评报告
-
72020 年 Q1 中国云市场份额:阿里云第一、华为云跃居第二、腾讯云下降为第三
-
8阿里云 web 应用防火墙(WAF)价格:179元/年
-
92020 Q1 中国公有云市场份额 TOP3:阿里云、腾讯云、华为云
-
10郑大一附院系统瘫痪 2 小时,运维人员被判 5 年半:破坏计算机信息系统罪
有话要说