تهدیدات امنیتی بومی ابر را با Tracee شناسایی کنید

منبع باز Tracee از فناوری لینوکس eBPF برای ردیابی سیستم و برنامه ها در زمان اجرا استفاده می کند و رویدادهای جمع آوری شده را برای شناسایی الگوهای رفتاری مشکوک تجزیه و تحلیل می کند.

چشم انداز تهدید بومی ابر دائما در حال تغییر است. تحقیق از تیم ناتیلوس Aqua در سال ۲۰۲۱ سطوح بالاتری از پیچیدگی در حملات و افزایش حجم حملاتی را که زیرساخت‌های کانتینری را هدف قرار می‌دهند، نشان داد. این مطالعه نشان داد که کانتینرهای آسیب‌پذیر را می‌توان در کمتر از یک ساعت مورد بهره‌برداری قرار داد، که بر اهمیت دید و تشخیص تهدید در زمان واقعی در محیط‌های بومی ابر تأکید می‌کند.

برای موثر بودن، تشخیص تهدید باید شامل وسعت بارهای کاری برای یک محیط بومی ابری باشد، از جمله کانتینرها، ماشین های مجازی، و عملکردهای بدون سرور با قابلیت شناسایی تاکتیک های مورد استفاده در حملاتی که محیط های بومی ابر را هدف قرار می دهند. نکته مهم این است که تشخیص باید در زمان واقعی اتفاق بیفتد و حداقل مخل تولید باشد.

این ویژگی‌های کلیدی عوامل مهمی در پشت ایجاد Tracee، امنیت زمان اجرای ابری منبع باز Aqua Security بودند. و ابزار پزشکی قانونی برای لینوکس. Tracee از فناوری eBPF برای ردیابی سیستم‌ها و برنامه‌ها در زمان اجرا و تجزیه و تحلیل رویدادهای جمع‌آوری‌شده برای شناسایی الگوهای رفتاری مشکوک استفاده می‌کند. در نتیجه، تیم ها می توانند از کانتینرهای خود محافظت کنند و اطمینان حاصل کنند که برنامه ها آنلاین و ایمن هستند. Tracee به سرعت در حال پذیرش است و اکنون تقریباً ۲K ستاره در GitHub و یک جامعه فعال از کاربران و مشارکت کنندگان دارد.

پرایمر مختصری در eBPF

eBPF یک رویکرد نسبتا جدید برای معرفی توسعه پذیری به هسته لینوکس به روشی ایمن، کارآمد و انعطاف پذیر است. برنامه‌های eBPF را می‌توان در هسته بارگیری کرد و توسط انواع مختلفی از رویدادها از جمله شبکه، امنیت و رویدادهای چرخه حیات اولیه در هسته راه‌اندازی شد.

نمونه‌ای از نقاط قوت eBPF شناسایی رفتار غیرعادی برنامه‌ها مانند نوشتن فایل‌ها در فهرست‌های مهم سیستم است. کد eBPF می تواند در پاسخ به رویدادهای فایل اجرا شود تا بررسی کند که آیا برای حجم کاری خاص مورد انتظار است یا خیر. از آنجایی که این کد شماست، می توانید هر نوع داده معناداری را جمع آوری کنید که در غیر این صورت به دست آوردن آن سخت یا ناکارآمد است. این راه را برای بسیاری از تکنیک های تشخیص پیچیده باز می کند.

تکامل Tracee

Tracee به‌عنوان یک ابزار داخلی شروع به کار کرد که به واحد تحقیقاتی Aqua، Team Nautilus، امکان جمع‌آوری رویدادها در کانتینرهای در حال اجرا را داد. هدف توسعه ابزار ردیابی قدرتمندی بود که از ابتدا برای امنیت طراحی شده بود. اولین نسخه بر مجموعه رویدادهای اساسی متمرکز بود. این تیم شروع به افزودن تدریجی ویژگی‌ها کرد و Tracee را به یک ابزار امنیتی کل نگر تبدیل کرد و آن را به عنوان یک پروژه منبع باز در سپتامبر ۲۰۱۹ در جامعه منتشر کرد. این به پزشکان و محققان اجازه داد از قابلیت‌های Tracee بهره ببرند، در حالی که Aqua بینش مفیدی از جامعه به دست آورد. برای بهبود ابزار ویژگی‌های جدیدی در این راه اضافه شد، مانند توانایی ضبط شواهد پزشکی قانونی، مکانیزم فیلتر دقیق، و ادغام‌های اضافی.

در فوریه ۲۰۲۱، Aqua نسخه ۰.۵.۰ Tracee را منتشر کرد که به لطف معرفی موتور قوانین و قوانین، آغاز تکامل Tracee از یک ابزار CLI ردیابی سیستم به یک راه حل امنیتی زمان اجرا با قابلیت تجزیه و تحلیل رفتاری بود. کتابخانه ای که الگوهای رفتاری مشکوک مختلفی را که Aqua شناسایی می کند، شناسایی می کند.

Tracee today: یک ابزار امنیتی قدرتمند OSS

از زمان ایجاد خود در سال ۲۰۱۹، Tracee از یک ابزار ردیابی سیستم منبع باز به یک راه حل امنیتی قوی در زمان اجرا تبدیل شده است که شامل یک ابزار CLI، یک کتابخانه Go برای نوشتن برنامه های eBPF، و یک موتور قوانین برای پردازش رویدادهای tracee-ebpf و شناسایی فعالیت های مشکوک Tracee به عنوان یک تصویر Docker ارائه می شود که اجرای آن آسان است. نصب‌کننده Kubernetes استفاده از Tracee را برای ایمن کردن خوشه‌ها و استفاده از تشخیص‌ها به شیوه‌ای راحت آسان می‌کند.

Tracee با مجموعه ای اساسی از قوانین (به نام امضا) خارج از جعبه ارائه می شود که انواع حملات و تکنیک های فرار را پوشش می دهد. کاربران می توانند Tracee را با نوشتن امضای خود گسترش دهند. امضاها به زبان Rego نوشته می شوند، که زبان پشت پروژه محبوب بنیاد محاسبات بومی ابری Open Policy Agent است. این به کاربران اجازه می دهد تا از مهارت ها و ابزارهای موجود خود استفاده مجدد کنند و امضاهای رسا را ​​به زبانی بالغ بنویسند.

علاوه بر امضاهای منبع باز، مشتریان پولی به یک پایگاه داده جامع از امضاهای ایجاد شده و نگهداری شده توسط تیم تحقیقاتی Aqua Nautilus دسترسی پیدا می کنند که به طور مداوم پیشرفت های دنیای واقعی در امنیت سایبری را ارزیابی می کند و اقدامات کاهشی را در قالب امضاهای Tracee ایجاد می کند.

>

برخلاف بسیاری از موتورهای تشخیص دیگر، Tracee از زمان آغاز به کار از eBPF استفاده کرده است و همه syscalls (حدود ۳۳۰) و همچنین سایر رویدادهای امنیتی گرا را بلافاصله از جعبه جمع آوری می کند. در حالی که راه‌حل‌های دیگر بر روی ماژول‌های هسته ساخته شده‌اند که می‌توانند بر پایداری سیستم تأثیر بگذارند و شکاف‌هایی با ردیابی syscall ایجاد کنند، استفاده Tracee از eBPF ایمن و کارآمد است، و Tracee دارای ویژگی‌های متفکرانه‌ای است که از فرار مهاجمان جلوگیری می‌کند.

به‌عنوان مثال، به‌طور پیش‌فرض Tracee ردیابی رویدادهای LSM (ماژول امنیتی لینوکس) را به جای syscalls در صورت لزوم تشویق می‌کند. ماژول‌های امنیتی لینوکس مجموعه‌ای از قلاب‌های قابل اتصال هستند که قرار است توسط ابزارهای امنیتی استفاده شوند. برای مثال، به جای ردیابی open/openat syscall، Tracee می‌تواند رویداد security_file_open LSM را ردیابی کند که برای اهداف امنیتی دقیق‌تر، قابل اعتمادتر و ایمن‌تر است.

به‌روزرسانی‌های اخیر Tracee شامل قابلیت حمل در سراسر نسخه‌های هسته با استفاده از Compile Once:Run Everywhere است. رویکرد، که نیاز به کامپایل کاوشگر eBPF یا سرصفحه های هسته تامین را از بین می برد. رویکرد اصلی نیاز به یک هسته لینوکس اخیر با پشتیبانی از BTF (BPF Type Format) دارد. اما Tracee این مشکل را حل می‌کند و از هسته‌های قدیمی‌تر با استفاده از یک رویکرد جدید که منبع باز است و تا حدی به پروژه لینوکس در بالادست است، پشتیبانی می‌کند. این در پروژه منبع باز btfhub پوشش داده شده است.

نقش Tracee در تشخیص و پاسخ بومی ابر

Tracee پایه و اساس محصول Aqua’s Dynamic Threat Analysis (DTA) است، یک اسکنر جعبه‌شنی ماسه‌ای که ظروف را با اجرای آنها اسکن می‌کند. DTA که قادر به شناسایی ظروف مخربی است که با ابزارهای اسکن سنتی یافت نمی شوند، بخش مهمی از راه حل پیشرو در صنعت Cloud Native Detection and Response (CNDR) Aqua است. CNDR از بدنه رو به رشدی از صدها شاخص رفتاری برای شناسایی حملات ناشی از رویدادهای سطح پایین eBPF استفاده می کند که توسط Tracee ظاهر می شوند. DTA، CNDR، و Tracee شاخص‌های رفتاری از یک تیم تحقیقاتی امنیت بومی ابری اختصاصی را با رویدادهای eBPF برای تشخیص تهدید در زمان واقعی در زمان اجرا ترکیب می‌کنند.

نقش Tracee در اکوسیستم OSS Aqua

Tracee بخشی از خانواده پروژه‌های امنیتی بومی ابری و منبع باز Aqua است. Aqua منبع باز را راهی برای دموکراتیک کردن امنیت و آموزش مهندسی، امنیت، و توسعه تیم ها از طریق ابزارهای در دسترس، کاهش مانع ورود به امنیت بومی ابری می داند. پروژه منبع باز دیگر Aqua Trivy است، محبوب ترین اسکنر آسیب پذیری منبع باز در جهان. Trivy به تیم ها کمک می کند تا به سمت چپ حرکت کنند تا امنیت را در خط لوله ساخت قرار دهند. Trivy مخازن کد و مصنوعات را برای آسیب‌پذیری‌ها، پیکربندی‌های نادرست زیرساخت به‌عنوان کد، و اسرار اسکن می‌کند و SBOM (صورت‌حساب‌های نرم‌افزاری مواد) را از جمله قابلیت‌های دیگر تولید می‌کند.

این پروژه‌ها با پلت‌فرم حفاظت از برنامه‌های بومی ابری Aqua (CNAPP) و با بسیاری از ابزارهای رایج اکوسیستم توسعه‌دهنده ادغام می‌شوند تا ضمن حفظ امنیت، به پذیرش سریع‌تر فناوری‌ها و فرآیندهای بومی ابری کمک کنند. پروژه‌های OSS آکوا توسط تیم منبع باز Aqua ساخته و نگهداری می‌شوند که به‌منظور حفظ تعهد شرکت به ارائه راه‌حل‌های منبع باز قابل اعتماد، ادامه توسعه ویژگی‌های جدید و آدرس دادن به بازخورد کاربران، و مشارکت مستمر در پروژه‌های دیگر در داخل، جدا از مهندسی تجاری عمل می‌کند. جامعه منبع باز.

ایتای شکوری مدیر منبع باز در Aqua Security، جایی که او توسعه راه حل های امنیتی بومی ابری، منبع باز و پیشرو در صنعت را رهبری می کند. Itay تقریبا ۲۰ سال تجربه در نقش های مختلف توسعه، معماری و محصول دارد. Itay همچنین یک سفیر CNCF Cloud Native است و ابتکارات اجتماعی مانند جلسات و کنفرانس های فنی را رهبری می کند.

—

انجمن فناوری جدید مکانی را برای کاوش و بحث در مورد فناوری سازمانی نوظهور در عمق و وسعت بی سابقه ای فراهم می کند. انتخاب ذهنی است، بر اساس انتخاب ما از فناوری هایی که معتقدیم مهم هستند و برای خوانندگان InfoWorld بیشترین علاقه را دارند. InfoWorld وثیقه بازاریابی را برای انتشار نمی پذیرد و حق ویرایش تمام محتوای ارائه شده را برای خود محفوظ می دارد. همه سوالات را به newtechforum@infoworld.com ارسال کنید.