Sysdig Secure更新增加了在运转时阻挠容器进犯的才能

Sysdig的Drift Control能够检测并阻挠运转在运转时增加或修正的软件包或二进制文件的妄图

容器和云安全公司Sysdig宣告了一项新功用，即Drift Control，旨在检测和避免运转时的容器进犯。

Drift Control将作为Sysdig Secure的一部分发挥作用，Sysdig Secure是为检测容器的缝隙而树立的。Sysdig Secure是Sysdig容器智能平台的一个组成部分，它包括几个面向容器的安全使用。

Drift Control旨在检测、防备和加速对出产中被修正的容器（也称为容器漂移）的事情响应，它供给了填补由于偏离可信的原始容器而产生的 “危险安全缝隙 “的才能。

“Sysdig公司安全产品营销司理Daniella Pontes说：”Drift Control检测并避免执行在容器布置到出产中后增加或修正的包或二进制文件。”经过避免在出产中执行增加或修正的可执行文件，Drift Control保证容器软件在其生命周期内不被修正，执行其不变性，保持从源头到运转的一致性，并避免或许成为进犯一部分的行动。”

此外，Sysdig宣告改进歹意软件和加密进犯的检测，其特点是来自Proofpoint新式要挟（ET）情报和Sysdig自己的要挟研讨团队的要挟情报反馈。

根据Sysdig的博客文章，Sysdig与Proofpoint合作，因为该公司供给带有背景和分类的歹意软件检测，继续更新关于歹意软件和域名的情报，并遵从一个强壮的要挟评分系统。

现有的和新的Sysdig Secure客户都能够拜访漂移控制和新的要挟反馈，不需要额外费用。

容器漂移是怎么产生的

据Pontes说，一个典型的容器布置在出产过程中会出现漂移的情况，包括：

• 企图运转一个用软件包管理器下载或更新的软件包。
• 企图运转下载的歹意文件中的嵌入式可执行文件，例如歹意软件。
• 企图运转一个权限/属性已被改变为可执行的文件。

Pontes弥补说，Drift Control能够检测并阻挠这些新的或修正过的可执行文件。Sysdig经过容器的生命周期盯梢这些可执行文件，当它们企图运转时，拒绝或停止这些可执行文件。

此外，Drift Control的树立是为了让企业避免进行难以盯梢和安全的临时修正的 “危险的传统做法”，Pontes说。 “鉴于云原生环境的动态性质和遗留实践延续到云环境，团队往往忽视或无法执行不变性的最佳实践，留下漂移导致的安全缝隙。Drift Control供给了主动执行Kubernetes的云原生不变性原则的才能。”

Tag Cyber的分析师Gary McAlum说，容器漂移纷歧定是一个不断上头条的问题，但它是一个需要考虑和恰当处理的危险。”虽然它很或许不在’最常见’的进犯名单上，但对于一个取得不受限制地进入公司出产环境的复杂进犯者来说，它是一个真正的方针。”

“除非你的容器装备妥当，不然它们能够被修正，例如，经过权限升级，这能够在运转时环境中造成损坏，”McAlum说。

此外，由于容器在 Kubernetes环境中相互通讯，要挟在集群中横向移动的危险性也会增加。

Sysdig平台以Falco为基础

McAlum说，Drift Control是对Sysdig容器安全平台的一个 “非常强壮的增强”，他弥补说，Sysdig将其平台和安全功用树立在Falco规范之上，这是一个巨大的优势。

Falco是Sysdig在2016年创立的一个开源规范东西，用于跨Kubernetes、容器和云的继续危险和要挟检测。2018年10月，Falco被承受为云原生核算基金会（CNCF）孵化级项目。CNCF是一个开源的软件基金会，促进云原生核算的选用。

Sysdig Secure除了新增加的Drift Control功用和要挟反馈外，还具有安全团队经过按需安全shell拜访挖掘被损坏或可疑容器的才能，以调查被阻挠的可执行文件和相关系统通讯。

最近，Sysdig推出了Risk Spotlight，这是一个基于运转时智能的缝隙优先级东西，旨在让安全团队优先进行修正。