RSA创新沙盒盘点|Araali Networks——云原生风险缓解

RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。绿盟君将通过背景介绍、产品特点、点评分析等,带大家了解入围的十强厂商。今天,我们要介绍的厂商是:Araali Networks。

一、公司介绍

Araali Networks(以下简称Araali)是一家为云原生环境提供威胁管理解决方案的公司。该公司可对威胁进行检测和拦截。在eBPF技术支撑下,用户可以在自己的私有虚拟云中制定某个身份能够执行的动作,从而防止恶意代码建立后门或进入服务器。Araali创办于2018年,总部位于美国加利福利亚州,并于2020年获得了种子轮投资。此外,Araali 的云入侵检测和防御系统已获得SOC-2 II类合规认证。其创始人团队阵容如图1所示[1] 。Abhishek之前是Tetration Analytics的联合创始人/工程副总裁,在那里他带领初始团队构建和扩展了一个数据中心规模的平台,以实现虚拟机环境中的细分和安全。在加入Tetration之前,他曾在Aruba、Cisco和Ericsson担任工程领导职务。Abhishek拥有印度坎普尔技术学院的理工科学士学位和约翰霍普金斯大学的硕士学位(都是计算机科学)。

图1 Araali Networks创始人

Bhanu曾是Aruba Networks的工程负责人,在那里他领导了SD-WAN产品。此前,他曾担任思科和HPE Tandem的技术主管/经理。Bhanu拥有尼赫鲁科技大学的理工科学士学位和路易斯安那拉斐特大学(计算机科学)的硕士学位。

二、相关背景

云代表了一种新的消费模式,同时也一并带来了新风险。用户与服务提供商共同承担责任,针对不同的类型服务,如IaaS、PaaS和SaaS,有着不同的风险。云风险可以大致分为三个类别:1、应用程序漏洞:包括应用程序、软件供应链,以及与操作系统捆绑在一起的开源应用程序。

2、SaaS 配置:SaaS的一般安全配置,特别是围绕IAM和访问控制。

3、用户和合作伙伴访问:除应用程序之外,用户和合作伙伴往往会拥有一定的权限,一旦被滥用有可能会造成威胁。

针对这些应用程序漏洞,保持系统和软件及时更新补丁是最常见且最有效的方式。大多数网络安全事件是由未打补丁的系统和软件引起的。根据Ponemon Institute的一项研究显示,2019年60%的攻击行为与可用补丁但未应用的漏洞有关[2]

根据图2显示[3],CVE的漏洞数量呈现出逐年上升的趋势,这么多的漏洞必然意味着需要大量的补丁对已知漏洞实施更新和修补。

图2 每年CVE数量

我们知道,保持系统和软件完全修补对于防止恶意软件和网络攻击至关重要。但是还会有很多系统没有及时更新打上补丁。例如,Wannacry勒索软件加密蠕虫在首次实施四年后仍在使用,因为部分系统至今仍未针对其目标漏洞进行修补。之所以没能完成修复的一些原因包括:1. 需要修补的系统和软件数量过多,每个修复都需要花费大量的人力物力2. 补丁的修复往往需要停机中断服务

3. 补丁的兼容性可能会导致原始的服务不可用

Araali提出了一种叫做Resilient-Patching弹性补丁的技术解决方案。并不是在应用程序内部更新补丁,而是采取一种类似WAF的手法,在应用的外部边界进行防护。但有别于传统的虚拟补丁技术,支持针对请求响应进行检测和防御。弹性补丁通过强制执行其预先指定的行为来限制应用程序的能力,防止存在偏差的行为,从而防止攻击者利用脆弱性进行恶意行为。且这种方式不用中断业务,也不用担心补丁出现兼容性问题。同时加强业务的访问控制,自动检测应用程序完成工作所需的最低权限,实现基于用户行为身份的访问控制,不依赖于secret或者密码等信息。最后,针对攻击中很重要的一环:利用程序后门进行检测,提出后门检测即服务(Detection as a Service,DaaS),对攻击中的后门行为进行有效的分析识别检测,有效缓解云原生面临的风险。

三、产品介绍

1、弹性屏蔽
在云原生环境中,Araali安装了一个分布式跟踪和执行模块 (Araali-FW) 作为Kubernetes守护程序集。策略会跟随应用程序的生命周期,而不是永久地运行在基础设施上。这点与sidecar的模式相似,但是Araali基于高性能的eBPF(extended Berkeley Packet Filter)实现,不需要将能力重新定向到sidecar中,从而降低系统开销。Araali实现了策略的智能、集中管理和自动发现。Araali会自动分析使用弹性补丁,限制应用的权限和能力,防止恶意攻击行为。这类似于在应用程序周围放置一个防护罩,将漏洞限制在本地防护罩内,并且不允许传播。如图3所示[4]。Araali的弹性修补解决方案带有内置监控和自我纠正功能。所有策略都是自动发现和自我纠正的。解决方案的自动化特性消除了人为错误的因素,这通常是修补操作中最薄弱的环节。这部分官方没有详细说明原理,我们猜测可能是通过机器学习等相关方式持续监控系统、应用、网络等行为,建立行为模型,并在持续运行的过程中不断学习,自适应变化。

图片

图3 Araali防护模式示意

弹性补丁检测流程如图4所示[5]:1、在任务的运行流程中放入eBPF的观测能力。2、获取数据进行建模。我们猜测该步骤是通过eBPF进行系统调用的Hook,网络socket的流量分析,学习出应用的特定行为模型。

3、对于和预先指定行为存在偏差的恶意行为进行阻断,对该恶意行为的阻断应该就是一个弹性修复。

图4 弹性补丁检测流程

2、访问控制
Araali的访问控制可以自动化实现资源的最低权限无密码访问控制。如图5所示[6],传统云厂商提供的IAM产品,虽然也可以提供基于IAM策略的无密码控制,但这仅限于云厂商自己的产品。当需要使用第三方的SaaS或者用户自己的服务时,就只能依赖基于网络的安全策略。Araali通过基于eBPF的控件,自动检测应用程序完成工作所需的最低权限,来强制执行最小权限原则(PoLP)。

图5 Araali的访问控制于云IAM访问控制差异

 
3、检测即服务
后门是影响Linux正常运行的三大威胁之一(另外两个是DDoS和加密挖矿)。后门使攻击者可以在环境中进行持久的远程控制。此外,它还允许他们进一步武器化并轻松下载下一阶段攻击所需的利用工具包(例如Metasploit和cobalt strike)。最后,在活动结束时,后门可以用作窃取数据的渠道。Araali使用基于eBPF的控件来创建基于身份的行为模型。对出站的请求进行检测分析,并与外部威胁情报结合,在网络流程层面对恶意连接进展分析阻断,这部分能力与传统的NIDS能力比较类似。图6展示了检测受感染的应用程序发起的后门连接请求。

图6 受感染的应用程序发起的后门连接请求

 

四、技术特点

1、无需重新编译或重新部署代码
使用Araali的弹性补丁,可以在不改动应用代码或者重新部署的情况下,对应用的缺陷进行修补,在应用外部建立防护罩,将应用程序行为限定在预定义的边界内。
2、合规—建立符合NIST安全框架的成熟度
Araali与图7 NIST网络安全框架保持一致[5]。(1)识别(基于风险的评估)(2)保护(弹性补丁—主动/隔离应用程序)

(3)检测(密封和监控边界)

(4)响应(反应性修补)

(5)恢复(使用弹性修补重新部署)

图7 NIST网络安全框架

 
识别
Araali会持续扫描运行时环境,以评估固有风险并确定其优先级。它会自动检测最易受攻击的应用程序、最有价值的应用程序(数据库和Database-as-service)及支持这一切的底层关键服务(元数据服务、密钥存储等)。它还会查找具有过多特权、未使用的开放端口、磁盘上的密钥、特权过高的IAM配置,以分析攻击的暴露面,最终结果如图8所显示。

图8 自动检测漏风险识别要保护的关键元素

 
保护
评估风险后,Araali可以为客户提供主动降低风险的工作流程,利用弹性补丁对应用进行加固强化,实施安全控制。图9展示了Araali检测应用中容器级别及进程级别的脆弱性,以可视化的方式展示应用中的调用链关系。

图9 Araali脆弱性分析与弹性补丁

 
检测
由于不可能消除所有风险,因此对环境的持续监控也至关重要。Araali能够及时发现网络安全事件。这些作为警报被触发并智能地发送到SecOps团队或推送到SIEM,以进行进一步关联和分析。警报具有丰富的有意义的上下文。此外,Araali还允许SecOps团队重放警报触发动作,以了解事件的顺序——这是了解威胁进程的有力方法。图10展示了Araali告警内容,包含时间、客户端、服务、状态等信息。

图10 具有完整上下文的警报被发送到SecOps团队

响应
针对探测的威胁,可以通过上文提到的弹性补丁技术对应用加固,修复应用的缺陷。
恢复
DevOps团队将重新部署应用程序、基础设施和配置的新副本,并在最后阶段激活缓解控制。由于风险现在已经引起人们的注意,DevOps团队可以将应用程序添加到主动保护计划中,即“识别”步骤的一部分,从而完成良性循环。
3、低开销
得益于eBPF技术的加持,可以不需要将能力重新定向到sidecar中,降低系统开销。
4、防止尚未披露的漏洞和零日漏洞
在NIST网络安全框架中,最麻烦的部分就是“检测和响应”阶段。这部分就像是猫鼠游戏,不断的修复绕过,不断博弈。因此提出了安全左移的概念。但是安全左移往往会有很多问题而无法有效实施,比如开发人员的安全意识,过紧的项目周期而无法完成安全需求等。Araali的弹性补丁可以直接巩固强化应用的行为,从而防止入侵行为。官方宣称“一次响应,永久预防”。但是即使是源代码层面的直接修复也会存在绕过的可能性,要做到永久预防可能还会有一点困难。

五、总结

在云原生飞速发展的大环境下,云原生场景下的风险缓解自然是不可或缺的一环。Gartner公司提到,到 2023 年,75%的安全故障将与身份、访问和权限管理不善有关[7]。Araali通过弹性补丁将最小权限原则 (PoLP) 应用于所有应用程序,防止恶意代码建立后门或进入服务器。Araali的弹性补丁与传统的虚拟补丁相比,虽然都不会对应用程序进行直接修改,不用重新编译应用。但是不同于虚拟补丁针对请求和响应进行检测阻断的方式,弹性补丁直接对应用的功能进行加固强化,通过基线的方式自主发现微服务的异常行为,有效避免补丁不断更新优化的修补竞赛局面。

从实践角度来看,eBPF技术需要较高版本的内核支持,因而这种方式目前还受限。不过得益于eBPF当前蓬勃发展的生态,相信越来越多的企业会考虑将系统内核升级以享受到该变革性技术带来的益处。

Araali建立了完整的识别、保护、检测、响应、恢复的安全框架,实现了安全的闭环运营。同时eBPF的引入也使得Araali能最低限度地降低系统开销。Araali的云原生风险缓解过程极具创新性。

参考文献
[1] https://www.araalinetworks.com/about[2] Ponemon Institute: Costs and Consequences of Gaps in Vulnerability Response[3] https://www.araalinetworks.com/post/cloud-risk-management-resilient-patching

[4] https://www.araalinetworks.com/resilient-patching

[5] https://www.araalinetworks.com/post/time-for-resilient-patch-is-here

[6] https://www.araalinetworks.com/access-control

[7] Gartner Research — Managing Privileged Access in Cloud Infrastructure Published 9 June 2020 – ID G00720361 – by Analyst Paul Mezzera

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author