随着组织开始采用容器和无服务器技术,需要保护这些部署模型。9月24日,Attivo Networks宣布进入集装箱和无服务器安全市场,更新其ThreatDefend网络安全欺骗平台。
网络安全欺骗的基本思想是提供看似真实的资源,以欺骗和诱捕攻击者揭露自己。通过新的ThreatDefend更新,Attivo正在添加以容器和AWS Lambda无服务器云服务本机运行的欺骗。
“我们作为一家公司所看到的是,公司开始非常积极地研究用于网内威胁检测的欺骗技术,我们发现他们希望在所有攻击面上都能获得相同的无处不在的检测,”Carolyn Crandall ,Attivo Networks的首席欺骗官告诉eWEEK。“我们之前得到了一些支持,基本上是在云中进行了一些常规诱饵和欺骗,现在我们已经发展它以便能够支持无服务器和容器架构。
容器(包括Docker容器)提供了隔离和虚拟化正在运行的应用程序的机制。另一方面,无服务器(有时也称为服务功能)使组织能够在不需要运行服务器实例的情况下运行功能。
Crandall解释说,Attivo为云中的容器和无服务器部署构建的欺骗包括一系列诱饵,这些诱饵似乎是攻击者,就像它们是真正的生产容器或无服务器功能一样。此外,Attivo对容器和无服务器的欺骗还包括使用嵌入诱饵凭证,以试图引诱攻击者。
“为了吸引攻击者参与,它(诱饵)必须是真实的,镜像与生产相匹配,”克兰德尔说。“因此,我们进行了广泛的开发,以确保在这些新的云环境中都是如此。”
有了欺骗诱饵和虚假证书,一旦针对诱饵发生攻击,Crandall说Attivo平台提供攻击分析和取证,以帮助组织了解攻击者如何操作以及应该采取什么措施来阻止他们作为事件的一部分回应过程。
这个怎么运作
Attivo为新的云,容器和无服务器安全功能扩展的ThreatDefend平台的一部分是BOTsink,它为破坏后检测提供基于网络的威胁欺骗。BOTsink与公共云提供商合作,也可以部署在Kubernetes容器集群部署中。
“您可以使用任何编排环境在Kubernetes环境中部署ThreatDirect容器,”产品管理联合创始人兼副总裁Marc Feghali告诉eWEEK。“ThreatDirect连接器将隧道回到BOTsink平台,并在该本地子网上投射所有欺骗功能。”
Feghali解释说,在AWS云中,组织首先将BOTsink部署到可用区。最重要的是ThreatDefend平台的Attivo ThreatDirect组件,Feghali说这基本上是一个消耗本地IP地址的虚拟机,并提供攻击者可能参与的诱饵服务。
他补充说,组织还可以选择部署一组诱饵凭证,包括Lambda无服务器功能内的帐户访问令牌和SSH密钥,以及Amazon S3存储桶。因此,如果攻击者以某种方式进入云部署并在Lamda函数中查找帐户凭据,他们将找到诱饵凭据,这些凭据不会影响生产环境,但会向组织提示攻击者在其中存在云部署,Feghali说。
“我们对Attivo的一个假设是攻击者已经在环境中,”他说。
Feghali解释说,当攻击者已经进入云环境时,可以查看存在的所有不同资源。
整治
一旦攻击者追踪其中一个Attivo诱饵,Feghali说,至少,组织会收到违规帐户的警报,该系统已被感染,并使用了哪些凭据。他补充说,通过与攻击者的接触,ThreatDefend平台能够为用户提供攻击的策略,技术和程序(TTP)。
“我们与其他系统集成,如NAC [网络访问控制]和端点安全解决方案,以阻止数据泄露和隔离受感染的端点,”他说。“我们拥有一个拥有超过25家供应商的广泛集成生态系统,而且我们一直在扩展。”
竞争
网络安全欺骗技术市场是一个活跃的市场,包括Illusive,TrapX,Acalvio,Fidelis和赛门铁克等多家供应商。
Crandall表示,Attivo通过对网络和端点欺骗进行广泛的攻击面覆盖来区别于其他人。她还认为Attivo的方法被攻击者认为是可信的,因此诱饵似乎与在生产环境中运行的真实服务相同。诱饵真实性的一部分是通过机器学习功能实现的,这些功能是Attivo技术的一部分。
“这不是机器学习来检测攻击者,而是机器学习准备,部署和操作凭证和诱饵,”她说。