【国际视野】 SANS 发布《云原⽣应⽤保护平台 (CNAPP) ⽤户指南》 “天极按 近日，SANS发布《云原生应用保护平台 (CNAPP) 用户指南》，为企业提 供购买指导，以帮助企业保护云中的工作负载、最大限度地减少漏洞暴露 面和配置弱点，并自动化安全流程和控制。天极智库 2023-08-30 17:31发表于天津 原创 天极智库 ⼯作负载和云服务的持续且未知的配置⽅式创建了⼀个不断扩⼤的动态攻击⾯，很难使⽤专为 传统数据中⼼设计的⼯具和流程来保护该攻击⾯。不良⾏为者正在适应这种新形势，并利⽤⽇ 益增⻓的漏洞和安全弱点。云需要对安全运营团队多年来依赖的许多⼯具、服务、流程和技能 进⾏重⼤改⾰。现有⼯具不⾜以匹配攻击者在云中使⽤的新策略，导致安全态势被削弱。潜在 攻击⾯的迅速扩⼤导致了许多云漏洞、错误配置和安全弱点。随着资源和数据源的增加，将数据处理成有⽤知识以⽤于识别和修复威胁的负担也随之加重。安全、运营和应⽤团队⾯对⼤量 的警报和漏洞，过度负荷，使企业⻓期处于关键漏洞的暴露窗⼝。管理漏洞同时需要⼤量云⼯ 作负载和应⽤设计的额外背景信息，团队很难优先考虑哪些容器和软件包存在重⼤⻛险。 随着越来越多的组织利⽤ DevOps 实践，这⼀点变得尤为重要。被授权的开发⼈员只需点击按 钮，即可配置基础设施并部署容器化应⽤程序。这些做法可能会给企业带来⻛险，因为安全很 少集成到开发环境中，⽽且许多安全团队可能⽆法了解部署实践和可能出现的新漏洞。 攻击者正逐步适应新形势，并利⽤不断增加的漏洞和安全弱点。随着越来越多的组织在云中诞 ⽣或迁移到云中，威胁格局也在不断演变，以利⽤这些安全漏洞。在云端，攻击模式有所不 同，以传统端点为重点的攻击减少了，⽽更多的攻击集中在基于软件的基础设施的相互关联性 上，包括身份分配和定位（包括⽤户和⾮⼈类或机器身份）、应⽤程序包和库、暴露的 API 等。 此外，暗⽹是窃取凭证和复杂⼯具与技术的来源，利⽤有效凭证快速⼊侵云环境，查找可利⽤ 漏洞，在⼯作负载和云间横向移动，从中攫取最⼤利益。攻击者和整体威胁环境的变化要求采 ⽤新型⾼级⽅法来检测和响应云⼯作负载、应⽤和整体环境。 云技术要求对安全运营团队多年来依赖的许多⼯具、服务、流程和技能进⾏重⼤改⾰。随着安 全⾏业进⼀步向 PaaS 和 IaaS 云部署发展，⼯具和技能都需要及时更新。 如图1所示和前⾯的详细介绍，有⼏个因素促使云安全运营团队更新和改变技术和流程。安全 解决⽅案、流程和安全团队技能需要不断发展，以有效降低云和容器的⻛险。图 1.推动云环境技术更新需求的因素 优先考虑云与容器安全的必要性 由于内部部署和云基础设施都⾯临着各种现有的安全挑战和⽇常操作要求，决策者可能会对解 决云和容器安全问题的紧迫性产⽣争议。数据泄露的数量及总成本都在增加。在针对云的攻击 中，多数攻击主要集中在云环境中配置错误的 " 盲点 " 上，⽽安全控制和监控并未充分覆盖这 些"盲点" 。强调了容器、 Kubernetes 和⽆服务器等新技术，⽽许多安全团队仍未充分了解或 保护这些技术。另⼀个⼤问题是 " 云蔓延 " ，它⼤⼤扩展了潜在的整体攻击⾯。当今的攻击者已 经意识到，关注云技术是有意义的，因为安全问题在针对云⼯作负载调整安全操作、检测和响 应⽅⾯往往落后于形势⾃ 2022 年开始以来，最近发⽣的⼀些案例如下： Sysdig 研究⼈员称：攻击者正在将恶意软件隐藏在 Docker Hub 中存储的看似合法的镜像 中。最常⻅的恶意软件类型与加密有关（ 37% ），其次是嵌⼊秘密（ 17% ），如常⽤的 SSH 密钥、AWS 凭据和其他授权令牌；Denonia 恶意软件的⽬标是 AWS Lambda ⽆服务器功能和相关服务和基础设施。 Denonia 采⽤ Go 语⾔编码，包含加密挖掘组件，并侧重于利⽤账户凭据。利⽤账户凭据； 加密僵⼫⽹络 LemonDuck 利⽤配置不当的 Docker API 。该僵⼫⽹络会安装恶意容器，并 在被检测到时终⽌竞争性加密代码； 据 Sysdig 威胁研究团队（ TRT ）的研究⼈员表示： TeamTNT 威胁⾏为者据称在⼀次名为 Chimaera 的云活动中⼊侵了 10,000 多台 Docker 、 Kubernetes 和 Redis 设备。 TeamTNT 是⼀个复杂的、精通云技术的威胁⾏为者，它利⽤混淆和掩盖技术来处理⽹络流 量和请求，利⽤云 API 来访问 AWS EC2 元数据中的 IAM 凭据等敏感信息，并使⽤规避策 略来避免容器镜像中的早期检测； 在同⼀份报告中， Sysdig TRT 还发现，随着俄乌战争等地缘政治冲突的加剧，涉及云⼯作 负载的 DDoS 和加密攻击也在增加。 在 2022 年 SANS 云安全调查中，超过半数的受访者表示担⼼的问题包括：⼯作负载中未经授 权的计算实例或组件、配置不佳或可访问的 API 、缺乏可⻅性以及⽆法检测和应对云⼊侵情 况。如果不解决云和容器安全问题，可能会出现以下结果： 如果不更新检测和响应⼯具及能⼒以应对容器和云⼯作负载，⼤多数安全运营团队将⽆法及 时发现这些威胁或在⽣产中暴露于关键漏洞。劫持应⽤程序接⼝、插⼊和执⾏恶意的和执⾏ 恶意加密和其他恶意软件，以及可疑的云⼯作负载⾏为； 云⼯作负载组件和容器镜像等资产的变化和更新速度加快。随着漏洞的公布，更新漏洞管理 程序以适配新软件包、操作系统及其他云原⽣服务⾄关重要。如果⽆法实时了解正在使⽤和 计划使⽤的⼯作负载和组件，安全团队将⽆法确定修复的优先顺序，并可能花费⼤量时间来 分流漏洞； 许多事件响应团队尚未准备和更新⼯具及⼯作流程，以正确处理云⼯作负载。可能会导致收 集和分析事件数据及其他⼯件的时间过⻓，进⽽延⻓响应时间，并导致就适当的响应⾏动做 出决策； 所有云和容器安全趋势都不可避免地包括 API 和协调服务及⼯具。这些都是错误配置、暴露 和权限过度分配的主要载体。因此，安全界越来越重视威胁情报、漏洞分析和警报，尤其是 针对这些漏洞的修复指导。 传统安全控制与⼯具缺失 许多在企业内部使⽤的传统⼯具和控制措施在云中并不能很好地发挥作⽤。⼏个问题解释了许 多传统安全技术不适合云⼯作负载和环境的原因，所有这些问题都与预防、检测和响应这三个环节密切相关。 第⼀是可⻅性。对云服务、身份、⼯作负载和协调服务（如 Kubernetes ）的可⻅性有助于安 全团队检测现代威胁。多数传统⼯具都会在这些领域造成盲点。互联⽹安全中⼼（ CIS ）的第 ⼀项关键安全控制措施完全侧重于通过维护环境中运⾏的系统的健全清单来弥补可⻅性不⾜。 第⼆个CIS 关键安全控制的重点是收集和维护⼯作负载上运⾏的软件清单。⼤多数组织都依赖 多种类型的控制措施来实现云安全可⻅性。部分属性⻅下： ⽹络可⻅性：通常⽤于实现⽹络可⻅性的传统控制类型包括⽹络防⽕墙、⽹络⼊侵检测和防御 以及⽹络检测和响应 (NDR) 。由于基于软件的⽹络配置和控制与⼯作负载和部署息息相关， 许多此类⼯具可能⽆法进⾏适当的集成，以⽅便了解基于 Kubernetes 的⽹络配置或在领先 的 IaaS 和 PaaS 环境中运⾏的容器的⽬标或来源的特定流量； 应⽤可⻅性：除了单个系统和容器上的本地应⽤程序⽇志外，应⽤程序可⻅性还依赖于⼤规模 跟踪事件和⾏为，因为⼯作负载在整个云环境中进⾏通信。要开发真正的应⽤程序可⻅性，需 要与云⼯作负载和协调服务深度集成，并提供强⼤的警报和报告功能； ⼯作负载可⻅性：深⼊的⼯作负载可⻅性将需要漏洞监控和情报、针对各种⼯作负载类型的配 置评估功能，以及对容器镜像配置和运⾏时事件监控的可⻅性； 流⽔线和基础设施即代码（ IaC ）可⻅性：云和容器安全可⻅性的另⼀个关键⽅⾯是⼯作负载 定义和配置选项的态势，以及成功部署和运⾏所需的任何相关服务和⽀持要素。在⼤多数成熟 的组织中，这种类型的可视性将需要集成到 DevOps 管道中，并与构建集成和快速分析 IaC 模板和⽂件相结合。 ⼤多数⽤于漏洞检查和威胁⾯分析以及操作系统和应⽤程序组件实时评估和监控的传统⼯具， 都不太适合基于云的⼯作负载和服务。许多⼯具依赖于⽹络扫描，或者依赖于会影响性能并增 加成本的代理。许多传统⼯具还发送许多离散的警报和信号，但缺乏在基于云的应⽤和⼯作负 载中快速响应所需的上下⽂。 安全运营中⼼（ SOC ）和事件响应团队已经为⼏种攻击模式和变种建⽴了游戏⼿册，其中包 含端点检测和响应（ EDR ）、⽹络可视性、警报以及反馈到中央监控团队的事件等等。从概念 上讲，⼀些相同的攻击可能会在云中发⽣，但攻击⽅式和检测⽅式需要转变。传统的 EDR 或企 业内部监控解决⽅案⽆法实时检测到这⼀点并发出警报（或完全阻⽌），因为这些服务和功能 并不存在。 MITRE 团队⼀直在努⼒发展 ATT&CK 模型，以便更好地将 IaaS 和 PaaS 解决⽅案纳 ⼊领先的云服务提供商，检测和响应⼯具应具备检测和响应以下新的和修改过的攻击元素的能 ⼒：修改和植⼊云容器镜像； 部署未经授权的资产，如新的 Kubernetes 集群和 pod 破坏未经授权的加密代码； 操纵⼯作负载中的⻆⾊和身份分配。 为了全⾯覆盖 PaaS 和 IaaS 环境，并提供实时可视性、⼈⼯制品识别和取证证据收集，以及可 能需要与云提供商 API 深度集成的云本地响应⾏动，将需要基于代理和⽆代理的以云为中⼼的 安全⼯具。 最后，开发和部署的动态性，以及容器和云原⽣⼯作负载及应⽤的短暂性，导致环境急速变 化。需要新解决⽅案来跟上云服务爆炸