(文章来源:新华能网)
随着组织开始采用容器和无服务器技术,需要保护这些部署模型。9月24日,AtTIvo Networks宣布进入集装箱和无服务器安全市场,更新其ThreatDefend网络安全欺骗平台。网络安全欺骗的基本思想是提供看似真实的资源,以欺骗和诱捕攻击者揭露自己。通过新的ThreatDefend更新,AtTIvo正在添加以容器和AWS Lambda无服务器云服务本机运行的欺骗。
“我们作为一家公司所看到的是,公司开始非常积极地研究用于网内威胁检测的欺骗技术,我们发现他们希望在所有攻击面上都能获得相同的无处不在的检测,”Carolyn Crandall ,AtTIvo Networks的首席欺骗官告诉eWEEK。“我们之前得到了一些支持,基本上是在云中进行了一些常规诱饵和欺骗,现在我们已经发展它以便能够支持无服务器和容器架构。
容器(包括Docker容器)提供了隔离和虚拟化正在运行的应用程序的机制。另一方面,无服务器(有时也称为服务功能)使组织能够在不需要运行服务器实例的情况下运行功能。
Crandall解释说,AtTIvo为云中的容器和无服务器部署构建的欺骗包括一系列诱饵,这些诱饵似乎是攻击者,就像它们是真正的生产容器或无服务器功能一样。此外,Attivo对容器和无服务器的欺骗还包括使用嵌入诱饵凭证,以试图引诱攻击者。
“为了吸引攻击者参与,它(诱饵)必须是真实的,镜像与生产相匹配,”克兰德尔说。“因此,我们进行了广泛的开发,以确保在这些新的云环境中都是如此。”有了欺骗诱饵和虚假证书,一旦针对诱饵发生攻击,Crandall说Attivo平台提供攻击分析和取证,以帮助组织了解攻击者如何 *** 作以及应该采取什么措施来阻止他们作为事件的一部分回应过程。
Attivo为新的云,容器和无服务器安全功能扩展的ThreatDefend平台的一部分是BOTsink,它为破坏后检测提供基于网络的威胁欺骗。BOTsink与公共云提供商合作,也可以部署在Kubernetes容器集群部署中。“您可以使用任何编排环境在Kubernetes环境中部署ThreatDirect容器,”产品管理联合创始人兼副总裁Marc Feghali告诉eWEEK。“ThreatDirect连接器将隧道回到BOTsink平台,并在该本地子网上投射所有欺骗功能。”
Feghali解释说,在AWS云中,组织首先将BOTsink部署到可用区。最重要的是ThreatDefend平台的Attivo ThreatDirect组件,Feghali说这基本上是一个消耗本地IP地址的虚拟机,并提供攻击者可能参与的诱饵服务。
他补充说,组织还可以选择部署一组诱饵凭证,包括Lambda无服务器功能内的帐户访问令牌和SSH密钥,以及Amazon S3存储桶。因此,如果攻击者以某种方式进入云部署并在Lamda函数中查找帐户凭据,他们将找到诱饵凭据,这些凭据不会影响生产环境,但会向组织提示攻击者在其中存在云部署,Feghali说。
Feghali解释说,当攻击者已经进入云环境时,可以查看存在的所有不同资源。一旦攻击者追踪其中一个Attivo诱饵,Feghali说,至少,组织会收到违规帐户的警报,该系统已被感染,并使用了哪些凭据。他补充说,通过与攻击者的接触,ThreatDefend平台能够为用户提供攻击的策略,技术和程序(TTP)。
“我们与其他系统集成,如NAC [网络访问控制]和端点安全解决方案,以阻止数据泄露和隔离受感染的端点,”他说。“我们拥有一个拥有超过25家供应商的广泛集成生态系统,而且我们一直在扩展。”网络安全欺骗技术市场是一个活跃的市场,包括Illusive,TrapX,Acalvio,Fidelis和赛门铁克等多家供应商。
Crandall表示,Attivo通过对网络和端点欺骗进行广泛的攻击面覆盖来区别于其他人。她还认为Attivo的方法被攻击者认为是可信的,因此诱饵似乎与在生产环境中运行的真实服务相同。诱饵真实性的一部分是通过机器学习功能实现的,这些功能是Attivo技术的一部分。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)