第 48 届 IT Press Tour 有机会与Sysdig的首席执行官Suresh Vasudevan会面。他们的使命是加速和保护云创新。
Falco 是云原生威胁检测的开源标准。它监视来自内核的系统事件,并支持主机、容器和 Fargate。基于 Falco 构建的工作负载安全解决方案包括 Microsoft Defender for Cloud、StackRox、Sumo Logic、Giant Swarm 等。
Sysdig 提供深度容器取证和故障排除。借助 Falco,他们通过识别软件漏洞、运行时威胁、配置风险和合规性差距,提供从源到运行的云到容器的安全性。
云规模的安全挑战
有四个关键的关注领域和要问的问题:
- 漏洞管理:如何在不压倒开发人员的情况下减少漏洞积压和管理风险?
- 身份和访问管理:谁有权访问哪些资源,实际使用了哪些权限?
- 配置管理:如何盘点云资源并确保配置安全合规?
- 威胁检测和响应:哪些数据和上下文对于检测和响应云中的异常和事件至关重要?
供应链安全合规
Sysdig 通过代码提供供应链安全合规性,旨在运行和响应。
他们通过以下方式做到这一点:
- 基础架构即代码验证,用于防止漂移和阻止有风险的配置。
- 使用 CI/CD 管道、注册表和主机进行漏洞管理,并根据使用中的漏洞确定优先级。
- CPSM 和云错误配置的配置管理,以及云库存。
- 针对 CIEM 最小权限和基于使用中权限的优先级的身份和访问管理 (IAM) 。
- 针对云和工作负载运行时安全的威胁检测。
- 事件响应捕获详细记录以供取证并阻止恶意容器和进程。
运行时洞察力增强了左移安全性,从而可以在源头上对使用中的暴露进行优先级修复。
威胁研究
Sysdig 将多层方法应用于威胁研究,包括客户和高级威胁情报、公共存储库的主动扫描、漏洞研究、基于行为的检测和基于机器学习(ML) 的检测。
他们有十几位威胁研究和 ML 专家研究不良行为者和活动。此外,他们还使用 Falco 支持的沙箱技术主动扫描公共存储库以查找容器镜像注册表、GitHub 和暗网。
他们使用自动化取证和大数据分析为数十个地区的所有主要云供应商创建了一个多云、容器原生蜜罐网络,用于数百个暴露的应用程序。
他们不断研究云原生技术的漏洞并提供负责任的披露。此外,一旦使用开箱即用的检测规则识别出可疑行为,它们就会保护用户。
机器学习最适合解决特定领域的检测问题,例如比特币矿工。他们目前正在使用机器学习以 99% 的精度早期检测加密矿工。此外,进程活动遥测提供了准确检测恶意行为所需的粒度级别。
优先考虑使用中的风险暴露
只有 15% 的漏洞在运行时被利用。通过使用使用中的风险暴露过滤器来监控漏洞、配置、权限和Kubernetes网络连接,用户可以识别最重要的风险。用户不必在未使用软件包时进行调查,因此每个漏洞可以节省 1.5 小时。
风险聚光灯通过识别少数构成实际风险的漏洞来消除噪音。这些是在运行时绑定到活动包的那些。这可将漏洞噪声降低多达 95%。
客户用例
雅虎日本拥有超过 40,000 个 Kubernetes 节点。他们使用 Sysdig 在其 CI/CD 管道和运行时环境中进行漏洞分析,并检测和防止偏差并跟踪合规性。
全球支付处理器使用AWS 和 GCP 云。他们使用 Sysdig 提供 Kubernetes 运行时安全以及基于用户云活动日志的实时异常和威胁检测。
Goldman Sachs拥有超过 140,000 个 Kubernetes 节点和数千个应用程序。他们使用 Sysdig 为 Linux VM 和容器提供端点检测和响应,并提取关键运行时数据以提供威胁检测和安全分析。
FINRA拥有超过 3,000 个 Fargate 任务和 EC2 主机。他们使用 Sysdig 对基于 Fargate 的应用程序进行管道和运行时图像扫描以及威胁检测和响应。
