BlackHat Europe京东安全再放大招——基于容器云平台的安全防护

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

英国时间12月3日-6日,BlackHat Europe登陆伦敦,京东安全再次站上演讲台,京东安全硅谷首席AI安全科学家罗通博在会上发布最新研究成果——基于容器云平台的安全防护。据了解,京东安全在BlackHat Europe发布这项容器沙箱研究在安全行业尚属首例。

BlackHat Europe京东安全再放大招——基于容器云平台的安全防护

侦查与反侦查的博弈 防守需打怪升级

很多病毒会基于环境来决定是不是做恶意行为。换言之,病毒有“反侦查”能力,一旦嗅探到所处环境被监控,就会随时收手,继续潜伏。对于企业而言,未被侦破的病毒就好比一个定时炸弹,随时都可能引发灾难。所以,我们需要做些事情让病毒的“反侦查”破功。

为了进一步强化防守方的“反侦查”能力,京东安全硅谷研究院做了这项研究。

“容器本身直接利用宿主机的内核,更轻便,启动速度更快,规模更小、创建和迁移速度也更快。”罗博通介绍称,“而将沙箱嵌入容器环境中,也同样具备了容器轻便、适配性高等优点。除此,还给沙箱加了外挂操作,这样一来,可以基于沙箱监测做“上下文”行为分析,也正是因为此特点,该项研究可以用于真实的用户环境检测。“

怎么做“上下文”行为分析?

京东安全表示,容器沙箱的联系上下文操作,可以用于识别病毒、恶意软件、恶意代码等。除用于企业自身筛查异常,优化平台检测,还可以在用户真实的环境中检测。

用户从发现异常到企业找出问题根源,大致分三步:

第一步,用户一侧发现异常后可以简单提交问题,技术后台收到问题后,可以在云端根据用户IP获取异常问题;

第二步,技术后台会将异常问题上传至两个相同容器沙箱中,其中一个跑异常样本,另外一个放与异常样本相似的正常样本;

第三步,也是最关键的一步,同时监测两个沙箱行为,通过两个容器沙箱输出的不同数据来做比对,然后把两个输出数据做成像DNA检测那种排序筛查,恶意样本的行为就会凸显出来。

查到问题根源后加以分析,企业就可以加速处理,排除安全隐患。

为什么要做“上下文”行为分析?

在医学上,每个人都携带多种癌症基因,我们叫它原癌基因,还有与它对立存在的抑癌基因,这些都是基因的组成部分。正常情况下,癌基因和抑癌基因会相互制约,维持稳定。但是,一旦抑癌基因发生突变、缺失或失活,癌基因就被激活并占据上风,进而引发癌症。总结起来,癌症的发作需要“环境”,比如放射性、污染环境、感染致癌病毒以及遗传因素等。

而容器沙箱就像是给病毒、恶意代码等“坏分子”提供了一个能够“癌变”的环境。

在这个环境下,正常操作毫无影响,而恶意样本会“癌变”。就像我们体检做癌症筛查项目一样,通过这套操作,我们可以效识别恶意样本。不仅如此,通过这套操作,我们还能捕捉到恶意样本的“行为轨迹”。这样,病因、致病过程、以及恶化方向都了解了,加以分析后就可以及时反馈到我们的防守方,早发现、早预防、早治疗。

京东为什么研究容器沙箱?

容器技术因大大提高工作效率近两年备受关注。对于像京东这样拥有庞大业务集群和海量业务数据的 互联网 公司来说,容器简洁、灵活、适配高等特点,能够很好地满足日常和大促数据集中迸发的迅速反应和安全需求。京东自2015年全面推广 Docker 容器和OpenStack 的弹性计算, 2016年实现所有业务全部容器化,再到2018年,京东构建了全球最大的Kubernetes容器集群。

在安全上,利用容器沙箱不仅可以大大缩短排查问题的时间,同时还可以标记出恶意样本的行为轨迹,优化平台检测,安全防御就能比敌人再快一步。

BlackHat Europe京东安全再放大招——基于容器云平台的安全防护

关于BlackHat

BlackHat是由传奇极客Jeff Moss于1997年创办的全球安全技术大会,每年在亚洲、欧洲、美国举办三场,为保证会议内容的技术先进性和客观性,BlackHat对报告内容有严苛的评审机制,报告入选率不足20%。

罗博士介绍,这次的容器沙盒研究,从确定研究方向到报告入选,历时半年。课题经过反复验证,研究技术也代表行业先进性,这大约也是报告入选的主要原因。

随意打赏

京东云平台京东放大招
提交建议
微信扫一扫,分享给好友吧。