Le paysage des menaces natives du cloud évolue en permanence. Les recherches du groupe Aqua Nautilus en 2021 ont révélé des niveaux plus élevés d’élégance dans les attaques et une augmentation du volume d’attaques ciblant les installations de conteneurs. L’étude a révélé que les conteneurs sensibles pourraient être utilisés en moins d’une heure, soulignant la valeur de la visibilité et de la détection des menaces en temps réel dans les environnements naturels du cloud.
Pour être efficace, la détection des dangers doit comprendre l’étendue des charges de travail pour un environnement naturel cloud, y compris les conteneurs, les machines virtuelles et les fonctions sans serveur avec la capacité d’identifier les méthodes utilisées dans les attaques qui ciblent les environnements naturels cloud. Il est important de noter que la détection doit se produire en temps réel et perturber le moins possible la production.
Ces caractéristiques essentielles ont été des éléments essentiels derrière la création de Tracee, l’outil open source de sécurité et d’investigation cloud natif d’Aqua Security pour Linux. Tracee utilise la technologie eBPF pour tracer les systèmes et les applications au moment de l’exécution et évaluer les événements collectés pour trouver des modèles de comportement suspects. En conséquence, les équipes peuvent sécuriser leurs conteneurs, garantissant que les applications restent en ligne et sûres et sécurisées. Tracee est rapidement adopté et compte désormais près de 2 000 étoiles sur GitHub et une communauté active d’utilisateurs et de contributeurs.
Un guide rapide sur eBPF
eBPF est une approche relativement nouvelle pour introduire l’extensibilité dans le noyau Linux d’une manière sûre, performante et flexible. Les programmes eBPF peuvent être chargés dans le noyau et déclenchés par plusieurs types d’occasions consistant en des occasions de réseau, de sécurité et de cycle de vie fondamental dans le noyau.
Un exemple des forces d’eBPF est de déterminer les habitudes anormales des applications telles que l’écriture fichiers dans des sites de répertoire système cruciaux. Le code eBPF peut s’exécuter en action pour enregistrer des événements afin d’inspecter s’ils sont anticipés pour la charge de travail particulière. Comme il s’agit de votre code, vous pouvez collecter tout type de données importantes qu’il serait difficile ou inefficace d’obtenir autrement. Cela déverrouille de nombreuses stratégies de détection sophistiquées.
Le développement de Tracee
Tracee a commencé comme un outil interne qui a permis au système d’étude de recherche d’Aqua, Group Nautilus, de collecter des événements dans des conteneurs en cours d’exécution. L’objectif était de développer un puissant outil de traçage conçu dès le départ pour la sécurité. La première version était axée sur la collection d’occasions fondamentales. L’équipe a commencé à ajouter progressivement des fonctionnalités, en transformant Tracee en un outil de sécurité holistique, et l’a lancé à la communauté en tant que travail open source en septembre 2019. Cela a permis aux professionnels et aux chercheurs de tirer parti des capacités de Tracee, tandis qu’Aqua a acquis des informations pratiques de la communauté. pour améliorer l’outil. De nouvelles fonctionnalités ont été incluses dans la méthode, telles que la capacité de capturer des preuves médico-légales, un système de filtrage précis et des combinaisons supplémentaires.
En février 2021, Aqua a lancé la version 0.5.0 de Tracee, qui a marqué le début de l’évolution de Tracee d’un outil CLI de traçage du système vers une solution de sécurité d’exécution avec des capacités d’analyse comportementale, grâce à l’introduction d’un moteur de règles et d’une bibliothèque de directives qui repère les divers modèles de comportement suspects reconnus par Aqua.
Tracee aujourd’hui : un puissant outil de sécurité OSS
Compte tenu de sa création en 2019, Tracee est passé d’un outil de traçage de système open source à une option de sécurité d’exécution robuste qui consiste en un outil CLI , une bibliothèque Go pour l’écriture de programmes eBPF et un moteur de lignes directrices pour traiter les événements observés-ebpf et détecter les activités suspectes. Tracee est fourni sous la forme d’une image Docker simple à exécuter. Un installateur Kubernetes simplifie l’utilisation de Tracee pour protéger les clusters et consommer les détections de manière pratique.
Tracee est livré avec un ensemble de règles fondamentales (appelées signatures) hors package qui couvre une variété d’attaques et de stratégies d’évasion. Les utilisateurs peuvent étendre Tracee en écrivant leurs propres signatures. Les signatures sont écrites en Rego, qui est le langage derrière le travail populaire Open Policy Agent de la Cloud Native Computing Foundation. Cela permet aux utilisateurs de réutiliser leurs capacités et outils existants et de créer des signatures expressives dans un langage entièrement développé.
En plus des signatures open source, les clients payants ont accès à une vaste base de données de signatures produites et maintenues par le groupe d’étude de recherche d’Aqua Nautilus, qui évalue en permanence les développements réels en matière de cybersécurité et produit des atténuations dans le genre de Tracee signatures.
Contrairement à de nombreux autres moteurs de détection, Tracee utilise eBPF depuis sa création et collecte tous les appels système (environ 330) ainsi que d’autres événements axés sur la sécurité dès la sortie de la boîte. Alors que d’autres services sont construits sur des modules de noyau qui peuvent avoir un impact sur la stabilité du système et laisser des espaces avec le traçage des appels système, l’utilisation d’eBPF par Tracee est sûre et performante, et Tracee a des fonctions réfléchies qui empêchent l’évasion par les attaquants.
Par défaut, Tracee encourage le suivi des événements LSM (Linux Security Module) plutôt que des appels système, le cas échéant. Les modules de sécurité Linux sont un ensemble de crochets enfichables qui sont indiqués pour être utilisés par des outils de sécurité. Par exemple, au lieu de tracer l’appel système open/openat, Tracee peut tracer l’événement LSM security_file_open, qui est plus précis, fiable et sûr à utiliser pour les fonctions de sécurité.
Les mises à jour actuelles de Tracee incluent la mobilité à travers le noyau variations à l’aide de la technique Compile When: Run Everywhere, qui évite d’avoir à assembler la sonde eBPF ou à fournir les en-têtes du noyau. L’approche originale nécessite un noyau Linux actuel avec prise en charge de BTF (BPF Type Format). Tracee résout ce problème et prend en charge les noyaux plus anciens en utilisant une nouvelle technique open source et partiellement en amont du travail Linux lui-même. Ceci est couvert à l’extérieur de l’emploi source btfhub.
Rôle de Tracee dans la détection et l’action natives du cloud
Tracee est la structure du produit d’analyse dynamique des dangers (DTA) d’Aqua, un scanner en bac à sable qui analyse les conteneurs en les exécutant. Capable de trouver des conteneurs destructeurs qui ne peuvent pas être trouvés avec des outils d’analyse standard, DTA est un élément essentiel de la solution Cloud Native Detection and Reaction (CNDR) leader de l’industrie d’Aqua. Le CNDR utilise un nombre croissant de nombreux signes comportementaux pour déterminer les attaques des événements eBPF de bas niveau, qui sont apparus par Tracee. DTA, CNDR et Tracee intègrent les signes comportementaux d’un groupe de recherche dédié à la sécurité native dans le cloud avec des événements eBPF pour une détection des menaces en temps réel lors de l’exécution.
La fonction de Tracee dans l’écosystème OSS d’Aqua
Tracee appartient à la famille d’emplois de sécurité open source et cloud natifs d’Aqua. Aqua considère l’open source comme un moyen d’égaliser la sécurité et d’informer les équipes d’ingénierie, de sécurité et de développement grâce à des outils accessibles, réduisant ainsi la barrière d’accès à la sécurité native du cloud. L’autre travail open source d’Aqua est Trivy, le scanner de vulnérabilité open source le plus populaire au monde. Trivy aide les équipes à « décaler vers la gauche » pour intégrer la sécurité dans le pipeline de développement. Trivy analyse les référentiels de code et les artefacts à la recherche de vulnérabilités, de mauvaises configurations d’infrastructure en tant que code et de secrets, et génère des SBOM (coûts logiciels des produits), pour n’en nommer que quelques capacités.
Ces projets s’intègrent à l’application cloud native d’Aqua Defense Platform (CNAPP) et avec de nombreux outils d’environnement devops fréquemment utilisés pour aider à accélérer l’adoption des innovations et des procédures cloud natives, tout en préservant la sécurité. Les emplois OSS d’Aqua sont créés et conservés par l’équipe open source d’Aqua, qui fonctionne séparément de l’ingénierie commerciale afin de maintenir l’engagement de l’entreprise à offrir des solutions open source réputées, en continuant à établir de toutes nouvelles fonctions et à répondre aux commentaires des utilisateurs, et en contribuant continuellement à d’autres tâches dans le domaine de l’open source.
Itay Shakury est directeur de l’open source chez Aqua Security, où il dirige le développement de solutions de sécurité cloud natives open source leaders sur le marché. Itay a près de vingt ans d’expérience dans de nombreux rôles d’avancement, d’architecture et d’objets. Itay est également un ambassadeur CNCF Cloud Native et dirige des initiatives de quartier telles que des rencontres et des conférences technologiques.
— Nouveau
Tech Forum propose un lieu pour découvrir et passer en revue les technologies d’entreprise émergentes d’une profondeur et d’une ampleur extraordinaires. Le choix est subjectif, basé sur notre choix des technologies que notre société considère comme essentielles et les plus intéressantes pour les lecteurs d’InfoWorld. InfoWorld décline la sécurité marketing pour la publication et se réserve le droit de modifier tout le contenu contribué. Envoyez toutes les questions à newtechforum@infoworld.com.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
