日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

作者丨Owen Garrett

為湘潭縣等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及湘潭縣網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為網(wǎng)站制作、成都做網(wǎng)站、湘潭縣網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

譯者丨陳峻

策劃丨孫淑娟

與經(jīng)典的 OpenSSL Heartbleed、Apache Struts 的漏洞類似，log4j2 漏洞對于以數(shù)字化為基礎(chǔ)的企業(yè)所造成的深遠(yuǎn)影響，遠(yuǎn)不止打上可用的補丁，以及重新部署應(yīng)用那么簡單。我們往往還需要及時發(fā)現(xiàn)、并彌補生產(chǎn)環(huán)境與平臺中的潛在漏洞。下面，我將向您展示如何使用 Deepfence 的 ThreatMapper 和 ThreatStryker，來實現(xiàn)這一點。

作為一個開源的安全、可觀察性平臺，Deepfence ThreatMapper(https://github.com/deepfence/ThreatMapper)可實現(xiàn)在跨容器、Kubernetes、云平臺、無服務(wù)器環(huán)境、VM(虛擬機)、以及裸金屬等生產(chǎn)環(huán)境和應(yīng)用中，搜索包括 Log4j2 在內(nèi)的各種漏洞，進(jìn)而根據(jù)漏洞被利用的風(fēng)險程度，予以排名。也就是說，ThreatMapper 通過進(jìn)一步計算每個漏洞的利用率，來消減掃描工具所產(chǎn)生的誤報，以便您發(fā)現(xiàn)和鎖定對于應(yīng)用程序可能構(gòu)成的最大風(fēng)險。

Deepfence ThreatStryker(https://deepfence.io/threatstryker/)則在擴展了 ThreatMapper 的基礎(chǔ)上，通過捕獲網(wǎng)絡(luò)流量，識別攻擊的特征，洞察攻擊者在目標(biāo)應(yīng)用中的獨特行為，進(jìn)而通過執(zhí)行預(yù)定義的安全策略，實現(xiàn)立即阻斷。

作為一個演示環(huán)境，下面是一個存在著 Log4j2 漏洞的 Java 應(yīng)用容器映像。我將向您展示攻擊者是如何遠(yuǎn)程利用它，以及如何使用 ThreatMapper 和 ThreatStryker 來實時檢測和防范針對 Log4j2 的攻擊。

如何使用 ThreatMapper 找到最容易被利用的漏洞

請參閱鏈接 https://deepfence.io/visualize-attack-paths-in-production-environments-with-threatmapper/ 中的步驟 1 到 4，安裝 ThreatMapper，并開始您的第一次漏洞掃描。您可以在 ThreatMapper 控制臺的“最可利用漏洞(Most Exploitable Vulnerabilities)”報告中，查看到那些最嚴(yán)重的漏洞。

下圖向您展示了，我在對演示環(huán)境進(jìn)行掃描之后，發(fā)現(xiàn)的最容易被利用的漏洞報告的上半部分。ThreatMapper 不但突出顯示了風(fēng)險最大的漏洞，并顯示了那些可能會被利用的攻擊路徑。您可以在圖中位于 HAproxy 的后面，看到 Log4j 容器(已用文本標(biāo)出，便于您的參考)。這便可以利用 log4j2 漏洞，開展攻擊的路徑。

當(dāng)您將鼠標(biāo)懸停在上述攻擊路徑中的關(guān)鍵節(jié)點上時，您將看到有關(guān)該漏洞的相關(guān)信息。例如，節(jié)點 deepfenceio/log4j-vulnerable-app:latest 具有 Top CVE:CVE-2021-44228 的網(wǎng)絡(luò)攻擊向量類型(Attack Vector type:network)。攻擊者可以通過 Port:8080 訪問到。

向下滾動頁面，您將看到整張排名列表，其中各種詳細(xì)信息一目了然。

當(dāng)您單擊特定漏洞項時，將能夠更加深入地了解、并在表格和 JSON 視圖中，查看到詳細(xì)的信息。在上述演示中，我們單擊了排名第一的漏洞 Log4j，并查看到了與之相關(guān)的信息。

目前，ThreatMapper 可以提取 50 多種不同的威脅源，并盡可能地為用戶提供針對各種特定漏洞的最新威脅源。同時，ThreatMapper 還提供了指向外部資源的鏈接，以便您獲取有關(guān)漏洞的最新消息。例如，在表格視圖中，您可以看到存在問題的包、它所在的位置(例如它正運行在哪個容器中)、CVSS(Common Vulnerability Scoring System，通用漏洞評分系統(tǒng))的評分、修復(fù)它的版本、以及其他便于您理解其嚴(yán)重性和修復(fù)方式的信息。

如何識別 Log4j2 類攻擊，并使用 ThreatStryker 予以阻止

為了發(fā)現(xiàn)目標(biāo)系統(tǒng)中是否存在諸如 Log4j2 之類最嚴(yán)重的可利用漏洞，您需要應(yīng)用臨時的 WAF(Web Application Firewall，Web 應(yīng)用防火墻)規(guī)則，來限制攻擊者對于此類漏洞的訪問和利用，同時也應(yīng)當(dāng)與開發(fā)團隊協(xié)作，去優(yōu)先修復(fù)這些漏洞。不過常言道：我們需要知其然，更要知其所以然。不知您是否考慮過如下問題：

• 攻擊者是否已經(jīng)領(lǐng)先了您一步?
• 攻擊者在運用何種嘗試來發(fā)現(xiàn)漏洞?
• 他們是否已經(jīng)找到了漏洞利用的入口?
• 他們是否在使用它進(jìn)行橫向擴展，進(jìn)而在您的應(yīng)用中獲得額外的控制?
• 您是否能立即阻止他們?

對于上述問題，ThreatStryker 正好能夠派上用場。ThreatStryker 建立在 ThreatMapper 執(zhí)行的靜態(tài)分析之上，添加了運行時(runtime)的檢查功能，以確定攻擊者為了利用潛在漏洞所做的各項嘗試。

通常，ThreatStryker 會從您的應(yīng)用程序中，捕獲兩種主要類型的運行時遙測數(shù)據(jù)(runtime telemetry)：

• 攻擊指標(biāo)：通過深度捕獲數(shù)據(jù)包，它能夠發(fā)現(xiàn)各種嗅探、橫向傳播、命令和控制(command-and-control)、滲透、以及其他攻擊活動。
• 危害指標(biāo)：通過在主機上捕獲進(jìn)程和文件系統(tǒng)的異常，它能夠發(fā)現(xiàn)攻擊者是否已成功地利用了那些易受攻擊的組件。

由于 ThreatStryker 的數(shù)據(jù)包捕獲(https://deepfence.io/deep-packet-inspection/)功能運行在后臺，因此它可以對來自所有節(jié)點和容器的流量，進(jìn)行靜默式采樣。出于本演示的目的，我手動啟動數(shù)據(jù)包的捕獲功能，并選擇需要監(jiān)控的特定進(jìn)程：

執(zhí)行該數(shù)據(jù)包捕獲功能是不需要代理或內(nèi)核模塊的。ThreatStryker 使用 eBPF(譯者注：extended Berkeley Packet Filter，是一種可以在 Linux 內(nèi)核中運行用戶編寫的程序，而不需要修改內(nèi)核代碼或加載內(nèi)核模塊的技術(shù))來抓取流量，對其進(jìn)行采樣，然后將其與運行時的威脅源進(jìn)行匹配，以識別出各種類型的惡意流量。

在收集到足夠的流量，并完成數(shù)據(jù)檢查和分析后，您將會看到包含如下警報的結(jié)果報告。

ThreatStryker 使用網(wǎng)絡(luò)殺傷鏈(Cyber Kill Chain)框架(https://www2.deloitte.com/content/dam/Deloitte/sg/Documents/risk/sea-risk-cyber-101-july2017.pdf)的擴展版本，來模擬攻擊行為。在意圖階段(Intent Stage)，它會將事件映射到網(wǎng)絡(luò)殺傷鏈中，并以上下文的方式，提供攻擊類型和嚴(yán)重程度。您只需單擊下半部分列表中的某個警報，就能夠看到各種深入的詳細(xì)信息。例如，下圖是我在單擊了嘗試獲取管理員權(quán)限警報后，所看到的內(nèi)容。下半部分有一個桑基圖(Sankey Diagram)。該圖顯示了惡意活動隨著時間變化，而推進(jìn)的情況。這方便了您開展追蹤，應(yīng)用策略，以及獲悉正在發(fā)生的攻擊。而上半部分則包括了表格和 JSON 視圖。它收錄了各種觸發(fā)警報的詳細(xì)信息，您可以上下滾動，以查看包括數(shù)據(jù)包的有效負(fù)載、以及違規(guī)字符串等大量的表述信息。如圖所示，我停留在了臭名昭著的 ${jndi:ldap 字符串處，它便是 Log4j2 攻擊的簽名。

上面的示例展示了針對入站(或入口)流量的檢查。此類檢查可以有效地發(fā)現(xiàn)、并報告各種利用 Log4j2 漏洞，獲取管理員權(quán)限的行為。不過，光有入站流量檢查顯然是不夠的。ThreatStryker 也會去檢查出站(或出口)流量、以及各種主機上的異常情況。

讓我們來查看另一個警報 --Suspicious tracing event process strace /bin/ls -l:23408 trying to ptrace:23409。它是在主機檢查中產(chǎn)生的，即：一個進(jìn)程正在嘗試著執(zhí)行系統(tǒng)追蹤。這是在正常操作中并不常見的事件，它指示了攻擊者已經(jīng)找到了破壞容器或應(yīng)用程序的方法。

孤立地看，這些事件中的每一個都足以引起安全人員的警覺，并且它們表明了攻擊的演變階段。而當(dāng) ThreatStryker 為事件添加意圖和分類時，它會進(jìn)一步將各項攻擊指標(biāo)和危害程度關(guān)聯(lián)起來，以描述攻擊是如何演變的，以及漏洞被利用的風(fēng)險是如何增加的。

當(dāng)然，您也可以使用一系列監(jiān)控工具，實時跟蹤 ThreatStryker 事件日志，或者在 ThreatStryker 中配置好安全措施，以便在目標(biāo)達(dá)到確定性的閾值時，予以干預(yù)，并抑制正在發(fā)生的攻擊。

如下圖所示，在 ThreatStryker 的保護(hù)策略(Protection Policies)儀表板中，您可以定義各種安全策略(包括隔離策略和網(wǎng)絡(luò)策略等)，以阻止正在進(jìn)行的各類攻擊。

您可能已經(jīng)注意到了，在該演示環(huán)境中，我們尚未創(chuàng)建或設(shè)置任何保護(hù)策略。為此，請單擊網(wǎng)絡(luò)策略(Network Policies)選項卡，然后單擊右上角的添加策略(Add Policy)按鈕。您將看到一個選項菜單，并可以在其中選擇嚴(yán)重性、警報類型、意圖類型等。

接著，您可以在所選的時段內(nèi)，自定義或無限期地阻止入站和出站流量。

當(dāng)然，僅靠阻斷攻擊只能部分解決問題。對此，ThreatStryker 還可以識別主機上已發(fā)生的攻擊事件，包括：異常的文件系統(tǒng)篡改、進(jìn)程活動、以及主機或負(fù)載已被攻陷等狀況。對此，我們可以采用各種隔離政策，根據(jù)實際情況予以凍結(jié)、阻止、終止或刪除主機，防止攻擊影響的進(jìn)一步傳播與惡化。

若要創(chuàng)建隔離策略，請前往保護(hù)策略(Protection Policies)儀表板上的隔離策略(Quarantine Policies)選項卡，單擊添加策略(Add Policy)。下圖便是我們在演示環(huán)境中創(chuàng)建的示例策略。

小結(jié)

綜上所述，作為一個開源的平臺，ThreatMapper 可以學(xué)習(xí)到應(yīng)用程序的邏輯拓?fù)浣Y(jié)構(gòu)，識別潛在的易受攻擊負(fù)載，并針對 50 多個不同的威脅源開展掃描工作，進(jìn)而實時、準(zhǔn)確地向您展示和提供有關(guān)每個負(fù)載可能存在的漏洞信息。通過將發(fā)現(xiàn)的結(jié)果與攻擊面相關(guān)聯(lián)，ThreatMapper 會告訴您，諸如 Log4j2 之類的漏洞是如何被利用的，以便您迅速采取行之有效的修復(fù)措施。

而 ThreatStryker 是建立在由 ThreatMapper 創(chuàng)建的漏洞圖表和信息的基礎(chǔ)上，通過識別攻擊行為，判斷攻擊步驟，進(jìn)而阻斷和防范其攻陷目標(biāo)應(yīng)用。

新聞名稱：如何利用Deepfence來檢測和彌補Log4j2漏洞
轉(zhuǎn)載來源：http://www.dlmjj.cn/article/dpoddjh.html