Sysdig Secure 更新增加了在运行时阻止容器攻击的能力

容器和云安全公司 Sysdig 宣布了一项新功能，漂移控制，旨在在运行时检测和防止容器攻击。 Drift Control 将作为 Sysdig Secure 的一部分运行，旨在检测容器中的漏洞。 Sysdig Secure 是 Sysdig 容器智能平台中的一个组件，其中包括几个面向容器的安全应用程序。
为了检测、预防和加速生产中修改的容器的事件响应，也称为容器漂移，漂移控制提供了关闭由于偏离受信任的原始容器而产生的“危险安全漏洞”的能力。 Sysdig 的安全产品营销经理 Daniella Pontes 说：“Drift Control 检测并阻止执行在容器部署到生产后添加或修改的包或二进制文件。” “通过防止在生产环境中执行添加或修改的可执行文件，Drift Control 确保容器软件在其生命周期内不会被修改，从而强制执行其不变性，保持从源代码到运行的一致性，并防止可能成为攻击一部分的操作。
" 此外，Sysdig 还宣布改进恶意软件和加密挖掘检测，其中包含来自 Proofpoint Emerging Threats (ET) Intelligence 和 Sysdig 自己的威胁研究团队的威胁情报馈送。 Sysdig 与 Proofpoint 合作，因为该公司提供带有上下文和分类的恶意软件检测，持续更新恶意软件和域的情报，并遵循强大的威胁评分系统，根据 Sysdig 博客文章。 现有和新的 Sysdig Secure 客户都可以免费访问 Drift Control 和新的威胁源。
根据 Pontes 的说法，典型的容器部署体验会在生产过程中发生变化，包括： Pontes 补充说，漂移控制检测并阻止那些新的或修改过的可执行文件。 Sysdig 在容器的整个生命周期中跟踪这些可执行文件，并在它们尝试运行、拒绝或停止这些可执行文件时进行跟踪。 此外，Pontes 表示，Drift Control 旨在让组织防止进行难以跟踪和保护的临时修改的“有风险的传统做法”。
“在云环境中，团队经常忽略或无法执行不变性最佳实践，从而留下由漂移引起的安全漏洞。漂移控制提供了自动执行 Kubernetes 的云原生不变性原则的能力。” Tag Cyber​​ 的分析师 Gary McAlum 表示，集装箱漂移不一定是一个经常成为头条新闻的问题，但它是一个需要考虑和适当解决的风险。
“虽然它可能不是‘最常见的’在攻击列表中，它是可以不受限制地访问公司生产环境的老练攻击者的真正目标。” “除非您的容器配置正确，否则它们可以被修改，例如
，通过特权升级，这可能会在运行时环境中造成损害，”McAlum 说。 此外，由于容器在 Kubernetes 环境中相互通信，因此威胁在集群中横向移动的风险增加了。 McAlum 说，漂移控制是对 Sysdig 容器安全平台的“非常强大的增强”，并补充说 Sysdig 将其平台和安全功能基于 Falco 标准这一事实是一个巨大的优势。
Falco 是 Sysdig 于 2016 年创建的开源标准工具，用于跨 Kubernetes、容器和云进行持续的风险和威胁检测。 2018年10月，Falco被接纳为云原生计算基金会（CNCF）孵化级项目。 CNCF 是一个开源软件基金会，旨在促进云原生计算的采用。
除了新添加的漂移控制功能和威胁源之外，Sysdig Secure 还具有安全团队通过按需安全外壳访问挖掘受感染或可疑容器的能力，以调查被阻止的可执行文件和相关系统通信。 最近 Sysdig 推出了 Risk Spotlight，这是一种基于运行时智能的漏洞优先级排序工具，旨在使安全团队能够优先考虑补救措施。