（文章來(lái)源：新華能網(wǎng)）

隨著組織開(kāi)始采用容器和無(wú)服務(wù)器技術(shù)，需要保護(hù)這些部署模型。9月24日，Attivo Networks宣布進(jìn)入集裝箱和無(wú)服務(wù)器安全市場(chǎng)，更新其ThreatDefend網(wǎng)絡(luò)安全欺騙平臺(tái)。網(wǎng)絡(luò)安全欺騙的基本思想是提供看似真實(shí)的資源，以欺騙和誘捕攻擊者揭露自己。通過(guò)新的ThreatDefend更新，Attivo正在添加以容器和AWS Lambda無(wú)服務(wù)器云服務(wù)本機(jī)運(yùn)行的欺騙。

“我們作為一家公司所看到的是，公司開(kāi)始非常積極地研究用于網(wǎng)內(nèi)威脅檢測(cè)的欺騙技術(shù)，我們發(fā)現(xiàn)他們希望在所有攻擊面上都能獲得相同的無(wú)處不在的檢測(cè)，”Carolyn Crandall ，Attivo Networks的首席欺騙官告訴eWEEK。“我們之前得到了一些支持，基本上是在云中進(jìn)行了一些常規(guī)誘餌和欺騙，現(xiàn)在我們已經(jīng)發(fā)展它以便能夠支持無(wú)服務(wù)器和容器架構(gòu)。

容器(包括Docker容器)提供了隔離和虛擬化正在運(yùn)行的應(yīng)用程序的機(jī)制。另一方面，無(wú)服務(wù)器(有時(shí)也稱(chēng)為服務(wù)功能)使組織能夠在不需要運(yùn)行服務(wù)器實(shí)例的情況下運(yùn)行功能。

Crandall解釋說(shuō)，Attivo為云中的容器和無(wú)服務(wù)器部署構(gòu)建的欺騙包括一系列誘餌，這些誘餌似乎是攻擊者，就像它們是真正的生產(chǎn)容器或無(wú)服務(wù)器功能一樣。此外，Attivo對(duì)容器和無(wú)服務(wù)器的欺騙還包括使用嵌入誘餌憑證，以試圖引誘攻擊者。

“為了吸引攻擊者參與，它(誘餌)必須是真實(shí)的，鏡像與生產(chǎn)相匹配，”克蘭德?tīng)栒f(shuō)。“因此，我們進(jìn)行了廣泛的開(kāi)發(fā)，以確保在這些新的云環(huán)境中都是如此。”有了欺騙誘餌和虛假證書(shū)，一旦針對(duì)誘餌發(fā)生攻擊，Crandall說(shuō)Attivo平臺(tái)提供攻擊分析和取證，以幫助組織了解攻擊者如何操作以及應(yīng)該采取什么措施來(lái)阻止他們作為事件的一部分回應(yīng)過(guò)程。

Attivo為新的云，容器和無(wú)服務(wù)器安全功能擴(kuò)展的ThreatDefend平臺(tái)的一部分是BOTsink，它為破壞后檢測(cè)提供基于網(wǎng)絡(luò)的威脅欺騙。BOTsink與公共云提供商合作，也可以部署在Kubernetes容器集群部署中?！澳梢允褂萌魏尉幣怒h(huán)境在Kubernetes環(huán)境中部署ThreatDirect容器，”產(chǎn)品管理聯(lián)合創(chuàng)始人兼副總裁Marc Feghali告訴eWEEK。“ThreatDirect連接器將隧道回到BOTsink平臺(tái)，并在該本地子網(wǎng)上投射所有欺騙功能。”

Feghali解釋說(shuō)，在AWS云中，組織首先將BOTsink部署到可用區(qū)。最重要的是ThreatDefend平臺(tái)的Attivo ThreatDirect組件，F(xiàn)eghali說(shuō)這基本上是一個(gè)消耗本地IP地址的虛擬機(jī)，并提供攻擊者可能參與的誘餌服務(wù)。

他補(bǔ)充說(shuō)，組織還可以選擇部署一組誘餌憑證，包括Lambda無(wú)服務(wù)器功能內(nèi)的帳戶(hù)訪問(wèn)令牌和SSH密鑰，以及Amazon S3存儲(chǔ)桶。因此，如果攻擊者以某種方式進(jìn)入云部署并在Lamda函數(shù)中查找?guī)?hù)憑據(jù)，他們將找到誘餌憑據(jù)，這些憑據(jù)不會(huì)影響生產(chǎn)環(huán)境，但會(huì)向組織提示攻擊者在其中存在云部署，F(xiàn)eghali說(shuō)。

Feghali解釋說(shuō)，當(dāng)攻擊者已經(jīng)進(jìn)入云環(huán)境時(shí)，可以查看存在的所有不同資源。一旦攻擊者追蹤其中一個(gè)Attivo誘餌，F(xiàn)eghali說(shuō)，至少，組織會(huì)收到違規(guī)帳戶(hù)的警報(bào)，該系統(tǒng)已被感染，并使用了哪些憑據(jù)。他補(bǔ)充說(shuō)，通過(guò)與攻擊者的接觸，ThreatDefend平臺(tái)能夠?yàn)橛脩?hù)提供攻擊的策略，技術(shù)和程序(TTP)。

“我們與其他系統(tǒng)集成，如NAC [網(wǎng)絡(luò)訪問(wèn)控制]和端點(diǎn)安全解決方案，以阻止數(shù)據(jù)泄露和隔離受感染的端點(diǎn)，”他說(shuō)?！拔覀儞碛幸粋€(gè)擁有超過(guò)25家供應(yīng)商的廣泛集成生態(tài)系統(tǒng)，而且我們一直在擴(kuò)展?！本W(wǎng)絡(luò)安全欺騙技術(shù)市場(chǎng)是一個(gè)活躍的市場(chǎng)，包括Illusive，TrapX，Acalvio，F(xiàn)idelis和賽門(mén)鐵克等多家供應(yīng)商。

Crandall表示，Attivo通過(guò)對(duì)網(wǎng)絡(luò)和端點(diǎn)欺騙進(jìn)行廣泛的攻擊面覆蓋來(lái)區(qū)別于其他人。她還認(rèn)為Attivo的方法被攻擊者認(rèn)為是可信的，因此誘餌似乎與在生產(chǎn)環(huán)境中運(yùn)行的真實(shí)服務(wù)相同。誘餌真實(shí)性的一部分是通過(guò)機(jī)器學(xué)習(xí)功能實(shí)現(xiàn)的，這些功能是Attivo技術(shù)的一部分。