第 48 屆 IT Press Tour 有機(jī)會(huì)與Sysdig的首席執(zhí)行官Suresh Vasudevan會(huì)面。他們的使命是加速和保護(hù)云創(chuàng)新。

Falco 是云原生威脅檢測(cè)的開源標(biāo)準(zhǔn)。它監(jiān)視來自內(nèi)核的系統(tǒng)事件，并支持主機(jī)、容器和 Fargate?；?Falco 構(gòu)建的工作負(fù)載安全解決方案包括 Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm 等。

Sysdig 提供深度容器取證和故障排除。借助 Falco，他們通過識(shí)別軟件漏洞、運(yùn)行時(shí)威脅、配置風(fēng)險(xiǎn)和合規(guī)性差距，提供從源到運(yùn)行的云到容器的安全性。

云規(guī)模的安全挑戰(zhàn)

有四個(gè)關(guān)鍵的關(guān)注領(lǐng)域和要問的問題：

1. 漏洞管理：如何在不壓倒開發(fā)人員的情況下減少漏洞積壓和管理風(fēng)險(xiǎn)？
2. 身份和訪問管理：誰(shuí)有權(quán)訪問哪些資源，實(shí)際使用了哪些權(quán)限？
3. 配置管理：如何盤點(diǎn)云資源并確保配置安全合規(guī)？
4. 威脅檢測(cè)和響應(yīng)：哪些數(shù)據(jù)和上下文對(duì)于檢測(cè)和響應(yīng)云中的異常和事件至關(guān)重要？

供應(yīng)鏈安全合規(guī)

Sysdig 通過代碼提供供應(yīng)鏈安全合規(guī)性，旨在運(yùn)行和響應(yīng)。

他們通過以下方式做到這一點(diǎn)：

• 基礎(chǔ)架構(gòu)即代碼驗(yàn)證，用于防止漂移和阻止有風(fēng)險(xiǎn)的配置。
• 使用 CI/CD 管道、注冊(cè)表和主機(jī)進(jìn)行漏洞管理，并根據(jù)使用中的漏洞確定優(yōu)先級(jí)。
• CPSM 和云錯(cuò)誤配置的配置管理，以及云庫(kù)存。
• 針對(duì) CIEM 最小權(quán)限和基于使用中權(quán)限的優(yōu)先級(jí)的身份和訪問管理 (IAM) 。
• 針對(duì)云和工作負(fù)載運(yùn)行時(shí)安全的威脅檢測(cè)。
• 事件響應(yīng)捕獲詳細(xì)記錄以供取證并阻止惡意容器和進(jìn)程。

運(yùn)行時(shí)洞察力增強(qiáng)了左移安全性，從而可以在源頭上對(duì)使用中的暴露進(jìn)行優(yōu)先級(jí)修復(fù)。

威脅研究

Sysdig 將多層方法應(yīng)用于威脅研究，包括客戶和高級(jí)威脅情報(bào)、公共存儲(chǔ)庫(kù)的主動(dòng)掃描、漏洞研究、基于行為的檢測(cè)和基于機(jī)器學(xué)習(xí)(ML) 的檢測(cè)。

他們有十幾位威脅研究和 ML 專家研究不良行為者和活動(dòng)。此外，他們還使用 Falco 支持的沙箱技術(shù)主動(dòng)掃描公共存儲(chǔ)庫(kù)以查找容器鏡像注冊(cè)表、GitHub 和暗網(wǎng)。

他們使用自動(dòng)化取證和大數(shù)據(jù)分析為數(shù)十個(gè)地區(qū)的所有主要云供應(yīng)商創(chuàng)建了一個(gè)多云、容器原生蜜罐網(wǎng)絡(luò)，用于數(shù)百個(gè)暴露的應(yīng)用程序。

他們不斷研究云原生技術(shù)的漏洞并提供負(fù)責(zé)任的披露。此外，一旦使用開箱即用的檢測(cè)規(guī)則識(shí)別出可疑行為，它們就會(huì)保護(hù)用戶。

機(jī)器學(xué)習(xí)最適合解決特定領(lǐng)域的檢測(cè)問題，例如比特幣礦工。他們目前正在使用機(jī)器學(xué)習(xí)以 99% 的精度早期檢測(cè)加密礦工。此外，進(jìn)程活動(dòng)遙測(cè)提供了準(zhǔn)確檢測(cè)惡意行為所需的粒度級(jí)別。

優(yōu)先考慮使用中的風(fēng)險(xiǎn)暴露

只有 15% 的漏洞在運(yùn)行時(shí)被利用。通過使用使用中的風(fēng)險(xiǎn)暴露過濾器來監(jiān)控漏洞、配置、權(quán)限和Kubernetes網(wǎng)絡(luò)連接，用戶可以識(shí)別最重要的風(fēng)險(xiǎn)。用戶不必在未使用軟件包時(shí)進(jìn)行調(diào)查，因此每個(gè)漏洞可以節(jié)省 1.5 小時(shí)。

風(fēng)險(xiǎn)聚光燈通過識(shí)別少數(shù)構(gòu)成實(shí)際風(fēng)險(xiǎn)的漏洞來消除噪音。這些是在運(yùn)行時(shí)綁定到活動(dòng)包的那些。這可將漏洞噪聲降低多達(dá) 95%。

客戶用例

雅虎日本擁有超過 40,000 個(gè) Kubernetes 節(jié)點(diǎn)。他們使用 Sysdig 在其 CI/CD 管道和運(yùn)行時(shí)環(huán)境中進(jìn)行漏洞分析，并檢測(cè)和防止偏差并跟蹤合規(guī)性。

全球支付處理器使用AWS 和 GCP 云。他們使用 Sysdig 提供 Kubernetes 運(yùn)行時(shí)安全以及基于用戶云活動(dòng)日志的實(shí)時(shí)異常和威脅檢測(cè)。

Goldman Sachs擁有超過 140,000 個(gè) Kubernetes 節(jié)點(diǎn)和數(shù)千個(gè)應(yīng)用程序。他們使用 Sysdig 為 Linux VM 和容器提供端點(diǎn)檢測(cè)和響應(yīng)，并提取關(guān)鍵運(yùn)行時(shí)數(shù)據(jù)以提供威脅檢測(cè)和安全分析。

FINRA擁有超過 3,000 個(gè) Fargate 任務(wù)和 EC2 主機(jī)。他們使用 Sysdig 對(duì)基于 Fargate 的應(yīng)用程序進(jìn)行管道和運(yùn)行時(shí)圖像掃描以及威脅檢測(cè)和響應(yīng)。