BlackHat Europe京東安全再放大招—基於容器雲平臺的安全防護
英國時間12月3日-6日,BlackHat Europe登陸倫敦,京東安全再次站上演講臺,京東安全矽谷首席AI安全科學家羅通博在會上釋出最新研究成果——基於容器雲平臺的安全防護。據瞭解,京東安全在BlackHat Europe釋出這項容器沙箱研究在安全行業尚屬首例。
偵查與反偵查的博弈 防守需打怪升級
很多病毒會基於環境來決定是不是做惡意行為。換言之,病毒有“反偵查”能力,一旦嗅探到所處環境被監控,就會隨時收手,繼續潛伏。對於企業而言,未被偵破的病毒就好比一個定時炸彈,隨時都可能引發災難。所以,我們需要做些事情讓病毒的“反偵查”破功。
為了進一步強化防守方的“反偵查”能力,京東安全矽谷研究院做了這項研究。
“容器本身直接利用宿主機的核心,更輕便,啟動速度更快,規模更小、建立和遷移速度也更快。”羅博通介紹稱,“而將沙箱嵌入容器環境中,也同樣具備了容器輕便、適配性高等優點。除此,還給沙箱加了外掛操作,這樣一來,可以基於沙箱監測做“上下文”行為分析,也正是因為此特點,該項研究可以用於真實的使用者環境檢測。“
怎麼做“上下文”行為分析?
京東安全表示,容器沙箱的聯絡上下文操作,可以用於識別病毒、惡意軟體、惡意程式碼等。除用於企業自身篩查異常,優化平臺檢測,還可以在使用者真實的環境中檢測。
使用者從發現異常到企業找出問題根源,大致分三步:
第一步,使用者一側發現異常後可以簡單提交問題,技術後臺收到問題後,可以在雲端根據使用者IP獲取異常問題;
第二步,技術後臺會將異常問題上傳至兩個相同容器沙箱中,其中一個跑異常樣本,另外一個放與異常樣本相似的正常樣本;
第三步,也是最關鍵的一步,同時監測兩個沙箱行為,通過兩個容器沙箱輸出的不同資料來做比對,然後把兩個輸出資料做成像DNA檢測那種排序篩查,惡意樣本的行為就會凸顯出來。
查到問題根源後加以分析,企業就可以加速處理,排除安全隱患。
為什麼要做“上下文”行為分析?
在醫學上,每個人都攜帶多種癌症基因,我們叫它原癌基因,還有與它對立存在的抑癌基因,這些都是基因的組成部分。正常情況下,癌基因和抑癌基因會相互制約,維持穩定。但是,一旦抑癌基因發生突變、缺失或失活,癌基因就被啟用並佔據上風,進而引發癌症。總結起來,癌症的發作需要“環境”,比如放射性、汙染環境、感染致癌病毒以及遺傳因素等。
而容器沙箱就像是給病毒、惡意程式碼等“壞分子”提供了一個能夠“癌變”的環境。
在這個環境下,正常操作毫無影響,而惡意樣本會“癌變”。就像我們體檢做癌症篩查專案一樣,通過這套操作,我們可以效識別惡意樣本。不僅如此,通過這套操作,我們還能捕捉到惡意樣本的“行為軌跡”。這樣,病因、致病過程、以及惡化方向都瞭解了,加以分析後就可以及時反饋到我們的防守方,早發現、早預防、早治療。
京東為什麼研究容器沙箱?
容器技術因大大提高工作效率近兩年備受關注。對於像京東這樣擁有龐大業務叢集和海量業務資料的網際網路公司來說,容器簡潔、靈活、適配高等特點,能夠很好地滿足日常和大促資料集中迸發的迅速反應和安全需求。京東自2015年全面推廣 Docker 容器和OpenStack 的彈性計算, 2016年實現所有業務全部容器化,再到2018年,京東構建了全球最大的Kubernetes容器叢集。
在安全上,利用容器沙箱不僅可以大大縮短排查問題的時間,同時還可以標記出惡意樣本的行為軌跡,優化平臺檢測,安全防禦就能比敵人再快一步。
關於BlackHat
BlackHat是由傳奇極客Jeff Moss於1997年創辦的全球安全技術大會,每年在亞洲、歐洲、美國舉辦三場,為保證會議內容的技術先進性和客觀性,BlackHat對報告內容有嚴苛的評審機制,報告入選率不足20%。